PAM 
Il ransomware e le credenziali rubate sono tra i vettori di attacco più comuni e dannosi che prendono di mira le istituzioni finanziarie. Poiché i sistemi
Pubblicato il Agosto 01, 2025
Quando la maggior parte delle persone pensa alla gestione delle identità e degli accessi (IAM), immagina dei dipendenti che accedono ai sistemi. Ma oggi, in realtà, la maggior parte delle richieste di accesso proviene da identità non umane come account di servizio, script di automazione, container, bot e API.
Queste identità sono alla base delle infrastrutture moderne. Distribuiscono codice, gestiscono risorse, sincronizzano dati e attivano processi. Sebbene siano essenziali, contribuiscono anche a creare un’ampia superficie di attacco in continua espansione.
Il rischio nascosto delle identità non umane
Le identità non umane (NHI) vengono spesso create rapidamente per supportare l’automazione o le integrazioni, per poi venire dimenticate. Le credenziali sono hardcoded in script o memorizzate in file di configurazione in testo semplice. L’accesso viene controllato di rado. I privilegi sono estesi. I limiti di tempo sono praticamente inesistenti.
Alcuni problemi comuni:
- Token a lunga durata con accesso amministrativo completo
- Script in esecuzione con privilegi di root
- Account di servizio orfani che nessuno possiede
- Nessuna scadenza o rotazione delle credenziali
Questo fa delle NHI dei bersagli principali per i criminali informatici. Una volta compromesse, sono difficili da rilevare e facili da utilizzare in modo improprio. Poiché le macchine non si comportano come gli esseri umani, spesso queste identità non rientrano nell’ambito del monitoraggio tradizionale.
Un singolo account di servizio non monitorato può aprire silenziosamente la porta di accesso all’intera infrastruttura.
Just Enough Privilege (JEP) e Just-in-Time (JIT) per garantire la sicurezza delle NHIs
La soluzione del problema inizia con il ripensamento del modo in cui viene concesso l’accesso. Invece di “configurare e dimenticare”, le organizzazioni hanno bisogno di un modello che limiti l’esposizione per impostazione predefinita.
Due concetti chiave aiutano:
- Just Enough Privilege (JEP): assegna a ciascuna identità solo le autorizzazioni minime necessarie per svolgere il suo lavoro e nulla di più.
- Accesso Just-in-Time (JIT): concede l’accesso in modo temporaneo, quando necessario, per poi revocarlo automaticamente quando non è più in uso.
Insieme, il JEP e il JIT limitano le risorse a cui un’identità può accedere, il tempo per cui può accedervi e la quantità di danni che l’identità può provocare se compromessa.
Come KeeperPAM® aiuta ad applicare il principio del privilegio minimo per le NHI
Keeper riduce il rischio legato alle identità non umane applicando il principio del privilegio minimo per ogni punto di accesso. KeeperPAM offre la gestione centralizzata dei segreti, controlli granulari dei criteri e l’accesso a tempo determinato alle NHI, il tutto senza interrompere i flussi di lavoro DevOps.
Gestione centralizzata dei segreti
I segreti hardcoded nel codice e nei file di configurazione rappresentano un rischio significativo per la sicurezza. Keeper Secrets Manager elimina questo rischio archiviando le credenziali in una cassaforte crittografata basata su cloud. Le applicazioni e gli script possono recuperare i segreti in modo sicuro tramite API.
La centralizzazione offre inoltre la visibilità. Gli amministratori possono monitorare chi accede a cosa, quando e come, fino ai singoli account di servizio o agli script di automazione.
Controlli granulari delle politiche per gli NHIs
KeeperPAM consente ai team di sicurezza di definire regole di accesso personalizzate per ogni NHI. È possibile definire l’ambito delle autorizzazioni per una singola integrazione, applicare limiti di tempo e automatizzare l’applicazione dei criteri tramite CI/CD o strumenti di orchestrazione. Che si tratti di un bot, di uno script o di un servizio interno, ogni identità opera entro confini strettamente definiti.
Controlli degli accessi basati sui ruoli e applicazione del principio Just-In-Time
Con i controlli degli accessi basati sui ruoli (RBAC), si possono raggruppare le identità delle macchine per funzione e applicare criteri specifici per ruolo. Quando il controllo RBAC è abbinato all’accesso JIT, i privilegi permanenti vengono eliminati. L’accesso è concesso solo quando necessario e viene revocato automaticamente.
Keeper si integra anche con i flussi di lavoro di approvazione e i sistemi di ticketing, semplificando la governance degli accessi sia per i team di sicurezza che per quelli DevOps.
Audit e avvisi in tempo reale
L’attività macchina-macchina non deve necessariamente essere invisibile. Keeper registra ogni interazione e supporta le integrazioni con le piattaforme di gestione delle informazioni e degli eventi di sicurezza (SIEM) e di orchestrazione, automazione e risposta alla sicurezza (SOAR) per fornire avvisi in tempo reale. È possibile segnalare l’accesso al di fuori degli orari approvati, rilevare gli usi impropri e soddisfare le esigenze di audit e conformità con la massima tracciabilità.
Legacy PAM vs KeeperPAM per la protezione di NHI
La gestione degli accessi con privilegi (PAM) tradizionale si incentra sulla protezione degli utenti umani, come gli amministratori IT che accedono ai server o gli ingegneri che accedono a database sensibili. Questi strumenti sono realizzati attorno alla gestione delle sessioni, alla conservazione delle credenziali e ai flussi di lavoro di approvazione progettati per le persone.
Ma le identità non umane non operano come le persone. Non accedono a portali, non fanno clic sulle indicazioni per l’autenticazione a più fattori (MFA) e non richiedono l’accesso tramite un help desk. Si connettono tramite API, eseguono script e si distribuiscono all’interno di container, e spesso lo fanno centinaia o migliaia di volte al giorno.
Le infrastrutture moderne necessitano di un approccio moderno, che supporti nativamente l’automazione, si adatti ai workload cloud e offra ai team di sicurezza un controllo effettivo senza colli di bottiglia. È qui che entra in gioco KeeperPAM.
Ciò che rende KeeperPAM diverso è il modo in cui bilancia il controllo con l’usabilità:
- Progettato per il cloud: è realizzato per il cloud, senza configurazioni complesse o necessità di manutenzione dell’infrastruttura. È facilmente scalabile su ambienti cloud, on-premise e ibridi.
- Architettura API-first: KeeperPAM non obbliga a cambiare il modo in cui si effettua la distribuzione. Si integra con lo stack di automazione esistente, permettendo di estrarre i segreti e i criteri di accesso in modo programmatico come parte del processo di sviluppo e implementazione.
- Privilegio minimo come impostazione predefinita: ogni identità, che sia di una persona o di una macchina, opera entro un insieme di autorizzazioni definite, con un accesso limitato nel tempo per impostazione predefinita. Ciò elimina gli accessi permanenti o le credenziali dimenticate in un archivio.
- Supporta audit e avvisi: KeeperPAM registra ogni interazione macchina-macchina. Se un bot o uno script si comporta in modo inaspettato, risulta chiaro. Inoltre, grazie alle integrazioni nella piattaforma SIEM o SOAR esistente, si integra perfettamente nelle operazioni di sicurezza più ampie.
| Feature | KeeperPAM | Legacy PAM |
|---|---|---|
| Non-human identity support | Native support for service accounts, scripts and APIs | Primarily human user-focused |
| Cloud-native | SaaS-delivered with cloud-native architecture | On-prem or hybrid with complex setup |
| Secrets management | Integrated Keeper Secrets Manager with API-based retrieval | Often requires third-party vaults |
| Just-in-Time (JIT) access | Automated, time-limited access with built-in policy control | Manual and workflow-heavy |
| DevOps integration | Commander CLI, SDKs, CI/CD and IAC tool integrations | Minimal; lacks API-first design |
| Deployment | Lightweight and scalable with optional Gateway components | High infrastructure and maintenance |
Controlla il rischio legato alle NHI con KeeperPAM
Le identità non umane si stanno moltiplicando in tutte le organizzazioni. Più processi si automatizzano, più NHI si creano e più rischi si introducono, se non li si gestisce correttamente.
KeeperPAM offre tutto il controllo necessario senza rallentare i team. È una soluzione moderna a un problema moderno. Richiedi una demo per scoprire come KeeperPAM può aiutare la tua organizzazione a gestire il rischio legato alle NHI.
