Zero Standing Privilege il nuovo approccio alla gestione degli
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Atelier tecnologico Zero Standing Privilege il nuovo approccio alla gestione degli accessi privilegiati Maurizio Taglioretti, Regional Manager SEUR, Netwrix Veronica Conti, Netwrix Pro Engineer Certified , CIPS Informatica Data 16 marzo 2021 orario 16:00 - 16:40 - StreamingEdition #securitysummit #streamingedition
Maurizio Taglioretti REGIONAL MANAGER SEUR, APPASSIONATO DI AUDIT, COMPLIANCE E SICUREZZA IT. SOCIO (ISC)2 ITALY CHAPTER SOCIO CLUSIT TWITTER @MTAGLIOR LINKEDIN: IT.LINKEDIN.COM/IN/TAGLIORETTIMAURIZIO MAURIZIO.TAGLIORETTI@NETWRIX.COM 2
Lateral Movement "... le tecniche che gli aggressori informatici, o" threat actors ", utilizzano per spostarsi progressivamente attraverso una rete mentre cercano i dati e le risorse chiave che sono infine l'obiettivo delle loro campagne di attacco”
4 CONFIDENTIAL Fasi principali del lateral movement Ø RICOGNIZIONE: L’attaccante osserva, esplora e mappa la rete, gli utenti e i device con tool esterni, tool open source di port scanning e altre tecniche o semplicemente utilizzando strumenti windows o di supporto remoto. Ø DUMPING DELLE CREDENZIALI ED ESCALATION DEI PRIVILEGI: Il termine utilizzato per ottenere illegalmente le credenziali è chiamato "dumping delle credenziali". Un modo per ottenere queste credenziali è indurre gli utenti a condividerle utilizzando tattiche di ingegneria sociale come il typosquatting e gli attacchi di phishing Ø OTTENERE L’ACCESSO: Il processo di ricognizione interna e quindi di bypassare i controlli di sicurezza per compromettere host successivi può essere ripetuto fino a quando i dati di destinazione non sono stati trovati ed esfiltrati
5 CONFIDENTIAL Tecniche utilizzate Ø RICOGNIZIONE: 1. Port scanning / Network scanning (NMAP, dnsqueries.com) 2. ARP poisoning o ARP spoofing 3. Powershell, Netstat, IpConfig Ø DUMPING DELLE CREDENZIALI ED ESCALATION DEI PRIVILEGI 1. Pass the Hash 2. Pass the Ticket 3. Mimikatz o altri Keylogger
Sono anni che sbagliamo completamente! domain\bobsmith domainA\bobsmith-a domainB\bobsmith-a domainC\bobsmith-a 7 ACCOUNT DIFFERENTI PER UN UNICO SCOPO NON HANNO SENSO
Cosa dovremmo fare con gli account privilegiati domain\bobsmith domainB\bobsmith-a 10 DOVE VUOI ANDARE?
Veronica Conti INGEGNERE INFORMATICO,NETWRIX PRO ENGINEER CERTIFIED. LAUREATA IN INGEGNERIA INFORMATICA E ABILITATA ALLA PROFESSIONE DI INGEGNERE - SETTORE DELL'INFORMAZIONE LINKEDIN: HTTPS://WWW.LINKEDIN.COM/IN/VERONICA- CONTI-9BA8363B/ VERONICA.CONTI@CIPS.IT 11
sbPAM Zero Standing Privilege il nuovo approccio alla gestione degli accessi privilegiati Maurizio Taglioretti– Regional Manager SEUR Veronica Conti– Sales Engineer CIPS Informatica
PRIVILEGED ACCESS MANAGEMENT OBIETTIVO: Le utenze con privilegi sono il cardine di ogni evento di violazione o intromissione nell’infrastruttura. Per ridurre il rischio di compromissione, le aziende non solo devono mettere in sicurezza, controllare, gestire e monitorare l’utilizzo di utenze con privilegi, ma anche rimuovere le utenze con privilegi e i loro diritti di accesso considerando la possibilità di utilizzare un approccio basato su diritti limitati nel tempo e nell’operatività. 13
PERCHE GESTIRE GLI ACCESSI PRIVILEGIATI premesse Esposizione delle credenziali: quando un intruso ha ottenuto l'accesso ai dispositivi dei dipendenti, naviga nella rete e installa keylogger per ottenere credenziali con privilegi più elevati (come root o amministratore). Le credenziali privilegiate offrono maggiori possibilità di furto di dati in massa rispetto agli account individuali. Limiti delle soluzioni PAM tradizionali: vedono solo al massimo la metà di tutti gli account, in particolare quelli che mantengono tutti i privilegi permanenti verso le risorse che dovrebbero proteggere. PRIVILEGI COSTI PERMANENTI ELEVATI TROPPI ACCOUNT PUNTI AMMINISTRATORI CECHI La maggior parte delle violazioni della sicurezza coinvolge credenziali privilegiate 14
EVOLUZIONE DEL PAM 1st Gen: Privileged Account Management/SAPM 2002 2006 2008 2010 TUTTO EBBE INIZIO CON IL VAULT 2nd Gen: Privileged Access Management 2012 2014 2016 2018 PROXY DI SESSIONE PER SEMPLIFICARE GLI ACCESSI PROBLEMA! PIU’ ACCOUNT CON PRIVILEGI -> PIU’ PRIVILEGI PERMANENTI -> ESPANSIONE DELLA SUPERFICE DI ATTACCO PER IL “MOVIMENTO LATERALE” 3rd Gen: Privileged Activity Management 2020 2022 2024 SEMPLIFICARE IL PAM 15
PERCHE GESTIRE GLI ACCESSI PRIVILEGIATI con sbPAM Stealthbits Privileged Activity Manager (SbPAM) si propone di abilitare gli amministratori e le utenze di HelpDesk nello svolgimento delle attività quotidiane che richiedono accessi privilegiati in modo semplice ed efficiente. In quanto PAM di 3gen, il focus è sul controllo delle attività che devono essere eseguite piuttosto che l’attribuzione di permessi agli amministratori. In questo modo SbPAM concede gli esatti privilegi utili per il minimo tempo necessario con una conseguente riduzione drastica della superficie di attacco di un'organizzazione e la possibilità per gli aggressori di spostarsi lateralmente o elevare i privilegi. DISCOVERY MONITORAGGIO & Individuazione e riduzione degli ENFORCEMENT accessi privilegiati Registrazione delle session, controllo real-time e possibilità di blocco ACCESSO SICURO (E MINIMO) Accesso temporaneo. just-in-time, con il minimo set di permessi necessari 16
PROCESSO OPERATIVO PAM 01 02 03 04 05 DISCOVER ONBOARD GRANT CONNECT REMOVE Scopri gli Integra gli Concedi Connetti l'utente Rimuovi account account per la all'utente il livello direttamente o completamente privilegiati con gestione e esatto di tramite proxy per il l'accesso utente autorizzazioni rimuovi i privilegi autorizzazione monitoraggio in modo che il permanenti al permanenti per necessario per avanzato della sistema sia pulito, sistema, alle ridurre la eseguire la sessione. azzerando le applicazioni e superficie di funzione tecniche avanzate all'infrastruttura attacco. amministrativa di furto delle dei dati. desiderata. credenziali 17
ARCHITTURA LOGICA Il PAM consente semplicemente all’amministratore di andare da A a B CRITERIO DI ACCESSO UTENTI & GRUPPI ATTIVITA’ RISORSE Domain Admin Access Windows Unix/Linux Password Reset Hyper-V Management Enterprise Admin Access Exchange Administration Active Directory DNS Change Local Admin Access DHCP Management Unlock Account Applications Any Resource Group Policy Management Database Management ETC… SERVIZI DELLA PIATTAFORMA LAPS & Vault Discovery Proxy Session Recording MFA Auditing Approval Workflows Integration (BYOV) 18
NETWRIX PRIVILEGED ACTIVITY MANAGER SbPAM consente in modo sicuro e trasparente agli amministratori di svolgere le loro attività quotidiane senza il sovraccarico degli strumenti PAM tradizionali. • Interfaccia moderna basata su HTML5 con autenticazione forte AuthN/AuthZ • Possibilità di accesso Just-in-Time o pianificata, con diritti al momento dell’esecuzione e solo fino al completamento dell’attività e approvazione multi-livello • Imposizione della rotazione delle password (fine sessione o utenze gestite) e controllo dell’esposizione delle password • Registrazione delle sessioni e successiva riproduzione • Sessioni con attività per qualsiasi funzione amministrativa • Supporto per sessioni automatizzate o accessi indiretti 19
NETWRIX PRIVILEGED ACTIVITY MANAGER GESTIONE CREDENZIALI AUDIT / RECORDING • Rotazione degli account di servizio con • Audit trail dell’attività amministrativa workflow di controllo e feedback real- • Registrazione/Riproduzione di sessioni time RDP/SSH/Web • Onboarding veloce di account • Monitoraggio Live di sessioni con capacità amministrativi built-in delle risorse di block/lock e terminate RIDUZIONE SUPERFICIE ATTACCO CERTIFICAZIONE • Pulizia di amministratori locali e ACCESSI appartenenti al Gruppo Domain Admin • Workflow di revision dei diritti • Nessuna duplicazione di account che • Dati di revisione esportabili non necessitano di vault • Zero Standing Privilege SEMPLICE IMPLEMENTAZIONE • Integrazioni BYOV (Bring Your Own PERMESSI JUST-IN-TIME Vault) con molti vault 3rd party vault • Activity Tokens – accessi temporanei incluso LAPS senza attack surface artifacts rimanenti • Architettura scalabile di service mesh • Permessi concessi in modo puntuale: o Installazione in 1 ora o Diritti AD su specifiche OUs o Nessuna licenza di db esterno o Appartenenza a gruppi di dominio/locali o Tutte le funzionalità incluse 20
SbPAM ARCHITECTURE PROXY ADMINISTRATOR MFA LOGIN DIRECT LOGON 22
BYOV TM BRING YOUR OWN VAULT Usa il nostro o un altro vendor : a tua scelta § Integrazione di terze parti opzionale per la gestione degli account o gli account di servizio SbPAM “… la possibilità per i clienti di integrare il § Microsoft LAPS integration proprio password vault esistente nella sua tecnologia piuttosto che doverne acquistare una da STEALTHbits, una caratteristica che Ovum considera un fattore di differenziazione significativo.” - Rik Turner, “STEALTHbits adds PAM with the option to ‘Bring Your Own Vault’” 23
IMPLEMENTAZIONE PIÙ FACILE LA SOLUZIONE PIÙ SEMPLICE E SCALABILE L'esclusiva architettura mesh dei servizi offre un'enorme scalabilità e ridondanza con scalabilità orizzontale praticamente zero § Supporto per piattaforme Windows, Linux e Docker § L'architettura mesh dei servizi più aggiornata § Modello di distribuzione centralizzato o distribuito Accetta la Sfida SbPAM! § Nessun costo di licenza del POC - Meno di 1 ora database Produzione - Meno di 6 ore § Nessun costo di componenti aggiuntivi § Nessun costo aggiuntivo per le 24 funzionalità
25 CONFIDENTIAL Soluzioni PAM esistenti Le soluzioni di gestione degli account privilegiati si basano sull'approccio intrinsecamente rischioso dell'utilizzo di account amministrativi permanenti. Con SbPAM, un account amministratore semplicemente non esiste fino a quando non è necessario e quando non è più necessario, scompare. Non vi è alcun privilegio permanente da gestire!
SbPAM È UN VEICOLO PER ANDARE DA AaB
PRODUCT DEMO
Q&A 28
Leggi di più su Netwrix PAM: https://www.netwrix.com/download/Datasheets/Datasheet_-_Netwrix_SbPAM.pdf Free Trial: https://www.netwrix.com/sbpam.html Guarda i webinar registrati sul canale youtube: https://www.youtube.com/channel/UCinp77Hv6dTc1fkR4--ztcQ/videos Test Drive altri prodotti Netwrix: virtual POC, prova nei nostri lab:https://www.netwrix.it/browser_demo.html Live Demo: richiedi una demo con i nostri esperti: sales-it@netwrix.com Maurizio Taglioretti Veronica Conti maurizio.taglioretti@netwrix.com veronica.conti@cips.it 346 8664420 29
Puoi anche leggere