Sicurezza IT e OT: Criticità nella gestione degli accessi Privilegiati e Remoti

Nel contesto della sicurezza informatica, gli accessi privilegiati rappresentano una vulnerabilità critica che le organizzazioni non possono permettersi di trascurare.

Durante la 13ª Edizione della Cyber Crime Conference, Olivier Cavroy (Solutions Engineer di Wallix) ha offerto un’illuminante dissertazione su questa tematica, proponendo strategie innovative per mitigare rischi che potrebbero compromettere l’integrità di intere infrastrutture informatiche.

L’origine delle vulnerabilità: due Casi Studio emblematici

Cavroy, in apertura del suo intervento, ha presentato due scenari di attacco che illustrano la duplice natura delle minacce quotidianamente affrontate dalle organizzazioni moderne.

[slide 0’35’’]Il primo caso riguarda un episodio che ha coinvolto Intesa San Paolo, dove la minaccia non è arrivata dall’esterno – come spesso si è portati a credere – bensì dall’interno dell’istituto bancario: un dipendente, sfruttando la propria posizione privilegiata, ha tentato di accedere illegittimamente agli account di personalità di alto profilo, tra cui Mario Draghi e Giorgia Meloni.

«È un attacco interno a una banca, realizzato da un dipendente all’interno della banca stessa» ha sottolineato Cavroy, evidenziando come le minacce endogene possano risultare particolarmente insidiose in quanto perpetrate da soggetti che già godono di un certo livello di fiducia.

[slide 1’17’’]Il secondo scenario analizzato travalica i confini aziendali per assumere dimensioni geopolitiche. Poco prima dell’inizio del conflitto in Ucraina, un attacco sofisticato ha preso di mira gli strumenti VPN di diverse realtà industriali. Come ha raccontato il relatore, alcuni soggetti «il giorno prima della guerra hanno attaccato gli strumenti VPN, prendendo poi il controllo dell’accesso remoto da più di 3.000 dispositivi; e questo ha avuto un impatto enorme sulla produzione».

Un esempio lampante di come gli accessi remoti, se non adeguatamente protetti, possano trasformarsi in vulnerabilità sistemiche con ripercussioni potenzialmente devastanti.

La giustapposizione di questi due episodi non è casuale: «uno interno (legato all’IT), uno esterno (legato all’accesso remoto). E noi siamo una soluzione che protegge gli accessi interni ed esterni» ha rimarcato Cavroy, delineando il perimetro d’azione di Wallix nel vasto campo della cybersecurity.

L’Architettura della Sicurezza: un approccio stratificato

La filosofia di Wallix – che parte dallo sviluppo di soluzioni di sicurezza specifiche per ambienti bancari, ma oggi si estende anche alla difesa degli apparati industriali – si fonda su un sistema di protezione che affronta in modo olistico il problema degli accessi privilegiati.

Il primo strato di questa architettura multilivello è rappresentato dall’autenticazione, elemento imprescindibile «per essere sicuri dell’identità dell’utente», ha spiegato Cavroy.

Una volta verificata l’identità entra in gioco il secondo livello, ossia il controllo granulare degli accessi e azioni consentiti. «Poi facciamo un controllo: cosa sta facendo questa persona, a cosa può accedere…»

Questo approccio basato sul principio del privilegio minimo consente di limitare drasticamente la superficie di attacco, garantendo che ogni utente abbia accesso esclusivamente alle risorse necessarie per svolgere le proprie mansioni.

Il terzo pilastro della strategia Wallix riguarda la tracciabilità. «Guardiamo le attività, i comandi, le applicazioni avviate, eventuali comportamenti anomali» ha illustrato Cavroy; una capacità di monitoraggio approfondito che non solo funge da deterrente per comportamenti malevoli ma costituisce anche uno strumento inestimabile in fase di analisi post-incidente, consentendo di ricostruire con precisione la sequenza degli eventi.

Completano l’architettura di sicurezza la gestione centralizzata delle credenziali e la protezione specifica dei sistemi-target. «Non condividiamo mai le credenziali ad altre persone» ha precisato l’esperto, evidenziando come ciò riduca drasticamente il rischio di compromissione delle credenziali stesse.

La Rivoluzione del Proxy: semplificare per rafforzare

Il relatore ha sintetizzato l’elemento distintivo delle soluzioni proposte da Wallix: «il nome dell’azienda viene da “wall” (muro), quindi noi rappresentiamo un proxy tra l’utente e il sistema target. Perché è importante essere un proxy? Perché in questo modo possiamo dare l’accesso senza nessun agent o client, quindi l’installazione è semplicissima,” ha affermato Cavroy, mettendo in luce uno dei vantaggi più significativi di questo approccio.

Tale architettura consente infatti una gestione centralizzata delle sessioni e delle credenziali, custodite in una “cassaforte interna” che previene accessi non autorizzati. La versatilità della soluzione si manifesta nella sua capacità di supportare una vasta gamma di protocolli, garantendo compatibilità praticamente con qualsiasi infrastruttura e applicazione.

Fra le principali innovazioni citate nell’intervento spicca la possibilità di accesso remoto tramite HTTPS, «perché è molto più semplice, consentendo di accedere da qualsiasi strumento»; una flessibilità che si traduce in un’esperienza più fluida per l’utente, senza compromettere in alcun modo la sicurezza complessiva del sistema.

Ripensare l’Accesso Remoto: oltre la VPN

Una delle affermazioni più audaci di Cavroy riguarda proprio il ripensamento dell’accesso remoto tradizionale: «oggi molte ditte stanno eliminando il ricorso alle VPN perché c’è poca visibilità, non sai cosa stanno facendo le persone».

[slide 4’44’’]I limiti della tecnologia VPN vengono superati da Wallix attraverso soluzioni sofisticate, come la Remote Browser Isolation per l’accesso ai siti web. Come ha illustrato Cavroy, ciò permette «di avviare il Client Web in una sandbox e poi di inviare un’immagine con dei pixel; quindi non c’è nessuna relazione tra l’utente remoto e il target web».

Un approccio che elimina alla radice la possibilità di infiltrazioni malware attraverso la navigazione via browser, creando una barriera invalicabile tra l’ambiente dell’utente e quello del server.

La miniaturizzazione della Superficie d’Attacco per una sicurezza proattiva

«Vogliamo sempre ridurre al minimo la superficie d’attacco: se questa è molto piccola, potete dormire tranquilli», ha affermato Cavroy sintetizzando la filosofia alla base della strategia di sicurezza proposta.

Minimizzare la superficie esposta agli attacchi rappresenta infatti uno dei principali cardini della cybersecurity moderna; un obiettivo che Wallix persegue attraverso la compartimentazione rigorosa degli accessi e il controllo granulare delle autorizzazioni.

L’Arsenale Analitico: identificare e rispondere alle minacce

Nel caso in cui – nonostante tutte le precauzioni – si verifichi un incidente, Wallix mette a disposizione un sofisticato arsenale di strumenti analitici per identificare rapidamente natura e origine della minaccia.

[slide 5’47’’]Cavroy ha delineato un processo di monitoraggio e azioni estremamente efficiente: «forniamo piena tracciabilità, andando a guardare i movimenti, i metadati… quali comandi sono stati usati? Quali applicazioni? Chi si è collegato a cosa (e a che ora?) Ci sono stati movimenti laterali? Tutto questo è visibile in tempo reale».

Evidenziando la completezza delle informazioni disponibili, il relatore ha ricordato che la piattaforma consente di configurare allarmi personalizzati e di inviare automaticamente i metadati raccolti a sistemi SIEM (Security Information & Event Management) dove possono essere ulteriormente analizzati, anche attraverso algoritmi di intelligenza artificiale.

Particolarmente innovativo è il processo di approvazione implementabile per gli accessi sensibili. «Ad alcuni target non si vuole dare un accesso permanente, per non impattare la produzione o perché sono altamente critici; così, quando qualcuno vuole accedervi, deve prima chiedere l’autorizzazione» ha spiegato Cavroy, introducendo un ulteriore livello di controllo per le risorse organizzative ad alta criticità.

L’Esperienza Utente come catalizzatore di adozione

Un aspetto sottolineato dal relatore è l’importanza dell’esperienza utente nell’adozione di soluzioni di sicurezza: «uno strumento di sicurezza deve essere molto conveniente e utile» ha affermato, riconoscendo come l’usabilità rappresenti spesso l’ostacolo principale all’implementazione efficace di misure di sicurezza robuste.

Sottolineando come l’utente sia «fondamentale per l’adozione di una soluzione tecnica di sicurezza» per migliorare l’esperienza d’uso, spicca la possibilità di condividere le sessioni con altri utenti esterni, in modo che le persone siano «felici di utilizzare la soluzione».

Cavroy ha ricordato che la piattaforma Wallix permette di soddisfare «quasi il 50% dei requisiti normativi», citando in proposito NIS2 e ISO 27001; considerazioni di non poco rilievo in un contesto normativo sempre più complesso e vincolante.

Ottimizzazione delle Risorse: risparmio ed efficienza

[slide 7’47’’]Oltre ai benefici in termini di sicurezza, l’approccio di Wallix offre vantaggi significativi anche dal punto di vista dell’ottimizzazione delle risorse IT: «Questa soluzione – che esiste on prem, in SaaS e in forma ibrida – permette di accedere ai PLC direttamente (Risparmiando anche soldi sulle licenze OT e/o VPN)», ha spiegato Cavroy, mettendo in luce come un approccio olistico alla sicurezza possa tradursi anche in risparmi concreti.

Un elemento di valore aggiunto risiede nella tracciabilità completa dei dati: «sai esattamente quali file sono stati trasferiti e puoi anche verificare se possano causare danni alla tua organizzazione», ha affermato Cavroy. Una funzionalità particolarmente preziosa in contesti dove la conformità normativa richiede controlli rigorosi sul flusso di informazioni.

La Semplificazione delle Operazioni

Un ulteriore aspetto innovativo è la capacità di semplificare le operazioni effettuate dagli utenti.

«Diamo l’accesso a un singolo utente, con un’unica credenziale, verso i target autorizzati; per cui quando viene rimosso dal sistema, si deve soltanto rimuovere questo utente e non tutti gli account target», ha dettagliato Cavroy.

La soluzione semplifica così la gestione del ciclo di vita degli account, riducendo al contempo il rischio di accessi non correttamente disattivati.

Unicità dell’Autenticazione: una password per governare tutto

La gestione delle password rappresenta storicamente uno dei punti più critici di qualsiasi sistema di sicurezza, spesso costringendo le aziende a scegliere tra praticità e robustezza.

Nell’approccio di Wallix questa dicotomia è superata con un sistema di autenticazione unica, che comporta vantaggi tangibili e immediati: «l’utente deve conoscere solo una password per accedere, con un singolo clic, a tutti i target. Non servono nemmeno client specifici perché tutto è accessibile attraverso il web».

Una semplificazione che non solo migliora l’esperienza utente ma riduce anche significativamente il rischio di comportamenti insicuri, come l’annotazione delle password su supporti fisici facilmente accessibili.

L’Imperativo della Sicurezza: mai fidarsi, verificare sempre

[slide11’17’’] Nelle sue considerazioni conclusive, Cavroy ha distillato la filosofia di Wallix in un principio che dovrebbe guidare qualsiasi strategia di sicurezza informatica. «Non dovresti mai fare affidamento su risorse interne o esterne: devi sempre ridurre la superficie di attacco al minimo e con il minimo sforzo».

L’approccio Zero Trust – in base al quale si presuppone che nessuna entità sia implicitamente affidabile – si concretizza in una soluzione snella, che richiede «soltanto un proxy tra l’utente e il target; in caso di problemi puoi rimuoverlo e tornare a com’era prima», con una semplicità architetturale che non sacrifica in alcun modo la robustezza della protezione offerta.

Come evidenziato, i principi di tracciabilità e verificabilità permeano l’intera soluzione: «c’è sempre una traccia visibile, in tempo reale, di ciò che è stato fatto». Tale trasparenza non solo facilita la tempestiva identificazione di comportamenti anomali, costituendo anche un potente deterrente contro azioni malevole.

Il relatore ha concluso la presentazione con un’osservazione sull’efficacia della soluzione proposta nel contesto reale: «Devo dire che ha avuto abbastanza successo perché i clienti ne sono felici» ha affermato, menzionando l’attuale partnership con Florence Consulting per l’assistenza ai clienti in Italia.

Un successo che testimonia come un approccio olistico, capace di coniugare sicurezza robusta e usabilità intuitiva, rappresenti la chiave per affrontare efficacemente la sfida degli accessi privilegiati, vero tallone d’Achille delle infrastrutture informatiche contemporanee.