Inizia oggi un percorso in 5 tappe sull’importanza per gli MSP ed i clienti della gestione delle password.
Prenderemo in considerazione:
– perchè sono necessari x MSP e clienti
– come scegliere la soluzione Saas
– caratteristiche
– le regole per una documentazione IT efficiente ed efficace
– Best practices
Seguiteci in questo percorso che Vi guiderà verso nuove opportunità di business e di miglioramento delle procedure aziendali. Scoprite gli strumenti che vi aiuteranno a migliorare la sicurezza e la compliance della Vostra azienda e dei Vostri clienti.
I fornitori di servizi gestiti (MSP) detengono le credenziali di accesso per centinaia di migliaia di sistemi di clienti. Queste credenziali sono “chiavi del regno” e forniscono accesso a vari livelli a reti, dispositivi, applicazioni e persino dati.
Gli attori dannosi comprendono l’importanza dell’accesso concesso agli MSP e riconoscono anche il valore di ottenere più credenziali nel minor numero di attacchi possibile. Gli MSP e i fornitori di servizi IT in generale possono essere un esempio di “figli dei calzolai”, sebbene siano esperti nel consigliare e attuare strategie di gestione dei rischi per i loro clienti, potrebbero non essersi occupati della propria casa.
Per gli aggressori, questo è il potenziale per una tempesta perfetta: grandi volumi di credenziali, concentrati nelle mani di pochissime organizzazioni con una protezione della gestione del rischio potenzialmente scarsa.
In effetti, sia HPE che IBM , due dei maggiori MSP del mondo, sono stati violati l’anno scorso in attacchi mirati. Quindi questo sicuramente non è solo un problema per i piccoli MSP.
Protezione delle credenziali
Come puoi garantire che le credenziali dei tuoi clienti siano protette? Cominciamo con uno sguardo ai tipi di attacchi con password che violano i sistemi.
Gli attori dannosi utilizzano una varietà di attacchi basati su password per ottenere l’accesso ai sistemi.
- La spruzzatura delle password è un attacco automatico che utilizza indirizzi e -mail noti e un elenco di password comuni. È un gioco d’ipotesi con un alto grado di successo contro password deboli.
- Il riempimento delle credenziali è un attacco automatizzato che utilizza combinazioni di nome utente / password note destinate a nuovi siti. Questo tipo di attacco funziona bene per le persone che riutilizzano le password.
- Gli attacchi di forza bruta sono attacchi automatici che utilizzano indirizzi e-mail e congetture ad alto volume di password basate su dizionari di password, parole e variazioni di parole. Sono dispendiosi in termini di tempo e risorse ma producono risultati rapidi contro password deboli.
Questi attacchi richiedevano competenze specialistiche. Oggi, gli elenchi di strumenti e password sono prontamente disponibili gratuitamente. Una ricerca Google di giugno 2019 per “Passwords.txt” produce 10,3 milioni di risultati, con titoli di link come “10 milioni di password-elenco”, “500-peggiori-password”, “10k-più comuni” e “Grandi elenchi di password : Password cracking Download del dizionario. ” Ciò dimostra che i mezzi per guidare questi attacchi sono facilmente raggiungibili. Una seconda ricerca di strumenti progettati per essere utilizzati da white hat / hacker etici restituisce un gran numero di strumenti scaricabili pronti per l’uso.
Come best practice, le password complesse offrono la migliore difesa contro tutti e tre i tipi di attacco.
Tuttavia, le password complesse sono difficili da ricordare e difficili da gestire senza strumenti appositamente progettati.
I fogli di calcolo di uso comune facilitano l’uso di password complesse ma presentano sfide in termini di funzionamento:
- Errori di errore
- Copia / incolla errori
- Tempi di ricerca aumentati
- Versione non aggiornata del foglio
- Più copie esacerbano la manutenzione
- Archiviazione non sicura
- La revoca è impossibile
Perché è importante la gestione delle password
Queste sfide significano che alla fine gli utenti ricadono sul riutilizzo di vecchie password o sulla creazione di password deboli e aumenta il rischio di violazione. È qui che una soluzione di gestione delle password appositamente progettata può essere d’aiuto, fornendo un modo per:
- Facilitare la creazione di password complesse
- Archivia in modo sicuro credenziali di tutti i tipi
- Iniettare senza problemi la password nei sistemi quando necessario
- Consentire ai depositi di essere configurati per ruolo, fornendo accesso basato su competenza e anzianità
- Concedi o revoca l’accesso con un solo clic
- Acquisisci automaticamente nuove credenziali
- Scadenza delle password
- Misura e segnala la validità e l’età della password
- Ruota automaticamente le credenziali esistenti
- Fornire una capacità di controllo per soddisfare i requisiti di conformità per la creazione, l’utilizzo e l’archiviazione delle credenziali
Per la maggior parte dei requisiti di conformità, è importante che le password vengano cambiate regolarmente; questo è qualcosa che è facilmente dimostrato con una soluzione appositamente costruita.
Tuttavia, probabilmente l’aspetto migliore di tutti dal punto di vista del tecnico è che devi solo ricordare una singola password per accedere al deposito sicuro.
Se non hai ancora implementato una soluzione specifica per il tuo MSP, potresti mettere a rischio sia te stesso che i tuoi clienti.
Costruito per MSP dagli MSP, SolarWinds Passportal + Documentation Manager è una soluzione crittografata ed efficiente per la gestione delle password e delle credenziali, che offre immissione di credenziali, reportistica, controllo, automazione della modifica delle password e capacità di documentazione privilegiata per i clienti, progettata per semplificare la giornata dei tecnici fornendo documentazione essenziale a portata di mano per standardizzare l’erogazione del servizio e accelerare la risoluzione dei problemi.
SolarWinds Passportal può aiutarvi a gestire i rischi, abbreviare i tempi di risoluzione degli incidenti, soddisfare la conformità per la creazione, l’utilizzo e l’archiviazione delle credenziali. Per saperne di più clicca qui .
FONTE: Solarwinds MPS Passportal BLOG – Scritto da Andrew Miller ex senior marketing manager del prodotto presso SolarWinds MSP.
Originariamente pubblicato sul blog MSP di SolarWinds .
Traduzione N4B SRL – Distributore Autorizzato Solarwinds MSP