Transcription
Il ciclo di vita delle identità e deiprivilegi per la compliance e laprotezione.Enrico Nasi – Aditinet Consulting
Identita’ nuovo perimetroDal momento in cui i nuovi attacchi informatici bypassano i tradizionali controlli di sicurezzaperimetrale, anche il concetto di perimetro sta subendo profondi cambiamenti. Il perimetroe’ determinato non tanto dalla posizione sulla rete, ma dal “Chi sono” e “ A qualiinformazioni posso accedere”.Oggi e’ fondamentale avere a disposizione gli strumenti e le best practices giuste per il ciclodi vita di identita' ed accessi alla velocita’ del cloud e del business di oggi – ma in modosostenibile e conforme agli obiettivi di gestione del rischio.Cio e’ importante per tutte le identita’ – siano esse identita’ interne, consulenti, partner outenti ad elevati privilegi.
EU General Data Protection RegulationLa recente approvazione della GDPR:Per le Aziende e’ un’opportunita’ per rivedere i processi di governodei dati e delle identita’
Si sposta l’attenzioneOggi e’ accettato il fatto che il perimetro di rete vienebypassatoIl nuovo campo di battaglia e’ all’interno della nostra rete.Obiettivi identita’ e dati.
Si sposta l’attenzioneAppare una nuova famiglia di tecnologie di contromisuraUn riferimento Gartner:«Market Guide to User Entity Behavioral Analysis»Aviva Litah, September 2015Tali tecnologie usano tecniche di machine Learning per ridurre la finestra di rischio per il databreach.Parleremo di Lightcyber nella parte successiva di questo incontro.
Identita’ generiche e privilegiateIdentita’ Generiche:Identita’ Privilegiate Piu’ facili da attaccare Si arriva direttamente aiDati In gran numero: e’ facileperdere il controllo dicosa succede In genere sono protettemeglio Permettono di arrivaredappertuttoProblemi organizzativi e tecnici differenti,Strumenti differenti per affrontarli
Strumenti tecnologici per l’Identita’LEADERS RICONOSCIUTItecnologie specializzate, allo stato dell’arteCyberArkSailPointIDC MarketScape:Worldwide Privileged Access ManagementCAPABILITIESABILITY TO EXECUTEMagic Quadrant for Identity Governanceand Administration [February 2016]COMPLETENESS OF VISIONSTRATEGIES–7–Copyright SailPoint Technologies, Inc. 2016 All rights reserved.
SailpointAutomazione e Conformita’nella gestione del ciclo di vitadi tutte le identita’
Identity GovernanceAbbiamo una mappa utilizzabile echiara di CHI ha accesso a COSA ?La mappa corrisponde ai realirequisiti di business e gestionedel rischio?Posso provarlo al mio interno oad un ente terzo?Posso gestire i cambiamenti inmodo sostenibile ?
Missione SailpointMissione dell’Identity Governance e’ rispondere questedomande in modo organico, contribuendo a costruireun processo aziendale sostenibile ed assistitodall’automazione per il governo delle identita’.Tale e’ anche la missione di Sailpoint,leader tecnologico nel settore.
Missione SailpointLa soluzione SailPoint non si sostituisce ai repository di identità.Sailpoint semplifica ed automatizza i processi IAM con attenzione alla sicurezza e allenormative, ponendosi come punto di gestione unificato per tutte le identita’ e lerisorse cui esse hanno necessita’ di accesso.In quest'ottica SailPoint permette di governare in modo efficace e sostenibile ilprocesso di gestione delle identità, con un approccio a fasi: Visibilità e mappatura dello stato corrente Pianificazione dello stato target, sulla base degli obiettivi di business e gestionedel rischio Gestione continua, automatizzata, documentata e sostenibile
Sailpoint – l’Identity CubePolicy diBusinessRuoli Logicidi BusinessRevisioneAnalyticsReportingVista integrataNormalizzataverificataGestioneRichieste diaccesso ApplicazioniSystem AccountsPrivileged AccountsGestione delRischioIdentity CubeWarehouse File SharesAmbientiRisorsa dafruireClassificazionedegli AccountFonti di Identita’Account Orfani Sistemi diProvisioning Access Control SaaS e similari Risorse Umane AD e repositoriesutentiRiconciliazione Basi dati Consulenti
Architettura di Sailpoint Identity IQLivello di Business/AutomazioneQui Sailpoint offre due set di funzioni: Lifecycle Manager per l’automazione Compliance Manager per il governo ela conformita’Certification& RemediationPolicy EnforcementSelf-ServiceAutomated LifecycleEventsAnalytics& ReportingRole & Risk ModelingFulfillment WorkflowChange AutomationComponenti Core SailpointLivello tecnologicoSailPoint e’ Leader Gartner nel settore evanta una larga base di installato in grandiEnterprise, anche grazie al set completo diconnettori ed alla elevata flessibilità ConnectorsService DeskIntegrationExisting ProvisioningSolutionAlla soluzione «on-premises» (IdentityIQ) si affiancano le soluzioni di IGA su Cloud(IdentityNow) e di controllo accesso ai dati non ationDataAccessControlSecurityIntegration
IdentityNOWIdentityNow: la suite cloud-based IDaaS di Sailpoint
Dati Non StrutturatiAumento del volume e dell’importanza dei dati nonstrutturatiNelle diverse forme: files, NAS, piattaforme dicollaboration, cloud storage Anche in questo caso e’ necessario governo e compliance,attorno al concetto chiave di «Owner di un dato».
Dati Non Strutturati – Sailpoint Security IQSailpoint e’ presente anche in quest’area – con la soluzione specifica SecurityIQ
CyberArkProtezione completa delleidentita’ privilegiate
Le identita’ privilegiate sono ovunquePrivileged AccountsRouters, Firewalls, Hypervisors,Databases, ApplicationsPower Plants,Factory FloorsRouters, Firewalls, Servers,Databases, ApplicationsWiFi Routers, Smart TVsLaptops, Tablets,Smartphones
Identita’ privilegiate: un target per gli attacchi“ once they have privileged credentials, they are pretty much home free.”Deloitte, 2014
Identita’ privilegiate e APTNegli attacchi di tipo permanente (APT) sono spesso coinvolti gli account ad elevatiprivilegi.La suite Cyberark trova applicazione in tutte le fasi della strategia di difesa dagli APT:Riduzione del rischio: le credenziali sono erogate in modo controllato, con l’enforcement del principiodei minimi privilegi e separation of dutyRilevamento: con il monitoraggio continuo delle sessioni e degli eventi relativi agli account privilegiatiRisposta: possibilita’ di blocco in tempo reale, disponibilita’ di informazioni di forensica
Proteggere le utenze privilegiate in 4 passiProcesso di discovery di tutti gli utentiprivilegiatiProteggere e gestire le credenzialiIsolamento e monitoraggio delle sessionprivilegiateUtilizzare l’analisi real-time sulle attivita’privilegiate per rilevare e rispodere agli attacchiin corso
La suite CyberArkIl diagramma mostra l’architettura della suite CyberArk, con le diverse componentifunzionali che poggiano sul core Shared Technology Platform
DiscoveryStep 1Step 2Step 3Scan your IT environmentfor privileged accountsPreview account statusesand dependenciesSelect which accounts toonboard; onboard them tothe Digital Vault123
CyberArk Digital VaultHierarchicalEncryptionVault ngSessionEncryptionSegregation ofDutiesFirewallAuthentication
CyberArk PSM all’opera:End UsersCyberArk SolutionDigital VaultPasswords preventedfrom reaching usersand devicesEnterprise workDevicesSecurityAppliancesWebsites/Web AppsCloudInfrastructurePrivileged SessionManagerMalware blockedon PSM to protectresourcesLogin via CyberArk Web Portal orNative Unix Command Line
Un esempio: accesso remoto fornitoriWindows ServersSSHHTTPSUNIXServers& DBsFirewallRemoteVendorsPIM AppRouters and SwitchesVaultIT/ Auditors/Security Operations
CyberArk SuiteIn generale, l’adozione di CyberArk e’ sempre uno strumento efficace per lariduzione del rischio.Alcuni casi d’uso: Eliminazione delle utenze impersonali, con l’introduzione della«accountability» Introduzione del principio dei minimi privilegi Gestione dei consulenti o fornitori che richiedono elevati privilegi perl’espletamento dei loro compiti Registrazione delle sessioni ai fini della forensica Contromisura contro le minacce persistenti APT all’interno della rete
CyberArk ViewfinityIl tema dei diritti di amministrazione sulla postazioni Windows: come governarlo?Come ridurre il rischio e l’impatto sull’operativita’ degli utenti?CyberArk Viewfinity: Permette di rimuovere di diritti di admin agli utenti generici Windows, erogando idiritti ad Applicazioni e servizi in modo controllato I diritti per le Applicazioni sono controllati da funzioni di Application Whitelisting &Control Gli eseguibili non noti possono essere eseguiti con privilegi minimi e privi diaccesso alla reteCyberArk Viewfinity e’ utilizzabile per contenere la diffusione di Malware oRansomware sulle workstation
Il ciclo di vita delle identità e deiprivilegi per la compliance e laprotezione.Enrico Nasi – Aditinet Consulting
Magic Quadrant for Identity Governance . Sailpoint semplifica ed automatizza i processi IAM con attenzione alla sicurezza e alle normative, ponendosi come punto di gestione unificato per tutte le identita' e le risorse cui esse hanno ne essita' di accesso.
