Il punto di vista di Cyber Academy
PAM è il sottoinsieme di IAM focalizzato sugli account privilegiati: amministratori, root, account di servizio, break-glass. Conserva le credenziali in vault, intermedia le sessioni, registra l'attività. È il primo obiettivo dell'attaccante dopo l'accesso iniziale, e il controllo che gli auditor verificano con maggiore rigore nell'ambito di NIS 2 e DORA.
Perché gli account privilegiati sono un problema a sé
Ogni programma di gestione delle identità inizia dagli utenti ordinari: chi sono, cosa possono aprire, come si autenticano. La gestione degli accessi privilegiati (PAM) si occupa degli account che si collocano al di sopra di quel livello. Amministratori di dominio, account root e di amministratore locale, proprietari di database, console di hypervisor, identità root nel cloud, account di servizio che vengono eseguiti senza supervisione e gli account di emergenza tenuti per le situazioni critiche.
Queste identità possono modificare la configurazione, leggere o distruggere dati, disabilitare la registrazione e creare nuovi account. Il raggio d'impatto di una singola credenziale di amministratore compromessa è l'intero ambiente, ed è per questo che il PAM è trattato come una disciplina a sé stante anziché come una funzionalità dell'IAM generale.
Il gesto distintivo del PAM consiste nello smettere di considerare le credenziali privilegiate come qualcosa che una persona semplicemente conosce. Al contrario, il segreto risiede in una cassaforte, l'accesso viene richiesto e approvato, la sessione viene mediata attraverso un gateway controllato e tutto ciò che l'utente privilegiato fa viene registrato. L'essere umano spesso non vede mai la password. Questa separazione tra l'operatore e il segreto è ciò che rende l'attività privilegiata verificabile e revocabile.
Cosa controlla davvero un programma PAM
In pratica, un'implementazione PAM matura combina diversi meccanismi che corrispondono direttamente a ciò che gli auditor si aspettano di vedere:
- Custodia delle credenziali in cassaforte: le password privilegiate, le chiavi SSH e i segreti API sono archiviati in modo centralizzato, ruotati automaticamente e mai incorporati in script o file di configurazione.
- Mediazione e registrazione delle sessioni: gli amministratori si connettono tramite un proxy che inietta la credenziale, in modo che la sessione possa essere monitorata, registrata e terminata senza che l'operatore detenga mai il segreto.
- Elevazione just-in-time: i diritti vengono concessi per un compito definito e una finestra definita, poi revocati, anziché lasciati assegnati all'account in modo permanente.
- Procedure di emergenza (break-glass): gli account di emergenza sono sigillati, dotati di allarme e riesaminati dopo ogni utilizzo, in modo da esistere per i guasti reali senza diventare una backdoor silenziosa.
- Individuazione e responsabilità: lo strumento individua gli account privilegiati e di servizio in tutto il parco e ricollega ogni azione privilegiata a una persona identificata per nome.
| Dimensione | IAM generale | PAM |
|---|---|---|
| Ambito | Tutte le identità e tutti gli accessi | Solo account privilegiati (admin, root, servizio, break-glass) |
| Domanda centrale | Questa persona dovrebbe avere accesso? | Come viene custodito in cassaforte, mediato e registrato questo accesso elevato? |
| Gestione delle credenziali | L'utente si autentica con la propria credenziale | Il segreto viene custodito in cassaforte e iniettato; l'operatore può non vederlo mai |
| Postura predefinita | Autorizzazioni persistenti gestite nel tempo | Just-in-time, limitato nel tempo, revocato dopo l'uso |
| Focus dell'audit | Riesami degli accessi e processo di ingresso-trasferimento-uscita | Registrazione delle sessioni, rotazione, riesame degli account di emergenza |
Dove si colloca il PAM nell'IAM e nel quadro normativo
Il PAM è un sottoinsieme della gestione delle identità e degli accessi, ristretto agli account che comportano il rischio maggiore, ed è la punta avanzata del principio del privilegio minimo. L'IAM generale si chiede se una persona dovrebbe avere accesso del tutto. Il PAM presuppone che l'accesso sia legittimo, ma insiste affinché sia temporaneo, mediato, registrato e reversibile. Gli aggressori comprendono questa gerarchia: dopo un primo punto d'appoggio tramite phishing o un servizio esposto, l'obiettivo successivo è scalare verso un account privilegiato, perché è ciò che trasforma un singolo host nel controllo del dominio.
Anche le autorità di vigilanza lo sanno. Ai sensi della Direttiva NIS 2, il controllo degli accessi e la gestione degli account privilegiati rientrano pienamente nelle misure di gestione del rischio di cybersicurezza che i soggetti essenziali e importanti devono attuare. Il Regolamento sulla resilienza operativa digitale (DORA) fissa aspettative analoghe per il settore finanziario, dove l'autenticazione forte e il controllo rigoroso degli accessi privilegiati fanno parte del quadro di gestione del rischio ICT.
L'Allegato A della norma ISO/IEC 27001 affronta i diritti di accesso privilegiato e la gestione delle informazioni segrete di autenticazione come controlli nominati. In un audit, l'accesso privilegiato è costantemente una delle aree esaminate con maggiore severità, perché un controllo debole in questo punto compromette ogni altra salvaguardia.
Modalità di fallimento comuni
I programmi PAM falliscono in modi prevedibili. Account di servizio con password senza scadenza codificate direttamente nell'automazione. Account amministratore condivisi in cui nessuno può dire chi ha agito. Diritti di amministratore locale permanenti su ogni postazione di lavoro. Un'adozione della cassaforte che copre gli amministratori interattivi ma lascia intatte le identità macchina. La disciplina vale solo quanto la sua copertura, perciò il lavoro concreto è l'individuazione continua e la costante rimozione del privilegio permanente, non un singolo rilascio.
Frequently asked questions
01Il PAM è la stessa cosa dell'IAM?
No. Il PAM è un sottoinsieme dell'IAM focalizzato unicamente sugli account privilegiati come amministratori, root, account di servizio e identità di emergenza. L'IAM governa tutti gli accessi; il PAM applica custodia in cassaforte, mediazione e registrazione più rigorose agli account con il maggior raggio d'impatto.
02Che cos'è un account di emergenza (break-glass)?
È un account privilegiato di emergenza tenuto sigillato per le situazioni in cui le normali vie di accesso falliscono, come un'interruzione del provider di identità. Le sue credenziali sono custodite in cassaforte e dotate di allarme, e ogni utilizzo innesca un riesame affinché l'account non diventi una backdoor silenziosa.
03Perché gli aggressori prendono di mira per primo l'accesso privilegiato?
Dopo un primo punto d'appoggio, una singola credenziale privilegiata può concedere il controllo dell'intero ambiente: modificare la configurazione, disabilitare la registrazione e creare nuovi account. Scalare verso il privilegio è ciò che trasforma un host compromesso in una violazione estesa a tutto il dominio.
04NIS 2 o DORA richiedono il PAM?
Nessuno dei due nomina un prodotto, ma entrambi richiedono il controllo dell'accesso privilegiato. NIS 2 include il controllo degli accessi tra le sue misure di gestione del rischio, e DORA si attende un'autenticazione forte e una gestione rigorosa dell'accesso privilegiato all'interno del quadro di gestione del rischio ICT. Il PAM è il modo in cui le organizzazioni dimostrano il rispetto di tali obblighi.
05Che cos'è l'accesso privilegiato just-in-time?
Significa concedere diritti elevati per un compito specifico e una finestra temporale limitata, per poi revocarli automaticamente, anziché lasciare i privilegi assegnati all'account in modo permanente. Riduce la finestra in cui una credenziale compromessa è utile.