Il principio del privilegio minimo (PoLP) si riferisce a un concetto di sicurezza delle informazioni in base al quale a un utente vengono concessi i livelli – o permessi – minimi di accesso dei quali ha bisogno per svolgere le proprie mansioni.
Il principio del privilegio minimo è ampiamente ritenuto una buona pratica per la sicurezza informatica ed è un passo fondamentale per proteggere gli accessi privilegiati a dati e risorse di massima criticità.
Il principio del privilegio minimo si estende agli accessi non umani. Il modello può essere applicato anche ad applicazioni, sistemi o dispositivi connessi che richiedano privilegi o permessi per eseguire un’attività necessaria. L’applicazione del privilegio minimo garantisce che lo strumento non umano disponga esclusivamente del livello di accesso di cui ha bisogno, e nulla più.
L’applicazione efficace dei privilegi minimi richiede gestione e protezione a livello centrale delle credenziali privilegiate, nonché comandi flessibili che possano bilanciare la sicurezza informatica e i requisiti di conformità con le necessità sia operative che degli utenti finali.
Cos’è l’accumulo dei privilegi, detto in inglese “Privilege creep”?
Quando un’organizzazione sceglie di revocare tutti i diritti amministrativi di un utente aziendale, il team si trova spesso a doverli concedere nuovamente per consentire all’utente di eseguire certe attività. Ad esempio, l’esecuzione di molte applicazioni legacy o sviluppate autonomamente utilizzate negli ambienti IT aziendali richiede privilegi, così come molte applicazioni COTS (Commercial-Off-The-Shelf). Per consentire agli utenti aziendali di eseguire queste applicazioni autorizzate e necessarie, il team IT deve ripristinare i privilegi amministrativi locali degli utenti. Una volta ripristinati, tali privilegi vengono revocati assai raramente; nel tempo, questo fa sì che alcune organizzazioni finiscano per avere molti utenti che dispongono ancora di privilegi amministrativi locali. Questo accumulo di privilegi apre nuovamente il varco di sicurezza relativo all’eccesso di diritti amministrativi, e rende le organizzazioni – che probabilmente si sentono ben protette -più vulnerabili alle minacce. Implementare controlli di privilegio minimo consente allora di contrastare questo accumulo di privilegi e garantire che gli utenti, umani o no, dispongano esclusivamente del livello di accesso minimo richiesto.
Perché è importante il principio del privilegio minimo (PoLP)?
- Riduce la superficie esposta agli attacchi informatici. Attualmente, gli attacchi più avanzati sono basati sullo sfruttamento delle credenziali privilegiate. Limitando i privilegi da super-user o amministratore (che garantiscono accesso illimitato ai sistemi target), l’applicazione del privilegio minimo contribuisce alla riduzione della superficie totale esposta agli attacchi informatici.
- Arresta la diffusione di malware. Grazie all’applicazione del privilegio minimo agli endpoint, gli attacchi malware (come quelli di tipo SQL injection) non possono sfruttare i privilegi elevati per aumentare il proprio livello di accesso e spostarsi lateralmente, al fine di installare o eseguire malware o ancora di danneggiare la macchina.
- Migliora la produttività degli utenti finali. Revocare i diritti come amministratori locali degli utenti aziendali contribuisce a ridurre i rischi, mentre abilitare l’elevazione dei privilegi just-in-time in base alle policy preserva comunque la produttività degli utenti, minimizzando le chiamate all’helpdesk IT.
- Contribuisce a razionalizzare la conformità e le verifiche. Molte policy interne e diversi requisiti normativi obbligano le organizzazioni a implementare il principio del privilegio minimo sugli account privilegiati per prevenire danni ai sistemi critici, intenzionali o meno. L’applicazione del privilegio minimo aiuta le organizzazioni a dimostrare la conformità, grazie al percorso completo di audit delle attività privilegiate.
Come implementare il principio del privilegio minimo nella tua organizzazione
Per implementare il principio del privilegio minimo, le organizzazioni attuano solitamente una o più delle seguenti procedure, nell’ambito di un’approfondita ed estesa strategia di sicurezza informatica:
- Verifica dell’ambiente nella sua interezza per individuare gli account privilegiati – password, chiavi SSH, hash di password e chiavi di accesso – sia on-premise che sul cloud, in ambienti DevOps o sugli endpoint.
- Eliminazione dei privilegi amministrativi locali non necessari, verificando che tutti gli utenti, umani o non umani, dispongano esclusivamente dei privilegi necessari all’esecuzione delle proprie mansioni.
- Separazione degli account amministrativi da quelli standard, e isolamento delle sessioni degli utenti privilegiati.
- Provisioning delle credenziali degli account amministrativi privilegiati su una cassaforte digitale per iniziare a proteggerli e gestirli.
- Rotazione immediata di tutte le password amministrative dopo ciascun utilizzo, per invalidare qualsiasi credenziale che possa essere stata catturata tramite software di key-logging e mitigare il rischio di attacchi Pass-the-Hash.
- Monitoraggio continuo di tutte le attività legate ad account amministrativi, per consentire rapidamente l’individuazione e la segnalazione in allarme di qualsiasi attività anomala che denoti un attacco in corso.
- Abilitazione dell’elevazione d’accesso just-in-time, per consentire agli utenti di accedere agli account privilegiati o eseguire comandi privilegiati, su base temporanea e solo quando è necessario.
Il principio dei privilegi minimi è una componente fondamentale delle infrastrutture Zero Trust. Basato sulla convinzione che nulla, sia interno che esterno al perimetro di rete di un’organizzazione, debba essere ritenuto automaticamente affidabile, il modello Zero Trust richiede che le organizzazioni verifichino chiunque e qualsiasi cosa stia cercando di collegarsi ai sistemi prima di concedere l’accesso. Con l’accelerazione delle strategie per la trasformazione digitale, molte organizzazioni stanno passando dal tradizionale approccio perimetrale alla sicurezza ad infrastrutture Zero Trust, per proteggere le proprie reti più sensibili.