Zero Standing Privilege il nuovo approccio alla gestione degli

Pagina creata da Daniele Franceschini
 
CONTINUA A LEGGERE
Zero Standing Privilege il nuovo approccio alla gestione degli
Atelier tecnologico
  Zero Standing Privilege il nuovo approccio alla gestione degli
                       accessi privilegiati

Maurizio Taglioretti, Regional Manager SEUR, Netwrix
Veronica Conti, Netwrix Pro Engineer Certified , CIPS Informatica

Data 16 marzo 2021 orario 16:00 - 16:40 - StreamingEdition
               #securitysummit #streamingedition
Zero Standing Privilege il nuovo approccio alla gestione degli
Maurizio Taglioretti
REGIONAL MANAGER SEUR, APPASSIONATO DI AUDIT,
COMPLIANCE E SICUREZZA IT.

SOCIO (ISC)2 ITALY CHAPTER
SOCIO CLUSIT

TWITTER @MTAGLIOR
LINKEDIN: IT.LINKEDIN.COM/IN/TAGLIORETTIMAURIZIO
MAURIZIO.TAGLIORETTI@NETWRIX.COM
                                  2
Zero Standing Privilege il nuovo approccio alla gestione degli
Lateral
    Movement
"... le tecniche che gli aggressori informatici, o" threat actors ",
utilizzano per spostarsi progressivamente attraverso una rete
mentre cercano i dati e le risorse chiave che sono infine l'obiettivo
delle loro campagne di attacco”
Zero Standing Privilege il nuovo approccio alla gestione degli
4    CONFIDENTIAL

Fasi principali del lateral movement
Ø RICOGNIZIONE:
L’attaccante osserva, esplora e mappa la rete, gli utenti e i device con tool esterni, tool open source di
port scanning e altre tecniche o semplicemente utilizzando strumenti windows o di supporto remoto.
Ø DUMPING DELLE CREDENZIALI ED ESCALATION DEI PRIVILEGI:
Il termine utilizzato per ottenere illegalmente le credenziali è chiamato "dumping delle credenziali". Un
modo per ottenere queste credenziali è indurre gli utenti a condividerle utilizzando tattiche di
ingegneria sociale come il typosquatting e gli attacchi di phishing
Ø OTTENERE L’ACCESSO:
Il processo di ricognizione interna e quindi di bypassare i controlli di sicurezza per compromettere host
successivi può essere ripetuto fino a quando i dati di destinazione non sono stati trovati ed esfiltrati
Zero Standing Privilege il nuovo approccio alla gestione degli
5     CONFIDENTIAL

Tecniche utilizzate
    Ø RICOGNIZIONE:
    1. Port scanning / Network scanning (NMAP, dnsqueries.com)
    2. ARP poisoning o ARP spoofing
    3. Powershell, Netstat, IpConfig

    Ø DUMPING DELLE CREDENZIALI ED ESCALATION DEI PRIVILEGI
    1. Pass the Hash
    2. Pass the Ticket
    3. Mimikatz o altri Keylogger
Zero Standing Privilege il nuovo approccio alla gestione degli
6   CONFIDENTIAL

Più semplicemente.....
Zero Standing Privilege il nuovo approccio alla gestione degli
Sono anni che sbagliamo completamente!

                                                domain\bobsmith

                          domainA\bobsmith-a   domainB\bobsmith-a   domainC\bobsmith-a

                                                            7

ACCOUNT DIFFERENTI PER UN UNICO SCOPO NON HANNO SENSO
Zero Standing Privilege il nuovo approccio alla gestione degli
Immagina che questi account siano
                                   taxi

                                 STORE   OFFICE       RESTAURANT

                                                  8

I TAXI MONOUSO NON HANNO SENSO
Zero Standing Privilege il nuovo approccio alla gestione degli
Come utilizziamo effettivamente i
                    taxi

                                    OFFICE

                                             9

DOVE VUOI ANDARE?
Zero Standing Privilege il nuovo approccio alla gestione degli
Cosa dovremmo fare con gli account privilegiati

                                  domain\bobsmith

                                 domainB\bobsmith-a

                                             10

DOVE VUOI ANDARE?
Veronica Conti
INGEGNERE INFORMATICO,NETWRIX PRO ENGINEER
CERTIFIED.

LAUREATA IN INGEGNERIA INFORMATICA E ABILITATA ALLA
PROFESSIONE DI INGEGNERE - SETTORE DELL'INFORMAZIONE
LINKEDIN: HTTPS://WWW.LINKEDIN.COM/IN/VERONICA-
CONTI-9BA8363B/
VERONICA.CONTI@CIPS.IT
                                  11
sbPAM
Zero Standing Privilege il nuovo approccio
alla gestione degli accessi privilegiati
Maurizio Taglioretti– Regional Manager SEUR
Veronica Conti– Sales Engineer CIPS Informatica
PRIVILEGED ACCESS
            MANAGEMENT
                     OBIETTIVO:

       Le utenze con privilegi sono il cardine di
       ogni evento di violazione o intromissione
                     nell’infrastruttura.
      Per ridurre il rischio di compromissione, le
          aziende non solo devono mettere in
      sicurezza, controllare, gestire e monitorare
      l’utilizzo di utenze con privilegi, ma anche
     rimuovere le utenze con privilegi e i loro
     diritti di accesso considerando la possibilità
       di utilizzare un approccio basato su diritti
          limitati nel tempo e nell’operatività.

13
PERCHE GESTIRE GLI ACCESSI PRIVILEGIATI
                          premesse
Esposizione delle credenziali: quando un intruso ha ottenuto l'accesso ai dispositivi dei dipendenti, naviga nella
rete e installa keylogger per ottenere credenziali con privilegi più elevati (come root o amministratore). Le
credenziali privilegiate offrono maggiori possibilità di furto di dati in massa rispetto agli account individuali.
Limiti delle soluzioni PAM tradizionali: vedono solo al massimo la metà di tutti gli account, in particolare
quelli che mantengono tutti i privilegi permanenti verso le risorse che dovrebbero proteggere.
                       PRIVILEGI                                           COSTI
                     PERMANENTI                                           ELEVATI

            TROPPI ACCOUNT                                                     PUNTI
            AMMINISTRATORI                                                     CECHI

                                          La maggior parte delle
                                         violazioni della sicurezza
                                           coinvolge credenziali
                                                privilegiate
                                                      14
EVOLUZIONE DEL PAM
1st Gen: Privileged Account Management/SAPM

    2002             2006             2008        2010                 TUTTO EBBE INIZIO CON IL VAULT

2nd Gen: Privileged Access Management

    2012             2014             2016        2018                 PROXY DI SESSIONE PER SEMPLIFICARE GLI ACCESSI

PROBLEMA!
PIU’ ACCOUNT CON PRIVILEGI
-> PIU’ PRIVILEGI PERMANENTI
-> ESPANSIONE DELLA SUPERFICE DI ATTACCO PER IL “MOVIMENTO LATERALE”

3rd Gen: Privileged Activity Management

     2020            2022               2024                                            SEMPLIFICARE IL PAM
                                                      15
PERCHE GESTIRE GLI ACCESSI PRIVILEGIATI
                        con sbPAM
Stealthbits Privileged Activity Manager (SbPAM) si propone di abilitare gli amministratori e le
utenze di HelpDesk nello svolgimento delle attività quotidiane che richiedono accessi privilegiati in
modo semplice ed efficiente.
In quanto PAM di 3gen, il focus è sul controllo delle attività che devono essere eseguite piuttosto
che l’attribuzione di permessi agli amministratori. In questo modo SbPAM concede gli esatti privilegi
utili per il minimo tempo necessario con una conseguente riduzione drastica della superficie di
attacco di un'organizzazione e la possibilità per gli aggressori di spostarsi lateralmente o elevare i
privilegi.
               DISCOVERY                                                                     MONITORAGGIO &
               Individuazione e riduzione degli                                              ENFORCEMENT
               accessi privilegiati                                                          Registrazione delle session, controllo
                                                                                             real-time e possibilità di blocco

                                                  ACCESSO SICURO (E MINIMO)
                                                  Accesso temporaneo. just-in-time, con il
                                                  minimo set di permessi necessari
                                                                16
PROCESSO OPERATIVO PAM

01                   02                    03                      04                     05
DISCOVER             ONBOARD               GRANT                   CONNECT                REMOVE

Scopri gli           Integra gli           Concedi                 Connetti l'utente      Rimuovi
account              account per la        all'utente il livello   direttamente o         completamente
privilegiati con     gestione e            esatto di               tramite proxy per il   l'accesso utente
autorizzazioni       rimuovi i privilegi   autorizzazione          monitoraggio           in modo che il
permanenti al        permanenti per        necessario per          avanzato della         sistema sia pulito,
sistema, alle        ridurre la            eseguire la             sessione.              azzerando le
applicazioni e       superficie di         funzione                                       tecniche avanzate
all'infrastruttura   attacco.              amministrativa                                 di furto delle
dei dati.                                  desiderata.                                    credenziali

                                                       17
ARCHITTURA LOGICA
              Il PAM consente semplicemente all’amministratore di andare da A a B
   CRITERIO DI
    ACCESSO
 UTENTI & GRUPPI                         ATTIVITA’                                               RISORSE
                                                   Domain Admin Access                            Windows                  Unix/Linux
                                                      Password Reset
                                                   Hyper-V Management
                                                  Enterprise Admin Access
                                                  Exchange Administration                                   Active Directory
                                                        DNS Change
                                                     Local Admin Access
                                                    DHCP Management
                                                      Unlock Account                             Applications             Any Resource
                                                  Group Policy Management
                                                   Database Management

                                                           ETC…

        SERVIZI DELLA
        PIATTAFORMA
                                                                               LAPS & Vault
  Discovery         Proxy     Session Recording            MFA                                       Auditing           Approval Workflows
                                                                            Integration (BYOV)

                                                              18
NETWRIX PRIVILEGED
ACTIVITY MANAGER
SbPAM consente in modo sicuro e trasparente agli
amministratori di svolgere le loro attività quotidiane senza il
sovraccarico degli strumenti PAM tradizionali.

• Interfaccia moderna basata su HTML5 con autenticazione
  forte AuthN/AuthZ
• Possibilità di accesso Just-in-Time o pianificata, con diritti
  al momento dell’esecuzione e solo fino al completamento
  dell’attività e approvazione multi-livello
• Imposizione della rotazione delle password (fine sessione
  o utenze gestite)
  e controllo dell’esposizione delle password
• Registrazione delle sessioni e successiva riproduzione
• Sessioni con attività per qualsiasi funzione amministrativa
• Supporto per sessioni automatizzate o accessi indiretti

                                                                   19
NETWRIX PRIVILEGED ACTIVITY MANAGER

  GESTIONE CREDENZIALI                                AUDIT / RECORDING
 • Rotazione degli account di servizio con           • Audit trail dell’attività amministrativa
    workflow di controllo e feedback real-           • Registrazione/Riproduzione di sessioni
    time                                               RDP/SSH/Web
 • Onboarding veloce di account                      • Monitoraggio Live di sessioni con capacità
    amministrativi built-in delle risorse              di block/lock e terminate
RIDUZIONE SUPERFICIE
ATTACCO                                               CERTIFICAZIONE
  • Pulizia di amministratori locali e                ACCESSI
     appartenenti al Gruppo Domain Admin
                                                     • Workflow di revision dei diritti
  • Nessuna duplicazione di account che
                                                     • Dati di revisione esportabili
     non necessitano di vault
  • Zero Standing Privilege                           SEMPLICE
                                                      IMPLEMENTAZIONE
                                                     • Integrazioni BYOV (Bring Your Own
 PERMESSI JUST-IN-TIME
                                                       Vault) con molti vault 3rd party vault
• Activity Tokens – accessi temporanei
                                                       incluso LAPS
  senza attack surface artifacts rimanenti
                                                     • Architettura scalabile di service mesh
• Permessi concessi in modo puntuale:                     o Installazione in 1 ora
    o Diritti AD su specifiche OUs                        o Nessuna licenza di db esterno
    o Appartenenza a gruppi di dominio/locali             o Tutte le funzionalità incluse

                                                20
SbPAM ARCHITECTURE

                                   PROXY
     ADMINISTRATOR
       MFA LOGIN

                          DIRECT
                          LOGON

                     22
BYOV
                        TM

BRING YOUR OWN VAULT
Usa il nostro o un altro vendor : a tua scelta

§    Integrazione di terze parti opzionale
     per la gestione degli account o gli
     account di servizio SbPAM
                                                 “… la possibilità per i clienti di integrare il
§    Microsoft LAPS integration                  proprio password vault esistente nella sua
                                                 tecnologia piuttosto che doverne acquistare
                                                 una da STEALTHbits, una caratteristica che
                                                 Ovum considera un fattore di differenziazione
                                                 significativo.”
                                                  - Rik Turner, “STEALTHbits adds PAM with the
                                                 option to ‘Bring Your Own Vault’”
                                                      23
IMPLEMENTAZIONE
    PIÙ FACILE
    LA SOLUZIONE PIÙ SEMPLICE E
    SCALABILE

    L'esclusiva architettura mesh dei servizi offre
    un'enorme scalabilità e ridondanza con scalabilità
    orizzontale praticamente zero

§     Supporto per piattaforme Windows, Linux e
      Docker
§     L'architettura mesh dei servizi più aggiornata
§     Modello di distribuzione centralizzato o
      distribuito                                        Accetta la Sfida SbPAM!

         § Nessun costo di licenza del                   POC - Meno di 1 ora
           database                                      Produzione - Meno di 6 ore
         § Nessun costo di componenti
           aggiuntivi
         § Nessun costo aggiuntivo per le                24

           funzionalità
25   CONFIDENTIAL

Soluzioni PAM esistenti
Le soluzioni di gestione degli account privilegiati si
basano sull'approccio intrinsecamente rischioso
dell'utilizzo di account amministrativi permanenti. Con
SbPAM, un account amministratore semplicemente
non esiste fino a quando non è necessario e quando
non è più necessario, scompare.
Non vi è alcun privilegio permanente da gestire!
SbPAM
 È UN VEICOLO
PER ANDARE DA
     AaB
PRODUCT DEMO
Q&A
 28
Leggi di più su Netwrix PAM: https://www.netwrix.com/download/Datasheets/Datasheet_-_Netwrix_SbPAM.pdf
Free Trial: https://www.netwrix.com/sbpam.html
Guarda i webinar registrati sul canale youtube: https://www.youtube.com/channel/UCinp77Hv6dTc1fkR4--ztcQ/videos

Test Drive altri prodotti Netwrix: virtual POC, prova nei nostri lab:https://www.netwrix.it/browser_demo.html

Live Demo: richiedi una demo con i nostri esperti: sales-it@netwrix.com

Maurizio Taglioretti                                                                      Veronica Conti
maurizio.taglioretti@netwrix.com                                                          veronica.conti@cips.it
346 8664420                                                29
Puoi anche leggere