PAM
PRIVILEGE ACCOUNT MANAGEMENT
PAM – Privilege Account Management
Le notizie ricorrenti di violazioni e di breaches dimostrano la persistente vulnerabilità delle infrastrutture IT. È quindi ormai evidente a tutti come la sola sicurezza perimetrale non sia più sufficiente a proteggere gli attuali ambienti IT altamente dinamici, iper-connessi delle moderne aziende digitali. Nuove spinte che arrivano anche da “insiders threats” enfatizzano quindi la necessità di proteggere le identità.
Un componente fondamentale nella gestione delle identità per la maggior parte delle organizzazioni è costituito da Active Directory. Infatti, circa il 95% delle aziende si affida a AD quale meccanismo primario di Autenticazione. E proprio per questo è sempre più frequente bersaglio di attacchi informatici e in particolare il meccanismo dell’hash NTLM generato da AD è utilizzato
per attacchi Pass-the-Hash.
Questo è uno dei motivi per cui nella strategia di gestione delle identità, non bastano da sole le soluzioni IAM, ma vanno affiancate da valide soluzioni PAM.
Infatti, oltre alla strategia Enhanced Security Administrative Environment (ESAE), (nota anche come Architettura Red Forest AD) proposta da Microsoft per ovviare alla vulnerabilità generata dagli hashes, un’altra possibilità per semplificare ma irrobustire la sicurezza degli hash degli amministratori è quella di renderli irrilevanti con il semplice meccanismo di rotazione delle password offerto dalle soluzioni PAM e in particolare da Safeguard di One-Identity. Infatti, tramite il suo modulo di Password Vaulting e il meccansimo check out è possibile fare ciclare la password dopo ogni utilizzo, eliminando il rischio di riutilizzo dell’hash. Inoltre Safeguard può ulteriormente proteggere controllando le sessioni amministrative.
Il PAM, considerato il continuo incremento dei data breach e double extortion, è alla base di una strategia di protezione. Proprio per questo è un trend in crescita di oltre 20% all’anno, destinato a proseguire nel prossimo futuro.
Cos’è la gestione degli accessi privilegiati?
L’acronimo PAM (Privilege Account Management) si riferisce alle Soluzioni ed ai Processi che prevedono il controllo, il monitoraggio, la protezione e la verifica di tutte le identità privilegiate e utenze amministrative presenti complessivamente in un ambiente IT aziendale.
I programmi PAM si basano sull’implementazione del principio dei privilegi minimi, che prevede che a ogni utente sia assegnato il livello minimo di autorizzazioni e accessi richiesti per svolgere le proprie mansioni in modo da:
- Garantire sicurezza informatica riducendo la superficie di attacco
- Proteggere gli accessi privilegiati a dati e risorse critiche
- Mitigare i rischi portati da malintenzionati interni o cyber-attacchi esterni che possono causare violazioni dei dati estremamente dannose.
Perché la gestione degli accessi privilegiati (PAM) è fondamentale per le Aziende ed è considerata una priorità per i CIO e i CISO?
Il Fattore Umano è spesso uno dei punti più deboli nella catena della sicurezza informatica: la gestione degli accessi privilegiati aiuta le aziende a fare in modo che gli operatori dispongano solo del livello di accesso richiesto per adempiere alle proprie mansioni e solo per il tempo necessario ad effettuare un determinato task e per la durata di una specifica sessione.
One Identity offre un set completo di soluzioni per la gestione degli account privilegiati, progettate per fornire alle aziende la possibilità di implementare una strategia di successo in base al proprio ecosistema applicativo e tecnologico.
Safeguard di One Identity per Privileged Account Management
La sicurezza si ottiene solo quando puoi assicurarti che le persone giuste possano ottenere l’accesso alle risorse corrette nel momento e nel modo opportuno e puoi dimostrarlo.
Ciò è possibile solo assicurando che l’identità sia al centro della tua strategia di sicurezza.
La Sicurezza inizia con
Che fornisce un portafoglio di identità unico, di soluzioni integrate di gestione degli account AD, gestione degli accessi privilegiati governance e amministrazione delle identità che consentono alle organizzazioni di realizzare una strategia di sicurezza incentrata sull’identità.
Vuoi saperne di più?
One Identity Safeguard
Safeguard
for
Privileged
Passwords
Safeguard
for
Privileged
Sessions
Safeguard
for
Privileged
Analytics
La soluzione One Identity prevede:
- Credential Vault technology: set completo di funzionalità richiesto per eliminare la condivisione di passwords di superuser.
- Session Audit: permettono di verificare cosa stia facendo chi (o cosa) è collegato mediante l’uso delle credenziali emesse dal Password Vaulting, oltre a limitare i comandi che questi possano utilizzare.
- Unix-optimized privileged account management: una suite di soluzioni PAM con un’unica interfaccia, progettate per gli ambienti Unix e Linux.
One Identity ottimizza la gestione degli account privilegiati tramite strumenti di gestione e sicurezza per l’ambiente AD, compreso un modello di gestione dei privilegi minimi per l’utenza di Amministratore AD.
- Privileged Account Governance – Integrate con privilege safe vi sono le funzioni governance per gli account privilegiati così come per gli accessi applicativi e per gli accessi ai dati non strutturati.
- Completano la soluzione le funzionalità assicurate tramite Starling Hybrid Subscription, che permettono di implementare le funzioni di Approval Anywhere e di 2Factor Authentication attraverso la soluzione SaaS Starling di One Identity.
Le competenze PAM di S2E al servizio dei nostri clienti
S2E, con il suo team di esperti, propone l’implementazione della Soluzione PAM Safeguard di One Identity. La Soluzione si basa su tre moduli, che assicurano la completa aderenza ai requisiti funzionali espressi dai clienti.
I progetti PAM vengono approcciati mediante una metodologia strutturata a fasi.
Mediante la condivisione di metodi e di best practice con i clienti, si raccolgono i requisiti e si definiscono gli use case del cliente, che guidano le fasi implementative della soluzione, fino ai test ed al go live della soluzione.
Vuoi saperne di più?
Raccolta Requisiti tecnici-discovery workshops
Definizione use case
Definizione test case
Test planning
S2E offre inoltre ai propri Clienti servizi di manutenzione correttiva ed evolutiva, supportando nel tempo l’evoluzione della piattaforma rilasciata.
La soluzione IAM di One Identity vanta installazioni entreprise per aziende globali con range di utenze gestite fino a centinaia di migliaia. Storicamente molto presente nel settore Finance e Assicurativo, è da sempre molto esigente e all’avanguardia nell’adozione di pratiche e soluzioni IAM. Grazie al suo livello di integrazione unico e all’esperienza in ambienti SAP, la soluzione si è affermata anche in altri settori produttivi quali Automotive, GDO e Retail e Fashion.
Casi di Successo One Identity e S2E
S2E partner dal 2012 di Quest e Silver Partner IM di One Identity, ha acquisito esperienza di implementazione della soluzione 1IM già dalla versione 6, grazie a un complesso progetto in Verti, ex Directline. Per questo cliente S2E ha implementato e personalizzato la soluzione IM, allora alla versione 6.
S2E ha curato il porting della soluzione all’attuale versione IM 8.1.2 e la migrazione dalla precedente soluzione TPAM all’attuale versione PAM Safeguard.
Nel 2017 S2E ha aggiunto una importante referenza nel settore Fashion con uno dei marchi più importanti del settore del Luxury. S2E ha realizzato per questa azienda il provisioning automatico verso il mondo retail e corporate, verso tutti i domini AD presenti e verso le applicazioni SAP e CRM e Retail.
Nel 2018 tale cliente ha acquisito la soluzione PAM Safeguard di One Identity, portando a termine la fase successiva del progetto con il supporto operativo di S2E, come previsto dalla roadmap iniziale del programma GDPR remediation e gestendo l’accesso degli utenti privilegiati interni e dei fornitori e contractors.
Nel 2019 il team IAM di S2E ha iniziato a seguire l’evoluzione del progetto IAM per una importante banca a Lugano, per la quale sta gestendo il progetto di Lifecycle delle utenze verso AD, Sharepoint, SAP e ha sviluppato una applicazione su IT-Shop per gestire un processo di Auto-Abilitazione delle Utenze Amministrative, volta a permettere e a tracciare gli interventi degli Amministratori di Sistema.