Authorization
Una volta ricevuta una richiesta di riconoscimento di identità e stabilito che la richiesta è valida, come abbiamo discusso in altri articoli, passiamo a ciò che gli individui sono autorizzati a fare e se consentiremo o negheremo loro l’accesso a risorse specifiche (ad esempio, agli utenti delle risorse umane non sarebbe consentito l’accesso ai dati finanziari).
Possiamo raggiungere questo obiettivo con due concetti principali: autorizzazione e controllo degli accessi.
L’autorizzazione ci consente di specificare dove deve essere consentito o negato l’accesso e il controllo degli accessi ci consente di gestire questo accesso a un livello più granulare.
L’autorizzazione è il passaggio che segue l’identificazione e l’autenticazione.
L’autorizzazione ci consente di determinare, una volta autenticata la parte in questione, esattamente ciò che è autorizzato a fare.
In genere implementiamo l’autorizzazione attraverso l’uso di controlli di accesso, di cui abbiamo discusso in altri articoli.
Per prima cosa affronteremo alcune buone pratiche.
Principio del minimo privilegio
Quando determiniamo che tipo di accesso fornire a qualcuno cui abbiamo fornito l’autorizzazione, c’è un concetto importante che dovremmo tenere a mente, chiamato principio del privilegio minimo (least privilege).
Il principio del privilegio minimo impone che dovremmo consentire solo l’accesso minimo e indispensabile a una persona, un account utente o un processo, per consentire di eseguire le funzionalità necessarie.
Ad esempio, qualcuno che lavora in un reparto vendite non dovrebbe aver bisogno di accedere ai dati nel nostro sistema di risorse umane interno per svolgere il proprio lavoro.
La violazione del principio del privilegio minimo è il cuore di molti dei problemi di sicurezza che affrontiamo oggi.
Uno dei modi più comuni in cui troviamo implementato il principio del privilegio minimo in modo improprio è nei permessi che diamo per gli account utente del sistema operativo, più comunemente violati da utenti e amministratori dei sistemi operativi Microsoft.
Nel sistema operativo Microsoft, troveremo spesso che gli utenti occasionali del sistema operativo, che svolgono attività come la creazione di documenti in un elaboratore di testi e lo scambio di posta elettronica, sono configurati con accesso amministrativo, consentendo loro di svolgere qualsiasi attività che il sistema operativo consente.
Di conseguenza, ogni volta che l’utente con privilegi “eccessivi” apre un allegato di posta elettronica contenente un potenziale malware o visita un sito Web potenzialmente malevolo, eventuali attacchi hanno massima libertà sul sistema perché agiscono con gli stessi permessi dell’utente, che è, a sua volta, dotato di capacità amministrative.
Per questo motivo, il lavoro dell’attaccante è molto più semplice, in quanto potrebbe semplicemente disattivare gli strumenti anti-malware, installare qualsiasi strumento di attacco aggiuntivo possibile e procedere con la completa compromissione del sistema, godendo di tutti i privilegi amministrativi dell’account violato.
Il rovescio della medaglia è che negando i privilegi amministrativi l’utente potrebbe non essere in grado di scaricare un nuovo aggiornamento per la propria applicazione principale o installare un nuovo programma di cui ha bisogno senza supporto amministrativo, il che potrebbe avere un impatto operativo pari al rifiuto di servizio autoimposto.
Possiamo vedere lo stesso problema in servizi o processi che sono in esecuzione con permessi maggiori di quelli necessari per svolgere le loro funzioni.
Se abbiamo un servizio che esegue un server Web, ad esempio, questo servizio richiede solo un’autorizzazione sufficiente per accedere ai file e agli script che riguardano direttamente il contenuto Web che sta servendo, e niente di più.
Se consentiamo al servizio Web di accedere a file aggiuntivi nel filesystem, un utente malintenzionato potrebbe potenzialmente leggere o alterare questi file per ottenere l’accesso non autorizzato a informazioni più sensibili di quelle che normalmente renderemmo pubbliche, dando così all’attaccante una possibilità per attaccare più in profondità nel sistema.
Seguendo attentamente il principio del privilegio minimo durante la configurazione dei sistemi, l’assegnazione delle autorizzazioni per gli account e la pianificazione della nostra sicurezza, possiamo eliminare alcune vulnerabilità più facilmente accessibili che gli aggressori possono utilizzare contro di noi.
Questa è una misura di sicurezza molto semplice che possiamo mettere in atto a un costo minimo o nullo, ed è molto efficace, quindi avrà sempre un impatto molto positivo.
