Per molti dipendenti, la routine di lavoro mattutina è molto diversa rispetto al passato. Invece di recarsi in ufficio, preparano il caffè, “si spostano” nel proprio home office e si collegano a una Virtual Private Network (VPN) per accedere alle risorse e alle applicazioni aziendali.

La VPN è una delle soluzioni più testate in termini di tempo, seppur un po’ rischiosa, per l’accesso remoto sicuro. La definisco rischiosa perché, se non implementata e mantenuta correttamente, gli aggressori potrebbero sfruttare le falle per ottenere l’accesso privilegiato a sistemi e dati sensibili. Alcune aziende optano infatti per nuovi modi per connettere il proprio personale da remoto, eliminando così la necessità di ricorrere a VPN o agenti e contribuendo a ottimizzare le operazioni e i flussi di lavoro degli utenti.

Per le aziende che utilizzano VPN, è importante che lo stack VPN sia adeguatamente sottoposto a patch, utilizzi la giusta crittografia e monitori continuamente modelli di traffico e l’utilizzo dello stesso. Ancora più importante è garantire che gli utenti che accedono alla VPN vengano verificati con un elevato livello di garanzia, che i dispositivi siano convalidati e che i relativi privilegi e diritti siano in linea con il principio del privilegio minimo… Non sembra questo forse il principio base della sicurezza Zero Trust?

Esaminiamo cinque regole di buona prassi per implementare le VPN nel contesto di questi tre pilastri della sicurezza Zero Trust.

Regola # 1: Verifica degli utenti: verifica che la soluzione VPN supporti l’autenticazione con fattori multipli (MFA) tramite RADIUS e/o SAML.

La maggior parte delle soluzioni VPN supportano diversi tipi di meccanismi di autenticazione, a seconda del tipo di VPN (site-to-site, utente remoto). Un tipo che supporta l’MFA è l’utilizzo di RADIUS, in cui il server VPN diventa un client RADIUS verso un server RADIUS, che a sua volta è in grado di eseguire un’autenticazione a fattori multipli. Ad esempio, il software CyberArk Idaptive connector può fungere da server RADIUS e da proxy di AD per eseguire l’autenticazione AD, nonché presentare un secondo fattore sotto forma di autenticatore mobile, OATH OTP, e-mail, per il secondo fattore.

La figura seguente mostra i vari passaggi coinvolti nell’autenticazione basata su RADIUS tra il client RADIUS e CyberArk Idaptive Connector, che funge da server RADIUS (tra le altre cose).

Un altro modo per integrare una VPN con un IDP esterno per l’autenticazione è tramite SAML. Questa opzione non è supportata da tutti i fornitori di VPN, ma se supportata, non sarà necessario installare un client VPN desktop sugli endpoint. Di seguito è riportata un’illustrazione di come questo meccanismo funziona con la soluzione Global Protect di Palo Alto Network.

Quindi, quando cerchi una soluzione VPN, fatti le seguenti domande:

1. Supporta MFA?
2. La soluzione richiede l’installazione di un client VPN sugli endpoint? Se sì, quali meccanismi di autenticazione è in grado di supportare? Ad esempio, alcuni meccanismi vengono inviati direttamente al provider di autenticazione (AP) per la verifica da parte del meccanismo, mentre altri richiedono che l’utente finale interagisca con il client VPN per inserire un codice (ad es. il codice OATH OTP), che viene poi inviato all’AP per la verifica.
3. La soluzione supporta un meccanismo di autenticazione VPN indipendente dal client come SAML? Ciò è particolarmente pratico, in quanto l’amministratore IT non deve garantire che ciascun client sia installato con la giusta versione del client, per cui è in grado di adottare una gamma più ampia di endpoint in maniera sicura. Alcuni client (ad esempio Anyconnect di Cisco) sono supportati da browser incorporati, che possono quindi supportare SAML.

Regola # 2: Limitazione dell’accesso: Assicurati che il server RADIUS sia in grado di operare con attributi specifici per limitare l’accesso e l’autorizzazione.

Gli attributi specifici del fornitore sono necessari se si desidera concedere l’autorizzazione agli utenti per più di un tipo di accesso. Ad esempio, in base al ruolo, è possibile concedere all’utente un particolare livello di privilegi, limitandone in tal modo l’accesso. I VSA possono essere utilizzati in combinazione con attributi definiti da RADIUS. Ad esempio, questo link mostra i VSA di Ciscos.

Regola # 3: Verifica degli utenti: La soluzione del fornitore dell’autenticazione (CyberArk Idaptive nel nostro caso) è in grado di supportare un ambiente VPN eterogeneo.

Spesso un’azienda può avere fornitori di VPN multipli con un mix di supporto di protocolli per l’autenticazione e il controllo degli accessi. Il server RADIUS/IDP deve essere in grado di supportare profili di autenticazione diversi, ad esempio per i vari server VPN (client RADIUS). Ad esempio, se si accede a più tipi di risorse sensibili da un server VPN, è possibile applicare un profilo di autenticazione con autenticazione più forte, rispetto a quello di un server VPN diverso con risorse meno critiche.

Regola # 4: Limitare l’accesso in modo intelligente: La soluzione IDP è in grado di offrire una soluzione adattativa e sensibile ai rischi.

Anche per un singolo server VPN, il provider dell’autenticazione deve essere in grado di offrire un modo per rilevare le anomalie comportamentali degli utenti e presentare sfide diverse a seconda del rischio dell’utente. Ciò è particolarmente importante nello scenario attuale, in cui la maggior parte dei lavoratori, se non tutti, lavorerà da remoto per il prossimo futuro.

Regola # 5: Convalida del dispositivo: L’endpoint stesso è protetto da MFA e accesso condizionale.

Siccome gli utenti sono remoti, e magari utilizzano anche i propri dispositivi personali (BYOD), è importante concedere l’accesso a tali dispositivi solamente agli utenti che sono stati verificati da MFA come parte dell’accesso al dispositivo stesso.

Per ulteriori informazioni sulla protezione della forza lavoro remota, visita il nostro Centro Risorse dedicato al distanziamento dai Rischi.

Prova a pensare: molte delle app utilizzate nel laptop non richiedono credenziali, specialmente se l’azienda non dispone di criteri di autenticazione a fattori multipli (MFA) efficaci. Le password delle app potrebbero essere memorizzate nella cache del browser per praticità, ma ciò le rende anche un bersaglio facile in caso di furti delle credenziali. Se l’azienda adopera l’autenticazione basata su certificati o iWA come comodità, la maggior parte delle app sarebbe direttamente accessibile da un dispositivo affidabile senza alcuna difficoltà di autenticazione. Considerando che anche un’azienda di medie dimensioni può utilizzare più di 100 applicazioni SaaS, immagina l’entità del danno che l’accesso anche solo ad alcune di queste applicazione può creare.

Anche se il mondo si sta muovendo verso l’archiviazione su cloud, ad alcuni dipendenti piace archiviare copie di file importanti e sensibili utilizzando One Drive, Box o Dropbox. Ai dipendenti costantemente in movimento, come gli addetti alle vendite, piace archiviare le informazioni critiche a livello locale, in quanto potrebbero non avere sempre accesso al cloud. Tali file possono contenere lead di vendite, informazioni finanziarie, informazioni sui partner, codici, segreti commerciali e così via.  Nel peggiore dei casi, un dipendente negligente potrebbe aver memorizzato le proprie password in un file Excel.

Oltre ai dati aziendali sensibili, un laptop in media può contenere diversi file con dati personali del proprietario, quali indirizzo, numero di telefono, e-mail, SSN, coordinate bancarie e dati della carta di credito. Nelle mani sbagliate, questi dati finanziari importantissimi possono essere utilizzati per il furto di identità.

Inoltre, i client di posta elettronica come Outlook sono tipicamente “sempre aperti”, per cui sono a rischio. Spesso gli indirizzi e-mail dei dipendenti possono essere utilizzati per reimpostare le password dei vari servizi, e non di rado le e-mail stesse contengono informazioni sensibili sul datore di lavoro. Utilizzando il social engineering, i criminali informatici possono sfruttare un’e-mail del dipendente per ottenere informazioni di natura sensibile sugli altri dipendenti.

In breve, anche se solo uno dei vostri dipendenti smarrisse il proprio laptop, il risultato potrebbe essere disastroso. Senza l’implementazione di criteri per la password aziendali sicuri, è molto probabile che la password sia debole e che non sia nemmeno in grado di resistere a un attacco semplice.

Gli insider malintenzionati prendono di mira anche i laptop non protetti, cercando di appropriarsi indebitamente di informazioni preziose di colleghi o dirigenti senior, o di ottenere l’accesso privilegiato a sistemi e dati aziendali a cui non hanno diritto di accesso. Le minacce interne sono in aumento e possono essere particolarmente pericolose, in quanto possono passare inosservate per settimane, mesi o addirittura anni.

Pertanto, è assolutamente essenziale che i computer portatili aziendali (e persino quelli personali) siano protetti da una potente MFA sullo schermo di avvio e su quello di blocco. In caso contrario, lasci una falla pericolosa nella sicurezza digitale della tua azienda.

Per risolvere questo problema, gli agenti cloud CyberArk Idaptive supportano una MFA forte per la schermata di avvio e quella di blocco dei dispositivi Windows e macOS con funzionalità quali:

• MFA adattiva basata sul rischio
• Supporto per MFA su accesso RDP/RDS ai server Windows
• Reimpostazione fai da te della password in base alle sfide di autenticazione, per ridurre al minimo il supporto e i costi per l’helpdesk informatico
• MFA per i dispositivi offline con la possibilità di bloccare e formattare i dispositivi Windows e macOS in caso di furto
• Fattori di autenticazione flessibili, come OTP, SMS, e-mail, notifiche push mobili, chiavi FIDO2 (come ad es. Yubikey), ecc.

Gli endpoint mettono a repentaglio la sicurezza delle aziende digitali moderne, specialmente con dipendenti o consulenti esterni che lavorano in modalità remota. I più esperti criminali informatici riescono a sfruttare le vulnerabilità degli endpoint per rubare informazioni riservate o interrompere i servizi IT. Adottando un approccio di difesa in profondità alla sicurezza degli endpoint, costruendo un solido mix di controlli di sicurezza dalla MFA alla gestione degli accessi privilegiati, è possibile rafforzare lo stato di sicurezza complessivo e ridurre l’esposizione.

Per saperne di più sulla protezione di utenti remoti, endpoint e risorse critiche, visita il nostro Centro Risorse dedicato al distanziamento dai Rischi.

L’ubicazione fisica degli utenti ha un’importanza sempre più ridotta nel modo in cui conduciamo le nostre attività. Uno studio del 2019 ha rivelato che il 62% delle persone intervistate lavorava da casa almeno una parte del tempo. Nello stesso studio, l’82% di coloro che lavoravano da remoto almeno in parte del tempo ha riferito di voler mantenere o aumentare il proprio livello di lavoro in modalità remota. Inoltre, più della metà (51%) di coloro che non svolgeva alcun lavoro in modalità remota aveva intenzione di iniziare a farlo.

Una cosa da tenere a mente è che queste cifre non prendono in considerazione il numero di fornitori remoti che operano come dipendenti svolgendo compiti essenziali per l’azienda.  Spesso questi utenti hanno bisogno di accedere a sistemi critici allo stesso modo dei dipendenti. Naturalmente, una maggiore flessibilità per i dipendenti comporta maggiori rischi in termini di sicurezza. Per fornire accesso, le organizzazioni spesso si affidano a metodi non sicuri e inefficienti, solitamente basati su VPN per garantire un accesso sicuro.

Tuttavia, non tutti i privilegi dei dipendenti remoti vengono realizzati allo stesso modo.  Alcuni potrebbero aver bisogno di accedere solamente alla posta elettronica e a un numero ridotto di applicazioni aziendali, mentre altri potrebbero aver bisogno di accedere ad applicazioni aziendali critiche come buste paga, risorse umane e dati di vendita e marketing. I fornitori di servizi IT esterni che eseguono il supporto tramite helpdesk esternalizzato richiedono lo stesso livello avanzato di accesso dei fornitori IT interni.

Oggi identificheremo i cinque principali tipi di utenti remoti che spesso necessitano di privilegi elevati per i sistemi e discuteremo di come la gestione degli accessi privilegiati (PAM) con CyberArk Alero è in grado di aiutare le aziende a fornire un accesso sicuro e facile ai sistemi critici gestiti da CyberArk.

1. Dipendenti remoti del reparto IT o dell’azienda incaricata della sicurezza

Questi utenti includono amministratori di dominio, amministratori di rete e altre persone che solitamente accedono a sistemi interni critici dall’interno dell’ufficio, ma che potrebbero avere necessità di farlo da remoto.  Quando il reparto IT o della sicurezza lavora da remoto, mette i bastoni fra le ruote agli amministratori di sicurezza nello svolgimento delle mansioni quotidiane.

È fondamentale identificare i livelli precisi di accesso richiesti dai dipendenti che si occupano di sicurezza e di IT da remoto e implementare il principio del privilegio minimo per garantire che accedano solo a ciò di cui hanno bisogno.  Le soluzioni tradizionali, come VPN, non sono in grado di fornire il livello di accesso granulare e a livello di applicazione necessario per svolgere questa operazione in maniera efficace. Assegnare questo tipo di accesso granulare è importante, in quanto aiuta a prevenire situazioni quali l’accesso ad account root da parte di amministratori Windows.

Integrare in anticipo gli strumenti di sicurezza con il servizio directory per fornire un accesso automatico e specifico deve essere impostato in anticipo in modo tale che, in caso di picchi non pianificati nel lavoro da remoto, non ci siano lacune nelle funzioni IT o di sicurezza mentre vengono stabilite condizioni sicure per lavorare da casa.

2. Fornitori terzi di hardware e software

I fornitori terzi di hardware e software, inclusi i fornitori di servizi IT e i dipendenti del supporto dell’help desk a contratto, spesso forniscono servizi e manutenzione da remoto che richiedono privilegi elevati. Questi tipi di fornitori generalmente necessitano dell’accesso a livello di amministratore per poter svolgere operazioni su qualsiasi tipo di server o database Windows o Linux, e vengono incaricati per eseguire patch, aggiornamenti di sistema e altro ancora.

Ciascuno di essi agisce essenzialmente come amministratore di livello di dominio e, pertanto, può creare scompiglio nell’ambiente se non viene monitorato e fornito in modo adeguato. Tuttavia, l’identificazione di questi utenti e la considerazione dei loro livelli individuali di accesso da fornitore remoto vengono solitamente effettuati singolarmente caso per caso dagli amministratori, e ciò può richiedere molto tempo.  È importante assicurarsi che tutti questi utenti siano identificati e siano in possesso dei diritti di accesso corretti.

3. Fornitori della supply chain

Quando sostenere la produzione o la consegna della merce non è il pane quotidiano di un’azienda, è prassi comune avvalersi del supporto di fornitori specializzati della catena di fornitura. Spesso questi utenti remoti hanno accesso alla rete per monitorare l’inventario nelle organizzazioni di vendita al dettaglio o di produzione. Possono inoltre avere accesso a dati sensibili relativi ai risultati previsti, al controllo della qualità e ad altri sistemi critici che potrebbero essere correlati ai sistemi di controllo industriale e alle tecnologie operative (ICS/OT) o ai processi della supply chain in loco.

Questi fornitori potrebbero non essere i primi che ci vengono in mente perché non sono qualificati come amministratori, ma i fornitori della supply chain hanno accessi che potrebbero essere sfruttati in modo pericoloso da parte di attaccanti malintenzionati o trasformarsi in un problema grave a causa di un uso improprio interno involontario.

4. Aziende di servizi

Le aziende di servizi che svolgono compiti di dipartimento come azioni legali, pubbliche relazioni e buste paga potrebber aver bisogno di accedere ad applicazioni aziendali specifiche per svolgere le proprie mansioni in modo efficiente. È importante identificare questi tipi di utenti e applicare il principio del privilegio minimo per assicurarsi che non abbiano accesso a nulla al di fuori delle proprie sfere di competenza o che non abbiano accesso più a lungo di quanto non ne abbiano bisogno. Non ha molto senso, ad esempio, se un’azienda di servizi legali ha accesso alle informazioni sulle buste paga; una situazione simile non farebbe che aumentare i potenziali rischi.

Applicazioni aziendali critiche come CRM (Customer Relationship Management), ERP (Enterprise Resource Planning), console cloud e altre ancora sono importanti per la continuità e le operazioni aziendali, ma nelle mani delle persone sbagliate i dati che risiedono in queste applicazioni possono risultare estremamente pericolosi. Identificare chi ha accesso a queste applicazioni è molto importante e ridurre al minimo la capacità di spostarsi lateralmente da un’applicazione aziendale all’altra può impedire che venga commessa una grave violazione dei dati.

5. Consulenti esterni

I consulenti aziendali e IT talvolta hanno bisogno di un accesso privilegiato per essere produttivi sui progetti per i quali sono incaricati, ma devono avere tale accesso solo durante il periodo di tempo per cui sono stati incaricati. Questi tipi di fornitori sono temporanei per natura e spesso richiedono accesso solo per giorni, settimane o mesi durante lo svolgimento delle loro mansioni. Tuttavia, in tale arco di tempo, i consulenti esterni riceveranno spesso un accesso completo a determinate aree dell’azienda.

Identificare in anticipo chi sono questi consulenti e quale tipo di accesso richiedono (nonché a cosa e per quanto tempo) aiuta a ridurre i rischi e a salvaguardare la sicurezza dell’azienda.  Inoltre, l’accesso di un consulente esterno deve essere attentamente monitorato e protetto mentre è attivo e il suo accesso deve essere revocato automaticamente non appena si conclude il suo rapporto lavorativo con l’azienda.

Prova a immaginare: un consulente viene assunto per un progetto di tre settimane, riceve un feedback scarso e non si sente abbastanza ricompensato.  Se gli accessi non gli vengono tolti automaticamente, la persone in questione potrebbe mantenere elevati livelli di accesso oltre la scadenza del contratto e sfruttarli per causare danni irreparabili all’azienda come recupero del capitale investito. Sebbene questo possa sembrare uno scenario improbabile, è solo un esempio del danno che gli accessi elevati possono causare se non monitorati e aggiornati regolarmente.

Mentre sempre più aziende si affidano a utenti remoti come parte della propria attività aziendale quotidiana, è importante che comprendano i vari tipi di utenti che accedono ai loro sistemi al di fuori dei loro uffici. E a essere ancora più importanti sono la gestione, il monitoraggio e la protezione di tale accesso.

Anche se può sembrare un compito arduo, CyberArk Alero è un’offerta SaaS che aiuta le aziende a fornire e offrire un accesso sicuro agli utenti remoti che accedono a sistemi critici gestiti da CyberArk. La soluzione può essere distribuita facilmente a qualsiasi numero di utenti remoti, senza bisogno di VPN, agenti o password.

All’Impact Live 2020, abbiamo dedicato molto tempo a discutere delle strategie per mantenere una solida postura di cybersecurity nell’era dello smart working. Attualmente, gli utenti hanno bisogno di flessibilità per lavorare con efficienza e poter accedere ai sistemi aziendali in qualsiasi momento e luogo. Tuttavia, questo nuovo modo di lavorare introduce nuove sfide di sicurezza, che richiedono soluzioni moderne.

Di seguito proponiamo sette buone pratiche per aiutare i dipendenti remoti a mantenere alti livelli di produttività e sicurezza, senza incidere negativamente sulle operazioni o sulle pratiche aziendali consolidate.

1. Implementare l’autenticazione SSO (Single Sign-On) e MFA (Multi-Factor Authentication).).) Con l’autenticazione SSO, puoi sfruttare un provider di identità centralizzato per gestire l’autenticazione degli utenti e concedere l’accesso alle risorse attraverso un unico set di credenziali di accesso. Ciò ti consente di migliorare la sicurezza attraverso policy più sicure per le password, di aumentare la produttività con un accesso semplificato a tutte le risorse che servono ai dipendenti per poter lavorare, e facilitare l’ottemperanza ai requisiti di conformità in materia di accesso da parte dei reparti IT. L’autenticazione MFA aggiunge un ulteriore livello di protezione alle risorse aziendali. L’autenticazione MFA ti consente di stabilire con certezza chi siano gli utenti, chiedendo loro di soddisfare diversi criteri di autenticazione. Puoi ad esempio chiedere agli utenti di fornire qualcosa che conoscono, come una password, e qualcosa di cui dispongono, come un codice una-tantum inviato ai loro dispositivi mobili. L’autenticazione MFA può essere utilizzata per proteggere l’accesso ad applicazioni, workstation, desktop virtuali, VPN e altro ancora. Per gli utenti che non si connettono direttamente dalla rete aziendale, l’autenticazione MFA è essenziale per impedire l’uso di credenziali compromesse per accedere alle risorse protette.
2. Implementare il privilegio minimo sugli endpoint per proteggere dati e applicazioni sensibili. Fornendo agli utenti finali e agli amministratori solo i livelli minimi assoluti di accesso privilegiato di cui hanno bisogno (secondo il principio del privilegio minimo) si riduce drasticamente la superficie di attacco. Un modo per raggiungere questo obiettivo è eliminare i diritti amministrativi locali superflui dalle workstation, per impedire che gli endpoint possano essere compromessi con conseguenti possibili spostamenti laterali. Ciò riduce il rischio di introduzione di malware o ransomware nell’ambiente, che può essere quindi distribuito con facilità. ​
3. Disabilitare il protocollo RDP per le workstation. L’esposizione delle workstation al protocollo RDP (Remote Desktop Protocol) è stata causa di molte violazioni di alto profilo, specialmente da quando sempre più forza lavoro opera in remoto. Isolare le sessioni riduce il rischio che gli endpoint – da sempre gli anelli più deboli per l’accesso alla rete – espongano i sistemi critici. Inoltre, stratificare la registrazione automatica di ogni sessione con l’analisi in tempo reale dei comportamenti aiuta a rilevare e correggere rapidamente i comportamenti sospetti, se e quando si presentano.  ​
4. Ridurre la dipendenza complessiva dalle VPN. L’impennata dello smart working ha determinato un drastico aumento dell’uso di VPN. In un recente sondaggio di CyberArk, il 63% dei dipendenti ha riferito di aver utilizzato VPN per accedere a sistemi aziendali critici. Ormai da tempo, gli aggressori prendono di mira le VPN, poiché danno accesso all’intera rete interna. Le VPN non sono progettate per fornire un accesso granulare a sistemi e applicazioni di livello critico, quindi la loro impostazione può richiedere molto tempo. Spesso, configurare questi strumenti e renderli utilizzabili richiede talmente tanto lavoro manuale da fare sì che l’obiettivo reale, quello di ridurre i rischi, venga perso di vista dai team di sicurezza.
5. Impostare una policy per consentire, bloccare o limitare le applicazioni. Nell’era dello smart working, le chiamate non necessarie all’help desk stanno aumentando notevolmente. Grazie alle policy di autorizzazione/blocco/limitazione, gli amministratori possono consentire agli utenti remoti di accedere ai sistemi di cui hanno bisogno per svolgere il proprio lavoro senza ulteriori problemi. Un altro modo per ridurre le chiamate all’help desk è permettere agli utenti di accedere ad applicazioni affidabili senza dover chiamare l’helpdesk. Ciò consente alle risorse IT di concentrarsi su iniziative più strategiche, aiutando nel contempo gli utenti finali a lavorare in modo più efficiente ed efficace.  ​
6. Implementare iniziative self-service ove applicabile. Analogamente, tutto ciò che un’azienda può fare per ridurre le chiamate non necessarie all’help desk può essere un enorme risparmio in termini di tempo e manodopera. La reimpostazione della password e lo sblocco dell’account in modalità self-service tramite autenticazione MFA consente agli utenti finali di reimpostare le proprie password aziendali e sbloccare i propri account in piena autonomia. Le richieste di accesso ad applicazioni e server in modalità self-service consentono agli utenti finali e ai fornitori remoti di richiedere l’accesso ad applicazioni, server e altri sistemi interni critici con successiva approvazione da parte del reparto IT e del management senza dover inviare ticket all’helpdesk. La registrazione/sostituzione dell’autenticazione MFA in modalità self-service consente agli utenti finali di registrare nuovi autenticatori e sostituire e reimpostare le password. Queste funzionalità permettono inoltre agli utenti finali di sostituire quelli smarriti o rubati senza dover presentare ticket all’helpdesk. Infine, il self service consente di richiedere l’accesso ad applicazioni o server senza aggiungere ulteriori carichi di lavoro per l’helpdesk.
7. Messa a disposizione del provisioning just-in-time per utenti terzi. La spinta alla mobilizzazione della forza lavoro ha avuto un chiaro impatto anche sul numero di fornitori terzi ai quali si rivolgono le organizzazioni. Questi tipi di utenti presentano nuove sfide in quanto non fanno parte della directory aziendale e possono essere difficili da gestire e monitorare. È possibile ridurre drasticamente la superficie di attacco introducendo soluzioni che consentano di effettuare automaticamente il provisioning e il de-provisioning dell’accesso con un processo di onboarding una tantum. In questo modo, i fornitori avranno l’accesso just-in-time, ovvero l’accesso di cui hanno bisogno solo per il tempo necessario, senza alcun intervento da parte degli amministratori di sicurezza o IT per fornire e revocare l’accesso alla superficie di attacco.

Trovare il giusto equilibrio tra sicurezza e praticità è una sfida per le organizzazioni nell’era dello smart working. Poiché molti dipendenti stanno lavorando in remoto senza alcuna previsione di quanto tutto ciò finirà, la risposta a questo dilemma è più importante che mai. Seguendo queste buone pratiche, le organizzazioni possono dare ai propri dipendenti remoti un accesso sicuro che non interferisca con la produttività o l’operatività aziendale.

Non hai potuto partecipare a Impact Live? Nessun problema. Iscriviti a Impact Live on demand per visualizzare tutte le sessioni quando ti è più comodo.

Negli ultimi mesi, il distanziamento sociale ha avuto un ruolo di primo piano in quasi tutti gli aspetti della nostra vita personale e professionale. La maggior parte di noi lavora da casa. I genitori sono ben presto diventati insegnanti e assistenti a tempo pieno, senza smettere di occuparsi anche del proprio lavoro ufficiale. Anche una breve passeggiata per strada ha richiesto un’attenta pianificazione: Mascherina? Fatto. Igienizzante per le mani? Fatto. Le riunioni virtuali hanno sostituito gli impegni sociali.

È difficile immaginare quando – o se – la vita tornerà alla “normalità”; in ogni caso, il distanziamento socialefa ormai parte del nostro vocabolario. Ma non dobbiamo dimenticare il distanziamento dai rischi. Mentre il distanziamento sociale consiste nell’attenersi alle pratiche raccomandate per evitare di contrarre o diffondere il COVID-19, il distanziamento dai rischi è un promemoria che invita a seguire le migliori pratiche di sicurezza per mitigare i rischi di un attacco.

Il nuovo coronavirus ha modificato drasticamente anche il panorama dei rischi. Le aziende si sono affrettate a integrare nuove applicazioni e servizi per rendere possibile il lavoro da remoto. Le abitudini instaurate lavorando da casasono rischiose e mettono a repentaglio i sistemi aziendali critici e le informazioni sensibili. Ad esempio, secondo un recente sondaggio, il 77% dei dipendenti remoti si avvale di dispositivi di loro proprietà (BYOD)non gestiti e non sicuri per accedere ai sistemi aziendali. Il 66% dei dipendenti remoti utilizza strumenti di comunicazione e collaborazione che presentano vulnerabilità di sicurezza note, come Microsoft Teamse Zoom. . Nel frattempo, i cybercriminali opportunisti hanno aumentato i loro attacchi– dal prendere di mira i server RDPal lancio di ransomwaresofisticati – nel tentativo di sfruttare questo periodo di incertezze.

Per le aziende, la sfida è affrontare rapidamente e adeguatamente le esigenze legate all’infrastruttura e alla produttività nel modo migliore possibile, riconoscendo la necessità di distanziarsi dai rischi. Ciò è particolarmente vero quando si tratta di proteggere gli accessi privilegiatiper gli utenti remoti sugli endpoint aziendali distribuiti.

Applicare il distanziamento dai rischi nella nuova normalitàSecondo CNBC,settori come quello tecnologico, finanziario o assicurativo hanno investito in strumenti di lavoro da remoto e non vi è alcuna indicazione che torneranno a lavorare col metodo precedente. Con l’aumento del numero di organizzazioni che estende a lungo termine la modalità di lavoro da casa, i team di sicurezza dovranno analizzare approfonditamente i programmi di sicurezza informatica esistenti e le relative priorità, per verificarne l’adeguatezza al panorama in continua evoluzione.

Abbiamo preparato una raccolta di risorse per aiutarti a delineare nuove strategie in grado di bilanciare in modo efficace sicurezza e produttività per preparare al meglio la tua organizzazione per il futuro.  Ti permetterà di implementare il distanziamento dai rischi nella tua organizzazione, in condizioni di massima sicurezza e responsabilità.

Dai un’occhiata al nostro Risk Distancing Resource Centerper scoprire perché la gestione degli accessi privilegiati (PAM) è uno dei modi più efficaci per proteggere le risorse critiche, le workstation e l’accesso remoto degli utenti. Esamina le migliori procedure, guarda i video informativi della serie “Chiedilo agli esperti” e approfitta delle versioni di prova del software e degli strumenti gratuiti CyberArk che possono aiutarti a identificare e mitigare le vulnerabilità legate ai privilegi all’interno del tuo ambiente.

Sei pronto a mettere in pratica il distanziamento dai rischi? Leggi alcuni dei nostri ultimi post sul blog, che ti guideranno nei tuoi prossimi passi:

• Affrontare le sfide di sicurezza informatica nella nostra “nuova normalità”
• Cosa ci insegna l’attacco all’OMS sulla ridefinizione dei rischi
• 5 tipi di utenti remoti di cui tenere conto
• L’esodo dagli uffici favorisce la (in)sicurezza informatica
• Gli aggressori sono a caccia di server RDP esposti
• L’FBI segnala un forte incremento degli attacchi informatici
• 4 modi in cui la gestione degli accessi privilegiati protegge gli utenti remoti
• Sondaggio sul lavoro remoto: Come le abitudini informatiche assunte a casa minacciano la sicurezza della rete aziendale

Nell’ambito del percorso continuo verso la digital transformation, le aziende si orientano all’automazione robotizzata dei processi (RPA, Robotic Process Automation) per aumentare efficienza e produttività. Secondo Deloitte, il 53% delle organizzazioni ha iniziato a utilizzare la tecnologia RPA per robotizzare e automatizzare le attività ripetitive e consentire agli operatori umani di concentrarsi su attività di valore superiore, accelerare il valore di business e incrementare la scalabilità dei processi. Le previsioni suggeriscono che l’adozione di RPA aumenterà fino al 72% nei prossimi due anni e, supponendo che prosegua ai ritmi attuali, raggiungerà una copertura quasi universale entro i prossimi cinque anni.

Creazione del business case per la gestione degli accessi privilegiati per RPA

L’interesse dimostrato dalle organizzazioni nei confronti della tecnologia RPA offre ai CISO e ai responsabili della sicurezza l’opportunità di supportare le conversazioni con il business con argomentazioni quali il valore dell’applicazione di una forte cybersecurity a questa tecnologia evolutiva e i risultati commerciali correlati. Ecco tre modi per creare il business case per la sicurezza RPA, incentrata sulla protezione dell’accesso privilegiato:

• Minore rischio = maggiori risparmi sui costi. Anche se le stime attuali per i risparmi sui costi offerti da RPA sono variabili (dal 25 al 50%) il ROI è innegabile. Lo studio di Deloitte segnala un ROI totale in meno di 12 mesi, con miglioramenti significativi in termini di conformità, qualità, precisione, produttività e costi. Ma per sfruttare appieno le potenzialità finanziarie di RPA, occorre che la sicurezza sia parte integrante fin dall’inizio. Il monitoraggio e la protezione dei percorsi privilegiati è il primo passo fondamentale per la messa in sicurezza dei flussi di lavoro RPA. Questo impedisce agli utenti non autorizzati di accedere ai dati elaborati dai robot software RPA e impedisce agli insider malintenzionati e agli attaccanti esterni di portare avanti un attacco.
• Maggiore efficienza operativa. Circa il 10-20% di tutte le ore lavorative degli operatori umani è dedicato ad attività ripetitive su computer. RPA consente di automatizzare gran parte del “lavoro manuale” di una giornata lavorativa tipo, come l’inserimento di dati (quali fatture e ordini) da un’applicazione a un’altra. L’implementazione della gestione degli accessi privilegiati (PAM) per RPA non solo riduce il rischio, ma estende anche l’automazione alla gestione e alla rotazione delle credenziali privilegiate dei robot software. In questo modo, i team di IT Operation sono in grado di snellire i processi e migliorare l’efficienza operativa. Rifocalizzando questi team su compiti meno laboriosi, più importanti per il business e intellettualmente più stimolanti, le organizzazioni hanno l’opportunità di motivare i dipendenti, ridurre lo stress, aumentare l’interesse e la soddisfazione lavorativa, riducendo anche il burnout e l’abbandono dei dipendenti.
• Compliance semplificata: RPA riduce al minimo l’accesso umano ai dati sensibili, con conseguente riduzione del rischio e dei problemi di conformità. Per contro, tuttavia, RPA prevede l’attivazione di molti nuovi “robot” non umani che hanno bisogno di accesso privilegiato per connettersi a sistemi e informazioni sensibili, aprendo di fatto la porta a nuove sfide in tema di conformità. Una soluzione solida e centralizzata per la gestione degli accessi privilegiati può semplificare notevolmente il reporting di audit automatizzando l’applicazione delle policy di accesso privilegiato e fornendo una visibilità completa su “chi”, “quando”, “perché” e “cosa” si verifica durante le sessioni privilegiate.

Gli indubbi vantaggi commerciali di un solido programma di gestione degli accessi privilegiati possono evidenziarsi all’interno di molte iniziative di digital transformation, da RPA al cloud fino a DevOps. Comunicare efficacemente il valore della gestione degli accessi privilegiati a miglioramento del business sarà importante per ottenere il supporto della dirigenza e per ottenere il budget e le risorse necessarie. A quel punto, la leadership esecutiva potrà aiutare a motivare i dipendenti facendone una priorità organizzativa, diffondendo un senso di urgenza e appartenenza ed evitando una deriva indesiderata.

Robotic Process Automation: espansione della superficie di cyber attacco

Parallelamente ai molti vantaggi, RPA può introdurre nuovi rischi significativi in termini di sicurezza ed espandere la superficie di attacco complessiva di un’organizzazione. In una tipica implementazione RPA aziendale, possono essere utilizzati migliaia di robot software in produzione, che vengono attivati e disattivati su richiesta. Questi robot possono eseguire un numero enorme di attività funzionali automatizzate ogni ora o persino ogni minuto. Per informazioni più approfondite a questo proposito, segui il nostro webinar on-demand “The Power and Potential of Robotic Process Automation“. Ognuno di questi robot software ha bisogno di privilegi per connettersi ai sistemi e alle applicazioni su cui deve operare. Se lasciate prive di protezione, queste credenziali non umane diventano un bersaglio appetibile. Gli attaccanti possono comprometterle e sfruttarle per spostarsi lateralmente e portare avanti l’attacco. Dato il numero di bot distribuiti in produzione in un dato momento, queste credenziali non protette possono espandere il vettore di attacco in modo esponenziale.

Tutto questo significa che nel momento in cui le organizzazioni adottano la tecnologia RPA, i team di sicurezza devono gestire e proteggere le credenziali privilegiate per questi robot proprio come farebbero con qualsiasi altro utente o processo privilegiato.

Esempio pratico di gestione degli accessi privilegiati per Robotic Process Automation: CyberArk e UiPath

Oggi, CyberArk offre più integrazioni out-of-the-box con le principali soluzioni RPA e protegge più implementazioni in produzione di qualsiasi altro fornitore di soluzioni di gestione degli accessi privilegiati. Una di queste integrazioni è con UiPath, che permette alle organizzazioni di implementare controlli degli accessi privilegiati direttamente all’interno dei loro flussi di lavoro e processi RPA e, in ultima analisi, di incrementare il valore di business.

La soluzione integrata archivia e gestisce centralmente tutte le credenziali di accesso al dominio Windows tramite Orchestrator di UiPath (incluso nella UiPath Enterprise RPA Platform, che offre funzionalità centralizzate di programmazione, gestione e monitoraggio per tutti i robot software) e tutte le altre credenziali non Windows direttamente tramite CyberArk Privileged Access Security Solution. I bot software possono recuperare le credenziali necessarie in tutta sicurezza prima di eseguire operazioni automatizzate. Per una demo completa, guarda questo webinar on-demand.

Ti interessa capire come sfruttare tutti i vantaggi delle soluzioni RPA riducendo il rischio correlato ai privilegi? Guarda questo video di due minuti di CyberArk e contattaci oggi stesso.