Inizia oggi un percorso in 5 tappe sull’importanza per gli MSP ed i clienti della gestione delle password.

Prenderemo in considerazione:

– perchè sono necessari x MSP e clienti

– come scegliere la soluzione Saas

– caratteristiche

– le regole per una documentazione IT efficiente ed efficace

– Best practices

Seguiteci in questo percorso che Vi guiderà verso nuove opportunità di business e di miglioramento delle procedure aziendali. Scoprite gli strumenti che vi aiuteranno a migliorare la sicurezza e la compliance della Vostra azienda e dei Vostri clienti.

I fornitori di servizi gestiti (MSP) detengono le credenziali di accesso per centinaia di migliaia di sistemi di clienti. Queste credenziali sono “chiavi del regno” e forniscono accesso a vari livelli a reti, dispositivi, applicazioni e persino dati.

Gli attori dannosi comprendono l’importanza dell’accesso concesso agli MSP e riconoscono anche il valore di ottenere più credenziali nel minor numero di attacchi possibile. Gli MSP e i fornitori di servizi IT in generale possono essere un esempio di “figli dei calzolai”, sebbene siano esperti nel consigliare e attuare strategie di gestione dei rischi per i loro clienti, potrebbero non essersi occupati della propria casa.

Per gli aggressori, questo è il potenziale per una tempesta perfetta: grandi volumi di credenziali, concentrati nelle mani di pochissime organizzazioni con una protezione della gestione del rischio potenzialmente scarsa.

In effetti, sia HPE che IBM , due dei maggiori MSP del mondo, sono stati violati l’anno scorso in attacchi mirati. Quindi questo sicuramente non è solo un problema per i piccoli MSP.

Protezione delle credenziali

Come puoi garantire che le credenziali dei tuoi clienti siano protette? Cominciamo con uno sguardo ai tipi di attacchi con password che violano i sistemi.

Gli attori dannosi utilizzano una varietà di attacchi basati su password per ottenere l’accesso ai sistemi.

  • La spruzzatura delle password  è un attacco automatico che utilizza indirizzi e -mail noti e un elenco di password comuni. È un gioco d’ipotesi con un alto grado di successo contro password deboli.  
  • Il riempimento delle credenziali  è un attacco automatizzato che utilizza combinazioni di nome utente / password note destinate a nuovi siti. Questo tipo di attacco funziona bene per le persone che riutilizzano le password.  
  • Gli attacchi di forza bruta  sono attacchi automatici che utilizzano indirizzi e-mail e congetture ad alto volume di password basate su dizionari di password, parole e variazioni di parole. Sono dispendiosi in termini di tempo e risorse ma producono risultati rapidi contro password deboli.

Questi attacchi richiedevano competenze specialistiche. Oggi, gli elenchi di strumenti e password sono prontamente disponibili gratuitamente. Una ricerca Google di giugno 2019 per “Passwords.txt” produce 10,3 milioni di risultati, con titoli di link come “10 milioni di password-elenco”, “500-peggiori-password”, “10k-più comuni” e “Grandi elenchi di password : Password cracking Download del dizionario. ” Ciò dimostra che i mezzi per guidare questi attacchi sono facilmente raggiungibili. Una seconda ricerca di strumenti progettati per essere utilizzati da white hat / hacker etici restituisce un gran numero di strumenti scaricabili pronti per l’uso.

Come best practice, le password complesse offrono la migliore difesa contro tutti e tre i tipi di attacco.

Tuttavia, le password complesse sono difficili da ricordare e difficili da gestire senza strumenti appositamente progettati.

I fogli di calcolo di uso comune facilitano l’uso di password complesse ma presentano sfide in termini di funzionamento:

  • Errori di errore
  • Copia / incolla errori
  • Tempi di ricerca aumentati
  • Versione non aggiornata del foglio
  • Più copie esacerbano la manutenzione
  • Archiviazione non sicura
  • La revoca è impossibile

Perché è importante la gestione delle password

Queste sfide significano che alla fine gli utenti ricadono sul riutilizzo di vecchie password o sulla creazione di password deboli e aumenta il rischio di violazione. È qui che una soluzione di gestione delle password appositamente progettata può essere d’aiuto, fornendo un modo per:

  • Facilitare la creazione di password complesse
  • Archivia in modo sicuro credenziali di tutti i tipi
  • Iniettare senza problemi la password nei sistemi quando necessario
  • Consentire ai depositi di essere configurati per ruolo, fornendo accesso basato su competenza e anzianità
  • Concedi o revoca l’accesso con un solo clic
  • Acquisisci automaticamente nuove credenziali
  • Scadenza delle password
  • Misura e segnala la validità e l’età della password
  • Ruota automaticamente le credenziali esistenti
  • Fornire una capacità di controllo per soddisfare i requisiti di conformità per la creazione, l’utilizzo e l’archiviazione delle credenziali

Per la maggior parte dei requisiti di conformità, è importante che le password vengano cambiate regolarmente; questo è qualcosa che è facilmente dimostrato con una soluzione appositamente costruita.

Tuttavia, probabilmente l’aspetto migliore di tutti dal punto di vista del tecnico è che devi solo ricordare una singola password per accedere al deposito sicuro.

Se non hai ancora implementato una soluzione specifica per il tuo MSP, potresti mettere a rischio sia te stesso che i tuoi clienti.

Costruito per MSP dagli MSP, SolarWinds Passportal + Documentation Manager è una soluzione crittografata ed efficiente per la gestione delle password e delle credenziali, che offre immissione di credenziali, reportistica, controllo, automazione della modifica delle password e capacità di documentazione privilegiata per i clienti, progettata per semplificare la giornata dei tecnici fornendo documentazione essenziale a portata di mano per standardizzare l’erogazione del servizio e accelerare la risoluzione dei problemi.  

SolarWinds Passportal può aiutarvi a gestire i rischi, abbreviare i tempi di risoluzione degli incidenti, soddisfare la conformità per la creazione, l’utilizzo e l’archiviazione delle credenziali. Per saperne di più clicca qui .

FONTE: Solarwinds MPS Passportal BLOG – Scritto da Andrew Miller ex senior marketing manager del prodotto presso SolarWinds MSP.

Originariamente pubblicato sul blog MSP di SolarWinds .

Traduzione N4B SRL – Distributore Autorizzato Solarwinds MSP