Una guida ai principi di base del controllo degli accessi tra definizione, casi d’uso, caratteristiche, implementazioni e rischi da conoscere.
Chi dovrebbe accedere ai dati della vostra azienda? Come potete essere sicuri che chi tenta di accedere abbia effettivamente ottenuto tale accesso? In quali circostanze negate l’accesso a un utente con privilegi di accesso?
Per proteggere efficacemente i vostri dati, la politica di controllo degli accessi della vostra organizzazione deve affrontare queste (e altre) domande. Quella che segue è una guida ai principi di base del controllo degli accessi: che cos’è, perché è importante, quali organizzazioni ne hanno più bisogno e quali sono le sfide che i professionisti della sicurezza devono affrontare per implementare e mantenere questa pratica.
Definizione del controllo degli accessi
“A un livello elevato il controllo degli accessi è una restrizione selettiva dell’accesso ai dati. Consiste di due componenti principali: l’autenticazione e l’autorizzazione” afferma Daniel Crowley, responsabile della ricerca per IBM X-Force Red, che si concentra sulla sicurezza dei dati.
“L’autenticazione è una tecnica utilizzata per verificare che qualcuno è chi dichiara di essere. L’autenticazione però non è sufficiente da sola per proteggere i dati”, osserva Crowley. “Quello che serve è un ulteriore livello rappresentato dall’autorizzazione, che determina se un utente deve poter accedere ai dati o effettuare la transazione che sta tentando di fare”.
Il controllo degli accessi, quindi, consiste nel garantire che gli utenti siano chi dicono di essere e che abbiano l’accesso appropriato “per fare ciò che dovrebbero essere in grado di fare”, afferma Crowley.
Quanto è importante il controllo degli accessi per la sicurezza generale dei dati?
Senza autenticazione e autorizzazione non esiste la sicurezza dei dati. “In ogni violazione dei dati i controlli di accesso sono tra le prime politiche esaminate” osserva Ted Wagner, CISO di SAP National Security Services, Inc. “Che si tratti di esposizione accidentale di dati sensibili protetti in modo improprio da un utente finale o della violazione di Equifax, dove i dati sensibili sono stati esposti attraverso un server web pubblico che opera con una vulnerabilità software, il controllo degli accessi è un componente chiave. Se non correttamente implementato o mantenuto, il risultato può essere catastrofico”.
Quali tipi di organizzazioni hanno più bisogno del controllo degli accessi?
Qualsiasi organizzazione i cui dipendenti si connettono a Internet. In altre parole ogni organizzazione ha bisogno di un certo livello di controllo degli accessi. “Questo è particolarmente vero per le aziende con dipendenti che lavorano fuori dall’ufficio e che richiedono l’accesso alle risorse e ai servizi aziendali” afferma Avi Chesla, CEO della società di cybersicurezza empow.
“Detto in altro modo: se i vostri dati possono essere di qualche valore per qualcuno privo dell’autorizzazione appropriata per accedervi, allora la vostra organizzazione ha bisogno di un forte controllo degli accessi”, afferma Crowley.
5 sfide chiave per l’applicazione del controllo degli accessi
1 – La necessità di politiche persistenti
“La maggior parte dei professionisti della sicurezza sa molto bene quanto il controllo degli accessi sia critico per la propria organizzazione, ma non tutti sono d’accordo su come dovrebbe essere applicato”, afferma Chesla. “Il controllo degli accessi richiede l’applicazione di politiche persistenti in un mondo dinamico senza confini tradizionali”. La maggior parte di noi lavora in ambienti ibridi in cui i dati passano dai server locali o dal cloud agli uffici, alle case, agli hotel, alle auto e ai coffee shop con hot spot aperti, che possono rendere difficile il controllo dell’accesso.
“Un altro fattore di rischio è che l’accesso è disponibile per una gamma sempre più ampia di dispositivi tra cui PC, laptop, smartphone, tablet, speaker intelligenti e altri dispositivi Internet of Things (IoT). Questa diversità rende una vera sfida creare e assicurare la persistenza nelle politiche di accesso”.
2 – Decidere sul modello di controllo più appropriato
“Le organizzazioni devono determinare il modello di controllo di accesso appropriato da adottare in base al tipo e alla sensibilità dei dati che stanno elaborando”, afferma Wagner. I modelli di accesso meno recenti includono Controllo degli accessi di tipo discrezionale (DAC) e Controllo degli accessi vincolato (MAC). Con i modelli DAC, il proprietario dei dati decide in merito all’accesso. Il DAC è un mezzo per assegnare i diritti di accesso in base alle regole specificate dagli utenti.
Il MAC è stato sviluppato utilizzando un modello non discrezionale, in cui alle persone è concesso l’accesso sulla base di un chiarimento delle informazioni. MAC è una policy in cui i diritti di accesso vengono assegnati in base alle normative di un’autorità centrale.
Oggi il Controllo degli accessi basato sui ruoli (RBAC) è il modello più comune. RBAC concede l’accesso in base al ruolo dell’utente e implementa principi di sicurezza chiave, come “minimo privilegio” e “separazione dei privilegi”. Pertanto chi tenta di accedere alle informazioni può accedere solo ai dati ritenuti necessari per il ruolo che riveste.
Il modello più recente è noto come ABAC (Attribute Based Access Control), in cui a ciascuna risorsa e all’utente viene assegnata una serie di attributi. “In questo metodo dinamico una valutazione comparativa degli attributi dell’utente, inclusi l’ora del giorno, la posizione e la posizione, viene utilizzata per prendere una decisione sull’accesso a una risorsa”, spiega Wagner.
È fondamentale per le organizzazioni decidere quale modello sia più appropriato in base alla sensibilità dei dati e ai requisiti operativi per l’accesso ai dati. In particolare, le organizzazioni che elaborano informazioni di identificazione personale (PII) o altri tipi di informazioni sensibili, inclusi i dati dell’assicurazione sanitaria, dell’Accountability Act (HIPAA) o delle Controlled Unclassified Information (CUI), devono rendere il controllo degli accessi una funzionalità fondamentale nella loro architettura di sicurezza.
3 – Più soluzioni per il controllo degli accessi
Un certo numero di tecnologie può supportare i vari modelli di controllo degli accessi. In alcuni casi, potrebbero essere necessarie più tecnologie per raggiungere il livello desiderato di controllo degli accessi. “I dati diffusi tra i fornitori di servizi cloud e le applicazioni SaaS connesse al perimetro di rete tradizionale dettano la necessità di orchestrare una soluzione sicura”, osserva Wagner. “Esistono più fornitori che offrono soluzioni di accesso privilegiato e gestione delle identità che possono essere integrate in un tradizionale costrutto di Active Directory di Microsoft. L’autenticazione a più fattori può essere un componente per migliorare ulteriormente la sicurezza.”
4 – L’autorizzazione è ancora il punto debole di molte organizzazioni
Oggi molte aziende sono diventate abili nell’autenticazione, in particolare con l’uso crescente dell’autenticazione multifattore e dell’autenticazione basata su dati biometrici (come il riconoscimento facciale o dell’iride). Negli ultimi anni, poiché violazioni dei dati di alto profilo hanno portato alla vendita di credenziali di password rubate sul dark web, i professionisti della sicurezza hanno preso più seriamente la necessità dell’autenticazione a più fattori.
“L’autorizzazione è ancora un’area in cui i professionisti della sicurezza compiono ancora molti sbagli”, afferma Crowley. Può essere difficile determinare e monitorare costantemente chi ha accesso a quali risorse di dati, come dovrebbero essere in grado di accedervi e in quali condizioni hanno accesso. In più i protocolli di autorizzazione incoerenti o deboli possono creare buchi di sicurezza che devono essere identificati e chiusi il più rapidamente possibile.
Qualsiasi sia il modo in cui la vostra organizzazione sceglie di implementare il controllo degli accessi, questo deve essere costantemente monitorato sia in termini di conformità alla vostra politica di sicurezza aziendale, sia a livello operativo per identificare eventuali e potenziali falle nella sicurezza. “Dovreste periodicamente eseguire una revisione della governance, del rischio e della conformità”, afferma Chesla. “È necessario eseguire ricorrenti scansioni di vulnerabilità contro qualsiasi applicazione che esegua le funzioni di controllo degli accessi e raccogliere e monitorare i registri su ciascun accesso per le violazioni della policy.”
5 – Le politiche di controllo degli accessi devono essere in grado di cambiare in modo dinamico
In passato le metodologie di controllo dell’accesso erano spesso statiche. “Oggi, l’accesso alla rete deve essere dinamico e fluido, supportando l’identità e i casi d’uso basati su applicazioni”, afferma Chesla. Una politica sofisticata di controllo degli accessi può essere adattata dinamicamente per rispondere ai fattori di rischio in evoluzione, consentendo a una società che è stata violata di isolare i dipendenti e le risorse di dati pertinenti per ridurre al minimo il danno.
Le aziende devono garantire che le loro tecnologie di controllo degli accessi “siano supportate in modo coerente attraverso le loro risorse e applicazioni cloud e che possano essere migrate senza problemi in ambienti virtuali come i cloud privati”, consiglia Chesla. “Le regole di controllo degli accessi devono cambiare in base al fattore di rischio, il che significa che le organizzazioni devono implementare livelli di analisi della sicurezza utilizzando l’intelligenza artificiale e l’apprendimento automatico che si sovrappongono alla configurazione di sicurezza e di rete esistente. Devono inoltre identificare le minacce in tempo reale e automatizzare le regole di controllo degli accessi di conseguenza. “
Conclusione
Nei complessi ambienti IT odierni, il controllo degli accessi deve essere considerato come “un’infrastruttura tecnologica vivente che utilizza gli strumenti più sofisticati, riflette i cambiamenti nell’ambiente di lavoro come una maggiore mobilità, riconosce i cambiamenti nei dispositivi che usiamo e i loro rischi intrinseci e prende in seria considerazione il crescente spostamento verso il cloud”, conclude Chesla.