Garantire la sicurezza di utenti privilegiati in ambienti SAP e multicloud

David Higgings, Director of Customer development EMEA di CyberArk, mette in luce i punti critici nella sicurezza degli account privilegiati e come mettervi rimedio

 

Oggigiorno le organizzazioni fanno affidamento su sistemi informativi dalla struttura complessa che ha fatto propri paradigmi come il Cloud, la mobility, l’AI, l’always-on e i servizi forniti da operatori qualificati.

Nel loro insieme quanto fornito da queste infrastrutture ha lo scopo primario di permettere ai dati e alle applicazioni di essere sempre raggiungibili e di cooperare in modo da costituire una potente leva per il loro business e garantire un flusso ininterrotto e sicuro delle informazioni.

Se fornitori di tecnologie e provider di servizi ricoprono un ruolo primario nell’assicurare l’infrastruttura di base, sono però le applicazioni che rappresentano il vero fulcro di un sistema informativo e che abilitano l’operatività funzionale e lo svolgimento dei compiti precipui delle diverse entità aziendali.

E in tutto questo, osserva CyberArk (www.cyberark.com), società con una presenza mondiale e posizionata tra le aziende leader nello sviluppo e commercializzazione di soluzioni per la sicurezza degli accessi privilegiati, SAP ricopre un ruolo essenziale. SAP fornisce il software di Enterprise Management che necessita alle aziende per condurre il proprio business, gestire i propri dati ed aiutare nel predire e interpretare le esigenze future dei propri clienti.

Ma come per ogni medaglia, anche in questo caso esiste un rovescio.  Lo stesso successo e la diffusione di SAP tra aziende di caratura mondiale attrae l’interesse di hacker e di chi può essere interessato a penetrare nel mondo SAP ed impossessarsi di dati aziendali critici.

In pratica, più cresce il numero delle aziende che adottano sistemi, applicazioni e database SAP per il proprio business, parimenti cresce l’interesse di malintenzionati e maggiore è l’esigenza da parte dell’organizzazione di proteggere il proprio asset e ridurre la superficie e i vettori di attacco, e questo soprattutto per quanto riguarda la parte più critica in termini di utenti a contatto con dati di valore, quelli privilegiati.

Proteggere le applicazioni critiche per il business e chi vi accede diventa quindi sempre più mandatorio.

In proposito ai rischi per il business derivanti da un fuori servizio di applicazioni critiche conseguenza di malfunzionamenti o di attacchi informatici, CyberArk ha realizzato un sondaggio tra decision maker sia IT che di altre divisioni aziendali.

Quasi sei su dieci dei manager hanno risposto che persino un breve e non pianificato fuori servizio avrebbe avuto un effetto traumatico sul business aziendale.

Quasi i tre quarti hanno invece dichiarato che la loro vita lavorativa sarebbe divenuta più difficile se applicazioni critiche si fossero interrotte per un periodo di tempo significativo.

Per i due terzi, infine, le ordinarie operazioni sarebbero divenute impossibili nel caso di non funzionamento di applicazioni cruciali.

Tralasciando quanto derivante da eventi naturali o malfunzionamenti applicativi e concentrandosi su possibili attacchi di malintenzionati, il rischio in cui si può incorrere è enfatizzato dal fatto che in molti casi i criteri di autenticazione forte posti in essere per proteggere le informazioni sensibili da cui può dipendere il corretto funzionamento delle applicazioni di business critiche sono condivisi tra più dipendenti di una medesima divisione o ufficio e le password finiscono con l’essere ampiamente conosciute nell’ambito dell’organizzazione.

Ad esempio, gli utenti che hanno accesso a NetWeaver, la piattaforma che garantisce la sicurezza di ambienti SAP, possono avere libero accesso a database, applicazioni e analitiche. A questo si aggiunge la difficoltà di controllare dove queste password sono utilizzate e in quali circostanze.

Seppur SAP disponga di misure di sicurezza ideate per indirizzare tali vulnerabilità, evidenzia CyberArk, il dover garantire un accesso sicuro a utenti privilegiati può costituire una complessità operativa addizionale che spesso porta a mancare gli obiettivi mandatori di sicurezza e di compliance.

Sicurezza complementare per utenti SAP privilegiati

Funzionalmente, le soluzioni sviluppate da CyberArk complementano quanto vi è di caratteristico di SAP in termini di sicurezza, incluso in questo la rilevazione dei rischi e quanto concerne il controllo GRC (Governance, Risk, Compliance), in modo da rafforzare la postura complessiva di una organizzazione per quanto concerne la sicurezza.

Ampio il loro campo di azione. CyberArk supporta sia i classici sistemi SAP ERP, così come un’ampia gamma di prodotti e tecnologie SAP, compreso tra queste SAP CRM, SRM, SCM, SAP NetWeaver Java, SAP HANA e Sybase ASE.

Innanzitutto rende possibile gestire e proteggere le credenziali SAP mediante l’integrazione degli account nel repository centralizzato crittografato di CyberArk.

Si ha inoltre la possibilità di automatizzare la rotazione delle password e abilitare il controllo della sicurezza dell’accesso privilegiato a più livelli attraverso lo stack SAP, dal livello dell’applicazione ai database, al sistema operativo, le macchine virtuali e ai server.

La gestione centralizzata si estende anche ai database più comunemente usati in SAP quali Oracle, SAP HANA, Sybase, SQL Server e DB2.

E’ inoltre possibile isolare le sessioni di utenti privilegiati e rafforzare il controllo degli accessi al fine di proteggere i sistemi SAP da utenti e dispositivi non autorizzati.

Non meno importante di questo, è la capacità di soddisfare i requisiti di conformità, con la possibilità di dimostrare l’aderenza alle politiche aziendali interne e alle varie normative del settore – tra cui SOX, PCI DSS, GDPR – con visibilità elevata sui controlli dell’account privilegiato SAP e sui record di attività.

“La soluzione CyberArk di protezione degli accessi privilegiati consente alle organizzazioni che adottano SAP di procedere con la certezza che solo una soluzione certificata SAP fornisce. CyberArk migliora le attuali iniziative di gestione e conformità dei rischi negli ambienti SAP ed estende la sicurezza degli accessi privilegiati, un livello critico di sicurezza IT, ai sistemi aziendali essenziali e alle applicazioni critiche”, ha evidenziato David Higgings, Director of Customer development EMEA di CyberArk.

Advanced Privileged Session Manager for Cloud

Proteggere adeguatamente ambienti SAP critici è il primo passo da compiere, ma non sufficiente se in azienda si sfruttano in modo progressivo la flessibilità e le funzioni del cloud e del cloud ibrido.

Un punto critico, ad esempio, in modo del tutto simile a quanto avviene per ambienti SAP, è costituito dal fatto che i Cloud Administrator e gli utenti business privilegiati dispongono di sovente di diritti elevati nell’accesso a dati sensibili e alle applicazioni web, ma ciononostante le loro attività non sempre ricadono sotto la gestione del team IT dedito alla sicurezza.

In questo modo si apre la strada a forti rischi, in quanto gli utenti con privilegi elevati hanno la possibilità di operare all’esterno del robusto e articolato contesto di sicurezza aziendale, esponendo potenzialmente a rischi sconosciuti l’intera organizzazione.

Per estendere la protezione degli account privilegiati, le applicazioni e i dati a cui questi hanno accesso, ad ambienti esterni al perimetro aziendale fisico, CyberArk ha sviluppato una specifica applicazione, CyberArk Privileged Session Manager for Cloud.

Il punto chiave dell’approccio adottato nel suo sviluppo, ha osservato David Higgings, è che mediante una user experience trasparente l’applicazione estende la protezione per le sessioni di accesso privilegiate e il monitoraggio delle attività oltre che il loro controllo, alle più comuni applicazioni web, nel cloud e sui social media, come ad esempio AWS, Azure o SalesForce.

Parte integrante del portfolio CyberArk, Privileged Session Manager for Cloud fa inoltre leva sulle capacità delle piattaforme di sicurezza CyberArk di individuare e allertare su attività connesse agli utenti privilegiati.

Numerose le possibilità offerte dalla soluzione al fine di migliorare la sicurezza in ambienti cloud ibridi per la protezione degli utenti privilegiati. Tra queste:

  • Supporto delle piattaforme cloud e web: sono supportate le principali piattaforme cloud IaaS e PaaS, SaaS e social media, compreso Amazon Web Services (AWS), Red Hat OpenShift, Salesforce.com e applicazioni social media quali Twitter, LinkedIn, Facebook e Instagram.
  • Accesso trasparente e veloce: l’accesso utente trasparente permette di stabilire una connessione sicura ed estremamente veloce verso le piattaforme cloud e le applicazioni web.
  • Isolamento delle sessioni: gli utenti business privilegiati e le sessioni degli amministratori cloud sono isolate. L’approccio permette di mantenere riservati dati critici e che gli stessi siano usati solo al fine di stabilire una connessione sicura.
  • Monitoraggio delle sessioni: permette di condurre attività di auditing dettagliate di tutte le attività degli utenti privilegiati all’interno della piattaforma cloud e delle applicazioni web. In pratica è possibile accelerare le attività forensi e di investigazione sulla sicurezza, così come fornire il supporto per la corrispondenza ai numerosi regolamenti e normative industriali.
  • Valutazione del rischio: fornisce una comprensione del rischio inerente le sessioni privilegiate e la visibilità dei rischi connessi ad operazioni condotte da singoli utenti privilegiati. Tramite questa funzionalità un’organizzazione ha la possibilità di essere allertata su attività ad alto rischio in cui potrebbe incorrere, nonché di avviare in modo prioritario attività di auditing di tipo periodico e in base al rischio. La valutazione è abilitata da una combinazione di potenti strumenti statistici, algoritmi deterministici, machine learning e di analisi comportamentale.

“CyberArk Privileged Session Manager for Cloud risponde alle esigenze aziendali di elevata sicurezza per utenti privilegiati nei percorsi di trasformazione digitale e la migrazione al cloud ibrido, entrambi fattori che stanno impattando profondamente sia sul business che sulle applicazioni critiche”, ha evidenziato Higgings. “Al fine di supportare le strategie di difesa in profondità dei nostri clienti è vitale bilanciare un facile accesso alle piattaforme cloud e alle applicazioni web con un controllo degli accessi basato su policy, workflow di sicurezza, e una strategia consistente che abbracci sia ambienti on-premise che cloud, e questo è quello che è possibile fare con CyberArk Privileged Session Manager for Cloud”.