Articles

Privileged Access Management

Privileged Access Management (PAM) si riferisce a una classe di soluzioni che aiutano a proteggere, controllare, gestire e monitorare l’accesso privilegiato alle risorse critiche.

Per raggiungere questi obiettivi, le soluzioni PAM in genere prendono le credenziali degli account privilegiati, ovvero gli account di amministrazione, e le inseriscono in un repository sicuro (un vault) isolando l’uso degli account privilegiati per ridurre il rischio che tali credenziali vengano rubate. Una volta all’interno del repository, gli amministratori di sistema devono passare attraverso il sistema PAM per accedere alle proprie credenziali, a quel punto vengono autenticati e il loro accesso viene registrato. Quando una credenziale viene ricontrollata, viene reimpostata per garantire che gli amministratori debbano passare attraverso il sistema PAM la prossima volta che desiderano utilizzare la credenziale.

Centralizzando le credenziali privilegiate in un unico luogo, PAM systems può garantire un elevato livello di sicurezza per loro, controllare chi vi accede, registrare tutti gli accessi e monitorare eventuali attività sospette.

Accesso Privilegiato Gestione da parte di Gartner, ha le seguenti sottocategorie:

  • accesso Condiviso password manager (SAPM)
  • password del Superuser manager (SUPM)
  • Privilegiato gestore di sessione (PSM)
  • Applicazione di accesso password manager (AAPM)

PAM password volte (SAPM) fornisce un ulteriore livello di controllo sugli amministratori e politiche di password, così come il monitoraggio di percorsi di accesso privilegiato per i sistemi critici .

Le password possono seguire una veraity di criteri di password e possono anche essere usa e getta. I broker di sessione, o PSM, portano PAM a un altro livello, assicurando che gli amministratori non vedano mai le password, i loro server proxy temprati come i server jump monitorano anche le sessioni attive e consentono ai revisori di interrompere le sessioni di amministrazione se vedono qualcosa di sbagliato. Allo stesso modo, AAPMs può rilasciare le credenziali just-in-time per la comunicazione da applicazione a applicazione, e anche modificare gli script di avvio per sostituire le password hard-coded con le chiamate API al deposito password.

Scopri di più su come proteggere i tuoi utenti PAM

CyberArk, leader di mercato nel campo della gestione degli account privilegiati, afferma che sono 7 tipi di account PAM in un’azienda:

  1. Account di emergenza : fornire agli utenti l’accesso amministratore a sistemi sicuri in caso di emergenza. L’accesso a questi account richiede l’approvazione della gestione IT per motivi di sicurezza, di solito è un processo manuale privo di misure di sicurezza.
  2. Account amministrativi locali: sono account condivisi che forniscono accesso amministratore solo all’host locale o alla sessione. Questi account locali abitualmente utilizzati dal personale IT per la manutenzione su workstation scopi e anche server, dispositivi di rete, server mainframe e altri sistemi interni. È stato dimostrato in passato che i professionisti IT tendono a riutilizzare le password in un’organizzazione per facilità d’uso. Questa password condivisa viene talvolta utilizzata su migliaia di server e servizi ed è un obiettivo che le minacce persistenti avanzate sono note per sfruttare.
  3. Account applicazione : Questi account vengono utilizzati dalle applicazioni per accedere ai database, eseguire lavori cron o script, o fornire l’accesso ad altre applicazioni. Questi account privilegiati di solito hanno accesso a informazioni critiche sensibili che risiedono in applicazioni e database, ad esempio gli account integrati Zapier. Le password per questi account sono spesso incorporati e memorizzati in file di testo, una vulnerabilità che viene copiato su più canali e server per fornire un errore ereditare per le applicazioni. Questa vulnerabilità è ben nota ed è presa di mira da Advance Persistent threats (APT) .
  4. Active Directory o Windows domain service account : sono una sfida da proteggere per non dire altro, le modifiche alle password possono essere ancora più impegnative in quanto richiedono la sincronizzazione tra più ecosistemi e applicazioni . Questa sfida spesso porta a una pratica di cambiare raramente le password degli account delle applicazioni per evitare lo sprawl delle directory che crea un singolo punto di errore in un sistema critico come Active Directory.
  5. Account di servizio: sono account locali o di dominio utilizzati da un’applicazione o da un servizio per interagire con il sistema operativo. In alcuni casi, questi account di servizio dispongono di privilegi amministrativi sui domini in base ai requisiti dell’applicazione per cui vengono utilizzati.
  6. Account amministrativi di dominio: Super amministratori che hanno accesso privilegiato su tutte le workstation e server all’interno del dominio dell’organizzazione e forniscono l’accesso più esteso attraverso la rete. Con il controllo completo su tutti i controller di dominio e la possibilità di modificare l’appartenenza di ogni account amministrativo all’interno del dominio, sono una minaccia costante per le organizzazioni e sono ampiamente presi di mira dagli hacker.
  7. Account utente con privilegi: sono utenti a cui vengono concessi privilegi amministrativi ai sistemi. Gli account utente privilegiati sono una delle forme più comuni di accesso agli account concessi su un dominio aziendale, consentendo agli utenti di avere diritti di amministratore, ad esempio, sui desktop locali o sui sistemi che gestiscono. Spesso questi account hanno password uniche e complesse, ma la maggior parte delle volte sono protetti da password da solo.

Scopri di più su come proteggere i tuoi utenti PAM

Autenticazione a più fattori PAM

Per le aziende che gestiscono una soluzione PAM, è giunto il momento di scegliere la piattaforma corretta per accedere a quella soluzione che manterrà gli account privilegiati sicuri.

Una soluzione di autenticazione a più fattori (MFA) è un must. Come ha concluso un recente documento di ricerca di Gartner: “Come minimo, i CISO dovrebbero istituire l’autenticazione multifattoriale obbligatoria (MFA) per tutti gli amministratori.”

La scelta di una soluzione ad alta garanzia senza password fa più di sistemi di autenticazione sicuri. Elimina anche il costo associato a password come le chiamate all’help desk e le reimpostazioni delle password. Inoltre, andare senza password porta l’esperienza utente (UX) a un nuovo livello, semplificando il processo di autenticazione. Non più memorizzare e ricordare le credenziali, e non più portare in giro dispositivi aggiuntivi per la verifica.

Leggi l’articolo completo-Gli utenti privilegiati sono obiettivi privilegiati

Secret Double Octopus CyberArk Authentication Solution

Cosa significa accesso privilegiato?

Accesso privilegiato, si riferisce all’accesso a un sistema (on-premise o cloud) che è al di sopra del benchmark anche un normale login utente. Le organizzazioni hanno diversi livelli di sistemi in base al livello di rischio associato alla violazione/uso improprio del sistema.
Gli account di accesso privilegiato sono utenti che hanno accesso a risorse critiche del sistema, quindi devono essere protetti e monitorati.

Quali problemi aiuta a risolvere PAM?

PAM aiuta i clienti a proteggere e controllare i loro account utente privilege per garantire una maggiore sicurezza e governance, oltre a rispettare alcune normative.

Qual è la differenza tra Privileged identity management e Privileged access management?

Privileged Identity management (PIM) e Privileged Access management (PAM) sono spesso usati in modo intercambiabile e significano la stessa cosa: proteggere, controllare, gestire e monitorare l’accesso privilegiato alle risorse critiche.

Come funziona PAM?

Le soluzioni PAM prendono credenziali di account privilegiate, ovvero gli account di amministrazione, e le inseriscono in un repository sicuro, un vault. Una volta all’interno del vault, gli amministratori di sistema devono passare attraverso il sistema PAM per accedere alle credenziali, a quel punto vengono autenticati e il loro accesso viene registrato. Quando una credenziale viene ricontrollata, viene reimpostata per garantire che gli amministratori debbano passare attraverso il sistema PAM la prossima volta che desiderano utilizzare una credenziale.

PAM utilizza le funzionalità in AD DS?

In generale, PAM non ha bisogno di AD DS. Quando viene distribuito con AD, lo scopo di PAM è quello di ristabilire il controllo su un ambiente Active Directory compromesso mantenendo un ambiente isolato e altamente protetto per le credenziali di account privilegiati.

PAM può essere integrato con AD DS per l’autenticazione e l’autorizzazione dell’account di dominio.

Quali vantaggi offre PAM?

PAM crea un ambiente isolato, altamente protetto e strettamente controllato per la memorizzazione di credenziali privilegiate e il controllo dell’accesso ad esse. Garantisce inoltre il monitoraggio granulare dell’utilizzo per gli account privilegiati (ad es. account amministratore), che sono in genere account condivisi.

Che cos’è il Gestore di sessione privilegiato?

Sessioni utente privilegiate, protegge i sistemi mirati consentendo l’accesso senza esporre le credenziali sensibili sfruttando un server di salto sicuro (host amministrativo protetto), Monitorare e registrare le sessioni privilegiate per soddisfare i requisiti di controllo e fermare le sessioni privilegiate sospette in tempo reale.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *