PAM Privileged Access Management.

PAM è il sottoinsieme di IAM focalizzato sugli account privilegiati: amministratori, root, account di servizio, break-glass. Conserva le credenziali in vault, intermedia le sessioni, registra l'attività. È il primo obiettivo dell'attaccante dopo l'accesso iniziale, e il controllo che gli auditor verificano con maggiore rigore nell'ambito di NIS 2 e DORA.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCybersecurity operationsAll entries

Il punto di vista di Cyber Academy

PAM è il sottoinsieme di IAM focalizzato sugli account privilegiati: amministratori, root, account di servizio, break-glass. Conserva le credenziali in vault, intermedia le sessioni, registra l'attività. È il primo obiettivo dell'attaccante dopo l'accesso iniziale, e il controllo che gli auditor verificano con maggiore rigore nell'ambito di NIS 2 e DORA.

Perché gli account privilegiati sono un problema a sé

Ogni programma di gestione delle identità inizia dagli utenti ordinari: chi sono, cosa possono aprire, come si autenticano. La gestione degli accessi privilegiati (PAM) si occupa degli account che si collocano al di sopra di quel livello. Amministratori di dominio, account root e di amministratore locale, proprietari di database, console di hypervisor, identità root nel cloud, account di servizio che vengono eseguiti senza supervisione e gli account di emergenza tenuti per le situazioni critiche.

Queste identità possono modificare la configurazione, leggere o distruggere dati, disabilitare la registrazione e creare nuovi account. Il raggio d'impatto di una singola credenziale di amministratore compromessa è l'intero ambiente, ed è per questo che il PAM è trattato come una disciplina a sé stante anziché come una funzionalità dell'IAM generale.

Il gesto distintivo del PAM consiste nello smettere di considerare le credenziali privilegiate come qualcosa che una persona semplicemente conosce. Al contrario, il segreto risiede in una cassaforte, l'accesso viene richiesto e approvato, la sessione viene mediata attraverso un gateway controllato e tutto ciò che l'utente privilegiato fa viene registrato. L'essere umano spesso non vede mai la password. Questa separazione tra l'operatore e il segreto è ciò che rende l'attività privilegiata verificabile e revocabile.

Cosa controlla davvero un programma PAM

In pratica, un'implementazione PAM matura combina diversi meccanismi che corrispondono direttamente a ciò che gli auditor si aspettano di vedere:

  • Custodia delle credenziali in cassaforte: le password privilegiate, le chiavi SSH e i segreti API sono archiviati in modo centralizzato, ruotati automaticamente e mai incorporati in script o file di configurazione.
  • Mediazione e registrazione delle sessioni: gli amministratori si connettono tramite un proxy che inietta la credenziale, in modo che la sessione possa essere monitorata, registrata e terminata senza che l'operatore detenga mai il segreto.
  • Elevazione just-in-time: i diritti vengono concessi per un compito definito e una finestra definita, poi revocati, anziché lasciati assegnati all'account in modo permanente.
  • Procedure di emergenza (break-glass): gli account di emergenza sono sigillati, dotati di allarme e riesaminati dopo ogni utilizzo, in modo da esistere per i guasti reali senza diventare una backdoor silenziosa.
  • Individuazione e responsabilità: lo strumento individua gli account privilegiati e di servizio in tutto il parco e ricollega ogni azione privilegiata a una persona identificata per nome.
Il PAM a confronto con l'IAM generale
DimensioneIAM generalePAM
AmbitoTutte le identità e tutti gli accessiSolo account privilegiati (admin, root, servizio, break-glass)
Domanda centraleQuesta persona dovrebbe avere accesso?Come viene custodito in cassaforte, mediato e registrato questo accesso elevato?
Gestione delle credenzialiL'utente si autentica con la propria credenzialeIl segreto viene custodito in cassaforte e iniettato; l'operatore può non vederlo mai
Postura predefinitaAutorizzazioni persistenti gestite nel tempoJust-in-time, limitato nel tempo, revocato dopo l'uso
Focus dell'auditRiesami degli accessi e processo di ingresso-trasferimento-uscitaRegistrazione delle sessioni, rotazione, riesame degli account di emergenza

Dove si colloca il PAM nell'IAM e nel quadro normativo

Il PAM è un sottoinsieme della gestione delle identità e degli accessi, ristretto agli account che comportano il rischio maggiore, ed è la punta avanzata del principio del privilegio minimo. L'IAM generale si chiede se una persona dovrebbe avere accesso del tutto. Il PAM presuppone che l'accesso sia legittimo, ma insiste affinché sia temporaneo, mediato, registrato e reversibile. Gli aggressori comprendono questa gerarchia: dopo un primo punto d'appoggio tramite phishing o un servizio esposto, l'obiettivo successivo è scalare verso un account privilegiato, perché è ciò che trasforma un singolo host nel controllo del dominio.

Anche le autorità di vigilanza lo sanno. Ai sensi della Direttiva NIS 2, il controllo degli accessi e la gestione degli account privilegiati rientrano pienamente nelle misure di gestione del rischio di cybersicurezza che i soggetti essenziali e importanti devono attuare. Il Regolamento sulla resilienza operativa digitale (DORA) fissa aspettative analoghe per il settore finanziario, dove l'autenticazione forte e il controllo rigoroso degli accessi privilegiati fanno parte del quadro di gestione del rischio ICT.

L'Allegato A della norma ISO/IEC 27001 affronta i diritti di accesso privilegiato e la gestione delle informazioni segrete di autenticazione come controlli nominati. In un audit, l'accesso privilegiato è costantemente una delle aree esaminate con maggiore severità, perché un controllo debole in questo punto compromette ogni altra salvaguardia.

Modalità di fallimento comuni

I programmi PAM falliscono in modi prevedibili. Account di servizio con password senza scadenza codificate direttamente nell'automazione. Account amministratore condivisi in cui nessuno può dire chi ha agito. Diritti di amministratore locale permanenti su ogni postazione di lavoro. Un'adozione della cassaforte che copre gli amministratori interattivi ma lascia intatte le identità macchina. La disciplina vale solo quanto la sua copertura, perciò il lavoro concreto è l'individuazione continua e la costante rimozione del privilegio permanente, non un singolo rilascio.

Frequently asked questions

01Il PAM è la stessa cosa dell'IAM?

No. Il PAM è un sottoinsieme dell'IAM focalizzato unicamente sugli account privilegiati come amministratori, root, account di servizio e identità di emergenza. L'IAM governa tutti gli accessi; il PAM applica custodia in cassaforte, mediazione e registrazione più rigorose agli account con il maggior raggio d'impatto.

02Che cos'è un account di emergenza (break-glass)?

È un account privilegiato di emergenza tenuto sigillato per le situazioni in cui le normali vie di accesso falliscono, come un'interruzione del provider di identità. Le sue credenziali sono custodite in cassaforte e dotate di allarme, e ogni utilizzo innesca un riesame affinché l'account non diventi una backdoor silenziosa.

03Perché gli aggressori prendono di mira per primo l'accesso privilegiato?

Dopo un primo punto d'appoggio, una singola credenziale privilegiata può concedere il controllo dell'intero ambiente: modificare la configurazione, disabilitare la registrazione e creare nuovi account. Scalare verso il privilegio è ciò che trasforma un host compromesso in una violazione estesa a tutto il dominio.

04NIS 2 o DORA richiedono il PAM?

Nessuno dei due nomina un prodotto, ma entrambi richiedono il controllo dell'accesso privilegiato. NIS 2 include il controllo degli accessi tra le sue misure di gestione del rischio, e DORA si attende un'autenticazione forte e una gestione rigorosa dell'accesso privilegiato all'interno del quadro di gestione del rischio ICT. Il PAM è il modo in cui le organizzazioni dimostrano il rispetto di tali obblighi.

05Che cos'è l'accesso privilegiato just-in-time?

Significa concedere diritti elevati per un compito specifico e una finestra temporale limitata, per poi revocarli automaticamente, anziché lasciare i privilegi assegnati all'account in modo permanente. Riduce la finestra in cui una credenziale compromessa è utile.

Hai bisogno di più di una definizione?

Prenota una chiamata di discovery gratuita di 20 minuti. Mappiamo la coorte che trasforma questo termine in una pratica pronta per l'audit.