Nell’attuale panorama digitale, le imprese devono affrontare una serie formidabile di minacce informatiche, con attacchi e violazioni dei dati sempre più frequenti. Con la crescente adozione di tecnologie trasformative come AI, automazione, architetture cloud-native, microservizi e containerizzazione, la proliferazione delle identità macchina è aumentata, e oggi spesso supera quelle umane. La ricerca CyberArk 2024 l’ha confermato, con il 39% delle aziende italiane che prevede una crescita di 2 volte nei prossimi 12 mesi (media: 2,4 volte), evidenziando la necessità di mettere a punto solide best practice di gestione dei secret per salvaguardarle. Tuttavia, orientarsi in questo complesso panorama può essere scoraggiante e gli errori nella scelta dell’approccio possono lasciare le aziende vulnerabili agli attacchi.

È opportuno approfondire due approcci di gestione fondamentali: i secret dinamici e la rotazione dei secret, facendo chiarezza sui ruoli distinti e sulle soluzioni ottimali per soddisfare le esigenze specifiche e mitigare il rischio in modo efficace.

Secret dinamici: migliorare la sicurezza in ambienti agili

Analogamente alla rotazione dei secret, quelli dinamici svolgono un ruolo cruciale nel ridurre al minimo la superficie di attacco e attenuare l’esposizione di informazioni sensibili. Operando secondo il principio della generazione di credenziali on demand o just-in-time (JIT), i secret dinamici sono effimeri e di breve durata, con un tempo di vita predeterminato (Time To Live, TTL). Una volta scaduto il TTL, la credenziale non è più valida, rafforzando la sicurezza in ambienti cloud-native effimeri o in architetture di microservizi in cui i consumatori sono transitori.

Tuttavia, sebbene i secret dinamici offrano vantaggi significativi in ambienti dinamici, potrebbero non essere ideali per verificare l’attività degli account per un periodo prolungato. Infatti, la natura effimera dei segreti dinamici può far variare i nomi degli account utente, complicando i percorsi di verifica.

Inoltre, un’insidia comune delle aziende è l’impostazione di un TTL lungo o il rinnovo continuo dello stesso secret dinamico. Questa pratica essenzialmente lo trasforma in statico, aumentando notevolmente il rischio di una fuga di notizie o di un accesso non autorizzato.

Rotazione dei secret: audibility e conformità per gli account persistenti

I secret a rotazione, una pietra miliare delle pratiche di sicurezza, sono soggetti a sostituzione a intervalli programmati. Questo approccio proattivo alla loro gestione non è solo una best practice, ma è spesso un requisito normativo imposto da standard rigorosi come il PCI DSS, che impone cicli di rotazione fino a 90 giorni.

La differenza tra i secret a rotazione e quelli dinamici è che durante il processo di rotazione vengono modificate solo le informazioni segrete, mentre il nome o l’identificativo dell’account rimangono costanti; caratteristica che rende questi secret particolarmente adatti per gli accessi di lunga durata o per gli account che si prevede permangano oltre la durata di vita dei singoli segreti.

Sebbene i principi della rotazione siano semplici, il successo della sua implementazione richiede una soluzione sofisticata in grado di automatizzare e orchestrare il processo con precisione e affidabilità. Utilizzando automazione e funzionalità di rotazione avanzate, le aziende possono

rispettare gli standard di sicurezza, ridurre i rischi e salvaguardare efficacemente le informazioni sensibili.

Creare una strategia di gestione dei secret flessibile e completa

Sia i secret dinamici che la loro rotazione servono a scopi diversi nell’ambito di una strategia di gestione completa, e ciascuno di essi presenta vantaggi unici per casi d’uso e ambienti specifici.

Ecco come le aziende dovrebbero utilizzare ciascun approccio:

· I secret dinamici dovrebbero essere utilizzati in ambienti effimeri in cui è necessario un accesso temporaneo e il tempo di vita è inferiore a quello in cui un secret dovrebbe essere ruotato. Ad esempio, meno di 90 giorni se si segue lo standard PCI DSS.

· La rotazione dei secret è ideale per l’auditing e il monitoraggio degli accessi per gli account persistenti o quando l’account deve vivere più a lungo del periodo di tempo in cui un secret deve essere cambiato.

Le aziende possono affrontare efficacemente una gamma più ampia di requisiti di sicurezza e di sfide operative integrando sia i secret dinamici che la loro rotazione. I primi rispondono alla natura dinamica dei moderni ambienti IT, mentre la seconda rafforza la sicurezza a lungo termine e la conformità. Insieme, costituiscono un approccio solido e completo per salvaguardare i dati sensibili e mitigare efficacemente i rischi. I vantaggi includono:

· Miglioramento dell’efficienza operativa. Consente di automatizzare creazione, distribuzione e revoca dei secret, riducendo al contempo il lavoro manuale e gli errori umani legati alla loro gestione.

· Maggiore verificabilità e visibilità. Permette di tracciare e monitorare l’uso e il ciclo di vita dei secret e identificare comportamenti anomali o dannosi.

· Maggiore scalabilità e flessibilità. Consente di supportare diversi tipi di secret e ambienti, in modo che l’azienda possa adattarsi alle mutevoli esigenze di business e di sicurezza.

Massimizzare la protezione con secret dinamici e rotazione dei secret

I secret dinamici e la rotazione sono componenti essenziali di una strategia di gestione completa. Comprendendo i loro ruoli distinti e applicandoli in modo appropriato, le aziende possono migliorare la loro postura di sicurezza, ridurre i rischi e proteggere efficacemente le informazioni sensibili in un panorama di minacce in continua evoluzione. Una soluzione di gestione dei secret basata su SaaS offre alle imprese la flessibilità necessaria per portare avanti una strategia di gestione dei secret completa.

A cura di Paolo Lossa, Country Sales Director di CyberArk Italia