CyberArk protegge gli accessi privilegiati con la biometria

Alero di CyberArk combina accesso Zero Trust, biometria e provisioning just-in-time per garantire che i fornitori remoti di servizi accedano esclusivamente alle aree abilitate

 

La proiezione di un’azienda verso l’esterno, il dissolversi dei confini di sicurezza tradizionali, la mobilità, il cloud e il multi-cloud sono paradigmi che allo stesso tempo offrono la possibilità di sviluppo aziendale e criticità per chi deve garantire che il tutto debba svolgersi in modo controllato e sicuro.

Il problema, se così lo si può chiamare, è che nella virtualizzazione e nella trasformazione digitale di un’azienda e nello sparire dei confini fisici che proteggevano la sicurezza di dispositivi, di dati e applicazioni, è necessario ricorre ai servizi erogati da terzi, siano essi operatori o broker che rivendono servizi forniti da più operatori.

I benefici derivanti dall’esternalizzazione della gestione di un IT sempre più complesso sono di certo molti, soprattutto perché diventa possibile concentrarsi sul proprio core business, ma questo ha come derivato che le organizzazioni aziendali per gestire sistemi anche critici si debbano affidare a fornitori a loro remoti in base a specifici contratti.

Lo svanire del perimetro aziendale richiede però che i fornitori remoti di un servizio di gestione dispongano di un accesso adeguato ai sistemi specifici di cui necessitano per svolgere il compito loro assegnato e contrattualizzato, abilitandone però l’accesso solo quando ne hanno un effettivo bisogno.

Per mitigare i rischi, le organizzazioni tengono in genere traccia di chi accede a sistemi o asset aziendali all’interno del proprio ambiente ricorrendo ad un primo livello di autenticazione in cui gli utenti o le macchine in qualche modo sono tenuti a dimostrare di essere realmente chi o cosa affermano di essere.

Solo al termine della fase di identificazione e autenticazione del fornitore remoto del servizio il processo di abilitare o disabilitare l’accesso ha inizio.

Proteggere le risorse con un accesso zero trust

Proteggere le risorse con un accesso zero trust

Il rischio dei processi manuali di autenticazione

Il problema, osserva però Andrew Silberman, senior product marketing manager di CyberArk, risiede nel fatto che l’affidarsi a processi manuali per eseguire abilitazione o disabilitazione (in anglosassone riferito come provisioning e deprovisioning) dell’accesso nei confronti dei fornitori remoti del servizio contrattualizzato è lungi dall’essere infallibile e introduce molti potenziali problemi.

Questo perché quello siglato con fornitori remoti è un contratto limitato nel tempo e gli stessi non sono in genere parte di Active Directory o servizi di directory equivalenti.

Non ultimo, hanno la necessità di accedere non all’intero panorama dei sistemi IT ma solo ad un loro sottoinsieme e in base al tipo di contratto, alle operazioni da effettuare o in base alle sessioni richieste al fine di espletare il compito loro assegnato.

Il rischio in cui si può incorrere con una gestione manuale è che agli stessi sia concesso di accedere anche a sistemi di cui non necessitano oppure, al contrario, di non poterlo fare per i sistemi di cui necessitano per svolgere il proprio compito.

Questo senza trascurare il rischio che un accesso sia loro garantito in modo permanente anche dopo che il termine contrattuale è scaduto.

Un ulteriore aspetto critico deriva dal ricorso a policy del tipo “Bring-your-own-device”, che se lasciano maggior flessibilità ad un operatore ed al suo personale rendono molto più difficile il compito di controllo assegnato al team di sicurezza IT.

I team IT, osserva Silberman, hanno quindi bisogno di un modo per garantire che questi dispositivi siano sicuri anche quando ai sistemi critici accedono da remoto.

Più sicurezza con un accesso a più fattori

Più sicurezza con un accesso a più fattori

L’approccio Zero Trust alla sicurezza

La risposta ai problemi e alle esigenze evidenziate la si trova in quello che viene riferito come “Zero Trust”, e cioè un modello di sicurezza basato su un rigido processo di verifica delle identità che prevede che solo gli utenti e i dispositivi autenticati e autorizzati possano accedere alle applicazioni e ai dati.

Zero Trust, in sostanza, focalizza le politiche di sicurezza e i controlli di accesso sull’identità dell’utente e del dispositivo anziché sulla posizione dell’utente o del dispositivo. Ne deriva una forte influenza su quello che costituisce un modello ideale di autenticazione.

Il verificare una identità attraverso l’autenticazione, sia che questo debba avvenire internamente od esternamente all’’ufficio, è un processo che può tuttavia assumere molte forme.

Esempi classici sono costituiti dal digitare una combinazione di nome utente e password o metodi più attuali quali i sistemi di riconoscimento biometrico o l’utilizzo di un dispositivo trusted e noto.

Ad alto livello, l’autenticazione in genere assume tuttavia tre possibili forme e si esprime in:

  • Qualcosa che sai (e.g. una parola segreta o una combinazione di nome utente e password)
  • Qualcosa che hai (e.g. lo smartphone personale o un badge con il nome)
  • Qualcosa che sei (e.g. l’impronta digitale o la scansione della retina)

Un approccio generalmente raccomandato, evidenzia Silberman, soprattutto quando si tratta di accedere a risorse critiche, è istituire un ulteriore livello di sicurezza con autenticazione a più fattori, che richiede agli utenti di utilizzare contemporaneamente più di un metodo per dimostrare la propria identità.

Ciò può includere qualcosa che conoscono, come la risposta a una domanda di sicurezza o qualcosa che hanno, come una conferma di un messaggio di testo inviata a un telefono cellulare.

CyberArk - Andrew Silberman

CyberArk – Andrew Silberman

I vantaggi di una autenticazione Zero Trust e Biometrica

Il problema è che “Qualcosa che sai” e “qualcosa che hai” sono entrambi metodi con punti ciechi intrinseci. Il primo espone al fatto che i cyber criminali hanno una esperienza trentennale di cracking di password, il secondo che quello che hai può essere rubato o intercettato.

La criticità dei primi due approcci enfatizza la valenza del terzo perché una impronta digitale costituisce in ogni istante e per sempre un modello unico.

L’uso di una retina o di una scansione delle impronte digitali anziché una password o un telefono aziendale può perciò bloccare le vie di attacco e migliorare la sicurezza, rendendo l’autenticazione anche un processo più fluido per l’utente.

Introducendo una migliore forma di autenticazione biometrica, le organizzazioni possono offrire ai fornitori remoti di servizi un metodo più forte e più conveniente per confermare la loro identità.

Va poi considerato che l’autenticazione biometrica è particolarmente adatta ad una sicurezza Zero Trust per lo stesso motivo per cui è ideale per autenticare i fornitori remoti di servizi. Una autenticazione biometrica non può essere rubata, persa durante il trasporto, dimenticata o decifrata.

Quelli evidenziati sono i motivi principali per cui le organizzazioni che adottano un modello di sicurezza Zero Trust spesso ricorrono ad una autenticazione biometrica per verificare i loro fornitori remoti.

Inoltre, combinando l’autenticazione biometrica con una soluzione di back-end avanzata si dà alle organizzazioni aziendali la possibilità di concedere ai fornitori remoti di servizi esclusivamente l’accesso a quello che loro necessita e di effettuare automaticamente il processo di provisioning e il deprovisioning.

“Questo è ciò che fa CyberArk Alero,  una nuova soluzione di CyberArk fruibile in modalità SaaS. Alero combina l’accesso Zero Trust, l’autenticazione biometrica e il provisioning just-in-time in modo da garantire che i fornitori remoti possano accedere esclusivamente e in modo sicuro ai sistemi loro necessari. E’ una soluzione che non richiede la realizzazione di VPN, l’installazione di agenti o password e permette di creare un’esperienza senza soluzione di continuità e sicura per amministratori IT, team operativi e utenti di fornitori remoti”, ha illustrato Silberman.