Nel contributo che vi proponiamo qui di seguito, Paolo Lossa (nella foto), Country Sales Director di CyberArk Italia, spiega come proteggere le password con una strategia di gestione estesa.
L’approccio tradizionale alla gestione delle password, infatti, non è più sufficiente in un mondo in cui sempre più spesso i dipendenti dispongono di un accesso privilegiato.
Buona lettura.
Cosa succederebbe se password protette in modo inadeguato fossero l’unico ostacolo che separa gli attaccanti da dati e risorse sensibili di un’organizzazione? Nonostante il pericolo che le password possono rappresentare, la loro gestione viene spesso trascurata. La maggior parte delle aziende non utilizza protezioni di livello enterprise per tutelarsi, preferendo invece strumenti di gestione delle password tradizionali e obsoleti che possono portare alla cosiddetta “password fatigue”.
Inoltre, molte delle app utilizzate sul posto di lavoro non sfruttano i moderni protocolli di identità e nonostante la maggior parte si integri con soluzioni di single sign-on per evitare i problemi di gestione delle password, alcune applicazioni richiedono ancora nome utente e password indipendenti.
A rendere la situazione più critica quando si parla di come proteggere le password, è il fatto che oggi qualsiasi utente può diventare privilegiato nelle giuste circostanze, in base alle risorse a cui ha avuto accesso, lasciando le aziende ancor più sensibili a violazioni di sicurezza. Secondo il report Identity Security Threat Landscape 2022 di CyberArk, in media il 47% dei dipendenti italiani ha oggi un accesso particolarmente elevato alle risorse aziendali. I criminali si sono concentrati sempre più sullo sfruttamento di pratiche poco rigorose per violare la rete di un’organizzazione e studiare metodi per migliorare le proprie possibilità di accesso. Se si considera che un dipendente medio possiede circa 100 password, si tratta di una miniera d’oro di opportunità.
Quando si parla di come proteggere le password, questi sono solo alcuni scenari comuni particolarmente preoccupanti:
- Password facili da indovinare e non conformi ai requisiti di efficacia
- Password riutilizzate per applicazioni aziendali, personali e social media
- Password salvate in modo non sicuro in fogli di calcolo, post-it e nel browser
- Password comunicate da un utente all’altro attraverso e-mail, app di messaggistica e altro
Come proteggere le password mitigando le problematiche di gestione delle stesse
La prima cosa da considerare è la gestione delle password dei dipendenti e la loro messa in sicurezza, proteggendole e mantenendone la complessità nel tempo. Bisogna riconoscere che le password di tutto il personale devono essere protette con lo stesso approccio applicato alle credenziali degli utenti privilegiati. Se gli attaccanti trattano le credenziali dei dipendenti come se fossero privilegiate, dovrebbero farlo anche i responsabili aziendali.
In generale, quando le applicazioni di uso frequente sono accessibili al di fuori dei controlli di sicurezza dell’azienda, non è possibile tracciare l’attività, controllare la complessità delle password e revocarne l’accesso quando non sono più necessarie.
Sono cinque le fasi che ogni team di sicurezza che intenda migliorare la protezione delle credenziali della forza lavoro dovrebbe esplorare.
- Autenticazione avanzata: si tratta del primo passo essenziale per combinare l’autenticazione intelligente con una esperienza utente migliorata, e richiede una forma di MFA adattiva, in grado di variare la difficoltà delle sfide di autenticazione in base alle informazioni in tempo reale sul comportamento degli utenti.
- Storage che privilegia la sicurezza: prevede la ricerca di modalità per introdurre l’archiviazione basata su vault per le credenziali della forza lavoro, con la flessibilità di definire modalità di archiviazione, gestione e recupero di account e credenziali. Ad esempio, uno strumento di livello enterprise potrebbe fornire all’amministratore di sicurezza le opzioni per archiviare automaticamente le nuove credenziali in vault self-hosted e consentire agli utenti di recuperarle senza connettersi a una VPN.
- Gestione e condivisione sicura delle credenziali: consente agli utenti di condividere in modo sicuro le credenziali senza rivelare le password, ma garantisce anche la possibilità di: proteggere la privacy controllando chi può condividere, visualizzare e modificare le credenziali; imporre limiti di tempo all’accesso a specifiche applicazioni; gestire il trasferimento della proprietà delle credenziali a nuovi utenti.
- Visibilità end-to-end: implica che i controlli di sicurezza vadano oltre il punto di autenticazione. In questo caso, le aziende dovrebbero cercare un modo per richiedere un ulteriore livello di protezione che consenta di monitorare e registrare tutte le azioni, una volta che l’utente ha effettuato l’accesso, con il supporto di un audit trail completo.
- Esperienza utente sicura e senza attriti: questo ultimo step richiede che le aziende gestiscano e proteggano le password della forza lavoro in grado di: integrarsi facilmente con le directory aziendali e con i fornitori di identità di terze parti; riconoscere quando gli utenti inseriscono le credenziali e offrire di salvarle in un luogo sicuro, basato su vault; completare automaticamente e in modo sicuro i campi delle credenziali per un’esperienza di accesso rapida e senza problemi; generare password uniche e forti per gli utenti ogni volta che sia necessario.
Questi cinque passaggi vanno a comporre un approccio olistico e basato sul rischio alla sicurezza delle identità, aiutando le aziende ad applicare controlli di privilegio costanti, sottolineando il fatto che una maggiore complessità richiede controlli più severi per la condivisione e il trasferimento delle password. Inoltre, si tratta di una strategia estesa, tanto più necessaria data la quantità di dati sensibili a cui i dipendenti possono accedere ogni giorno, che impedisce ai lavoratori di prendere scorciatoie che possono involontariamente creare aperture per l’ingresso di malintenzionati nella rete aziendale. Ecco come proteggere le password davvero.