Negli ultimi anni, il mondo della cyber security ha adottato il concetto di accesso just-in-time ai servizi e alle infrastrutture aziendali rielaborando la filosofia di gestione degli impianti di produzione delle automobili Toyota.
In ambito manifatturiero, la metodologia basata sul concetto di just-in-time è stata messa a punto nei primi Anni 70 da Taiichi Ohno con l’obiettivo di permettere alla produzione di rispondere in modo più preciso alle richieste del mercato, riducendo gli sprechi al minimo.
Le componenti principali di una produzione just-in-time sono: il continuo miglioramento; l’eliminazione degli sprechi; la possibilità di interrompere immediatamente processi non produttivi (kanban); la capacità delle macchine di operare in autonomia (jidoka) senza impattare sulla produttività dei dipendenti; la produzione livellata, che ottimizza il flusso dei prodotti per l’intera fabbrica.
Per implementare con successo questa metodologia, i team devono concentrarsi sul processo, eliminando le attività non necessarie e puntando costantemente alla miglior soluzione possibile per un determinato problema.
Indice degli argomenti
L’accesso just-in-time nella cyber security
Come il suo corrispondente manifatturiero, nell’ambito della sicurezza informatica l’accesso just-in-time (JIT) punta a eliminare gli sprechi, rappresentati in questo caso dagli accessi non necessari.
Questo metodo di protezione di dati critici viene implementato con l’idea di fornire l’adeguato livello di accesso alla persona giusta, per il tempo necessario e per validi motivi: in altre parole, elevare i privilegi di un utente solo se e quando vengono richiesti.
È opportuno inoltre integrare l’approccio JIT mediante un audit trail delle attività e coniugare efficacemente elementi fondamentali quali la sicurezza e la facilità d’uso.
L’accesso just-in-time mira quindi ad eliminare l’accesso costante e ad attivare diritti privilegiati al momento, solo quando vengono richiesti. Attivando un audit trail chiaro e completo, questa metodologia migliora lo stato di sicurezza di un’organizzazione riducendo il fattore di rischio legato agli utenti finali e contrastando efficacemente i movimenti laterali all’interno dei sistemi.
Sia le aziende sia gli analisti considerano l’approccio JIT come il prossimo trend di successo nella cyber security, perché permette di fornire accesso tecnico solo agli utenti e agli account che ne hanno reale necessità.
Gartner si è occupata recentemente della gestione degli accessi privilegiati, e nel suo recente report Best Practices for Privileged Access Management Through the Four Pillars of PAM ha definito JIT come il metodo di accesso di riferimento per gli accessi privilegiati, sulla base del principio di garantire accesso solo per un breve periodo di tempo, per poi rimuoverlo, senza lasciare nulla di ricorrente.
Ulteriori raccomandazioni di Gartner indicano:
- una soluzione PASM (Privileged Account and Session Management) che può garantire accesso a un account privilegiato e successivamente rimuovere l’accesso allo stesso account;
- alcune soluzioni PASM possono creare al momento un account istantaneo, per un utilizzo singolo e particolare. La disponibilità di questo account termina nel momento in cui l’utente esegue il log off, e l’account può essere completamente rimosso, o eventualmente mantenuto per un utilizzo futuro.
Una soluzione PEDM (Privilege Elevation and Delegation Management) può consentire a un utente di elevare temporaneamente i privilegi per un account che non ne ha per default. Tipicamente, questo consente a un utente di eseguire comandi in modalità privilegiata.
L’importanza di ridurre gli accessi non necessari
Questi tre concetti di accesso just-in-time condividono lo stesso tema ricorrente, quello di ridurre accessi privilegiati non necessari. Questo può essere fatto con e senza agenti: tutto dipende da quanto ogni organizzazione sia propensa a utilizzarli.
Una soluzione ideale prevedrebbe di ridurre l’accesso non necessario ai sistemi critici e al tempo stesso di semplificare le funzioni operative degli amministratori. Le organizzazioni possono istituire a questo scopo delle policy che limitino gli accessi privilegiati ai casi in cui sono necessari, specificando anche delle tempistiche relative, in modo molto simile al concetto di kanban espresso da Taiichi Ohno
Il workflow tipico per un accesso just-in-time prevede che un utente (uomo o macchina) richieda accesso a un server, una macchina virtuale o un apparato di rete. La richiesta viene valutata rispetto a una policy di pre-approvazione, o va direttamente a un amministratore, che concede o nega l’accesso – qui un jidoka potrebbe essere utile per consentire un’automazione dei task e garantire che vengano seguiti correttamente i workflow, eliminando di fatto l’errore umano.
Una volta ottenuto l’accesso, l’utente entra nel sistema e opera come farebbe normalmente. Quando ha terminato, si scollega e il suo accesso viene revocato finché non si registra la necessità di una nuova richiesta.
Questo workflow just-in-time può essere ottenuto seguendo le tre modalità indicate sopra, e offre alle organizzazioni un nuovo modo per affrontare la sicurezza degli accessi privilegiati.
Come veniva indicato negli anni Settanta, i team devono essere fortemente concentrati su uno specifico obiettivo, rappresentato questo caso dalla cyber security. Devono eliminare attività (o accessi) non necessarie, affidarsi all’automazione e impegnarsi a trovare la soluzione migliore per risolvere un determinato problema.
Anche l’accesso just-in-time può essere soggetto a un continuo perfezionamento, ma rappresenta sicuramente uno strumento importante per la sicurezza degli accessi privilegiati, proprio come lo è stato in passato per le linee di produzione create da Taiichi Ohno alla Toyota.