La sicurezza in 7 passi
di Flavio Padovan
-
17 Maggio 2018
Gli account privilegiati sono un obiettivo prioritario della criminalità cyber. Andrea Argentin di CyberArk spiega cosa devono fare le banche per proteggerli: dal controllo degli account infrastrutturali alla limitazione dei “movimenti laterali”, dalla gestione delle chiavi SSH al monitoraggio delle credenziali business
Sono sempre più nel mirino della cyber criminalità gli account privilegiati, cioè tutti gli account in grado di operare con privilegi amministrativi. Il perché è semplice da spiegare: conquistando questo tipo di credenziali gli attacchi sono più facili, veloci ed efficaci perché si ha un accesso ampio, se non illimitato, alle funzioni e ai dati del sistema. E si può arrivare anche al domain controller. Se si analizzano gli incidenti più gravi legati alla sicurezza informatica, ad esempio quello alla Banca Centrale del Bangladesh, c'è sempre stato un utilizzo illecito di account privilegiati. CyberArk è fortemente impegnata su questo fronte e a
Banche e Sicurezza 2018 pone l’attenzione su come riuscire a mitigare questo tipo di rischio. Ne abbiamo parlato con
Andrea Argentin, Pre-Sales Team Leader in
CyberArk, che ci ha anticipato alcuni dei temi del suo intervento, a partire dai passaggi chiave.
“Lo scenario peggiore è l' “irreversible network takeover attack” - inizia a spiegare Argentin – che si ha quando chi attacca riesce, tramite un uso fraudolento degli account privilegiati, a collegarsi al domain controller. Entrato in possesso di quello che i tecnici chiamano “golden ticket”, cioè la possibilità di creare e chiudere account privilegiati, è di fatto il dominus dell'infrastruttura. Se nel fare un assessment verifichiamo questa situazione, non resta che ricominciare da zero. Le soluzioni di mitigazione del rischio che propone CyberArk mirano proprio ad evitare questa estrema conseguenza, che è frutto di molte lacune sul piano della sicurezza da parte dell'azienda attaccata”.
Quali sono gli altri punti d'attenzione per le banche?
“Un secondo passo è il controllo e la messa in sicurezza degli account infrastrutturali. Si tratta di tutti quegli account amministrativi conosciuti perché utilizzati quotidianamente per accedere alle varie infrastrutture, ad esempio quelle, Microsoft, Unix/Linus, Sap, ecc. La banca deve sapere quando vengono utilizzati, da chi e come. Altro punto fondamentale, e siamo al terzo, è limitare il cosiddetto “movimento laterale”. Spesso gli amministratori si spostano da un server all'altro senza chiudere le sessioni, per comodità o disattenzione. In questo modo, però, lasciano degli hash che possono essere intercettati dall'attaccante che, seguendo questo percorso, può compromettere ulteriori macchine e servizi di rete collegati al computer già infiltrato. Per evitare questo, la soluzione di CyberArk isola le sessioni degli utenti privilegiati e consente solo collegamenti puntuali a una macchina alla volta, evitando così i pericolosi movimenti laterali all'origine”.
Oggi tutte le aziende, e quindi anche le banche, lavorano spesso anche con operatori in outsourcing...
“Per questo molta attenzione, forse di più di quella rivolta verso gli amministratori interni, va prestata agli account privilegiati di terze parti. Spesso consulenti e operatori in outsourcing adottano, infatti, comportamenti a rischio. Ad esempio, capita frequentemente che più persone che svolgono lo stesso lavoro utilizzino uno stesso account. È quindi prioritario – ed è il quarto punto di cui parlerò a Banche e Sicurezza - mettere in sicurezza e monitorare anche queste credenziali. Altro passaggio fondamentale in questo percorso di mitigazione del rischio, riguarda le chiavi SSH. Utilizzate in combinazione con password per proteggere utenti privilegiati e applicazioni, sono strumenti che tendono però a sfuggire al controllo dei responsabili della sicurezza. Come per quelle fisiche, anche per le chiavi SSH si può fare una copia. Di conseguenza, tali credenziali non gestite aprono enormi falle nella difesa, offrendo una facile via di accesso al cuore delle infrastrutture. La soluzione CyberArk è in grado di gestire la proliferazione delle chiavi ssh e di gestirle, ruotando inoltre le password”.
Quali altre aree devono essere oggetto di attenzione per evitare la compromissione degli account privilegiati?
“Sono sicuramente punti sensibili l'utilizzo di Cloud e della metodologia di sviluppo del software DevOps, ma molta attenzione deve essere prestata anche agli utenti business. E se non c'è dubbio che sia necessario gestire attentamente le credenziali relative ad infrastrutture esterne, tipicamente i servizi in cloud, per evitare che siano porte d'accesso degli attacchi cyber, meno attenzione troviamo per la parte DevOps. In quest'ultimo caso le criticità hanno a che fare con un modo di lavoro degli sviluppatori, che trascrivono su file di log informazioni sensibili, comprese le credenziali. Un approccio dettato da esigenze pratiche che però non è appropriato dal punto di vista della sicurezza. Recentemente Twitter ha dovuto chiedere a milioni di suoi iscritti di cambiare la password proprio per un problema di questo tipo. È quindi prioritario gestire anche le “credenziali secret”, cioè quelle contenute all'interno degli script delle applicazioni”.
Ha fatto riferimento anche agli utenti business. Perché è importante mettere in sicurezza anche i loro account?
“Perché anche se non appartengono necessariamente al settore informatico, hanno accesso a dati sensibili. Ad esempio, possono autorizzare bonifici, emettere fatture, o fare attività che hanno impatto sul business. Da questo punto di vista la banca è molto esposta, perché ha tante funzioni e collegamenti a terze parti. I grandi gruppi bancari hanno un numero molto elevato di amministratori, e se come ci dice una recente indagine, ognuno di loro ha a disposizione tra i 3 e i 5 account privilegiati – per accedere ad esempio all'infrastruttura Microsoft, a Unix/Linux, al database, ecc – le chiavi di accesso da gestire, monitorare e mettere in sicurezza sono tantissime”.
Quanto sono preparate le banche italiane a difendersi dagli attacchi agli account privilegiati?
“Non si può generalizzare: dipende ovviamente molto dai budget a disposizione di ogni singola banca. Però se in altri campi il nostro Paese appare sempre in ritardo, nella difesa degli account privilegiati le banche italiane stanno mostrando molta sensibilità, in particolare i grandi gruppi. Per superare i tradizionali problemi di budget hanno contribuito molto gli interventi normativi, come ad esempio il GDPR, così come altri vincoli esterni, come quelli imposti da Swift. Rimane ancora molto da fare e bisogna tenere sempre alta la guardia, ma c'è attenzione da parte delle banche e questo è un segno positivo”.