PAM 
La Identity Governance and Administration (IGA) svolge un ruolo importante nel determinare chi deve avere accesso ai dati sensibili e quando tale accesso deve essere concesso.
Pubblicato il Ottobre 06, 2025
La maggior parte delle soluzioni Zero Trust Network Access (ZTNA) affermano di eliminare i rischi di sicurezza basati sul perimetro, ma molte in realtà introducono nuove vulnerabilità. Alla conferenza DEF CON sugli hacker tenutasi ad agosto 2025, i ricercatori hanno rivelato difetti significativi presenti in diversi popolari prodotti ZTNA, tra cui bypass dell’autenticazione e fuga di credenziali. KeeperPAM® aiuta a colmare le lacune di sicurezza che le soluzioni ZTNA tradizionali non riescono a correggere applicando la crittografia zero-trust e zero-knowledge, l’accesso gestito tramite cassaforte e la connettività solo in uscita.
Continua a leggere per scoprire le carenze della maggior parte delle soluzioni ZTNA legacy e come KeeperPAM corregge tali difetti fornendo un accesso sicuro senza rischi per i dati sensibili.
Le lacune di sicurezza negli strumenti ZTNA legacy
Nonostante siano descritti come un’alternativa sicura a una Virtual Private Network (VPN), molti strumenti ZTNA legacy introducono vulnerabilità che possono essere tanto dannose quanto le minacce informatiche che mirano a prevenire. I risultati presentati da AmberWolf al DEF CON 33 hanno evidenziato una serie di problemi di sicurezza nei principali prodotti ZTNA, comprese le vulnerabilità che possono consentire ai criminali informatici di acquisire privilegi sui dispositivi degli utenti e accedere alle risorse critiche senza essere scoperti.
Bypass dell’autenticazione
Poiché molte piattaforme ZTNA si basano su metodi di autenticazione obsoleti o mal applicati, implementazioni SAML deboli possono consentire ai criminali informatici di riprodurre token, bypassando completamente l’autenticazione. In alcuni casi, i flussi di registrazione dei dispositivi vengono applicati in modo improprio, creando vulnerabilità che consentono a dispositivi non autenticati di connettersi a sistemi critici.
Compromissione di credenziali
Uno dei problemi più significativi delle soluzioni ZTNA legacy è la frequente gestione errata delle credenziali. I segreti di lunga durata, come le chiavi API, le chiavi SSH o i token di accesso, sono generalmente memorizzati sugli endpoint o in memoria, dove sono vulnerabili al furto tramite infezioni da malware o compromissione locale. Una volta che queste credenziali sono compromesse, possono essere riutilizzate per muoversi lateralmente o aumentare i privilegi all’interno di una rete.
Vulnerabilità architetturali
Invece di limitare la fiducia, molte soluzioni ZTNA la espandono attraverso vulnerabilità architetturali. Gli esempi includono la richiesta di installazione di certificati root affidabili per l’ispezione del traffico, l’esposizione dei gateway a Internet e il routing del traffico attraverso l’infrastruttura di un fornitore. Queste vulnerabilità aumentano la superficie di attacco di un’organizzazione, contraddicendo direttamente i pilastri della sicurezza zero-trust.
Falsificazione dello stato di conformità
Alcune soluzioni ZTNA si basano su controlli di postura per determinare se un dispositivo è sicuro, verificando le versioni del sistema operativo o i certificati del dispositivo. Tuttavia, molti di questi controlli vengono applicati lato client e possono essere facilmente manipolati. Se la soluzione accetta token o credenziali memorizzati nella cache senza riconvalidare correttamente il dispositivo, i criminali informatici possono falsificare la conformità di sicurezza. Questo permette ai dispositivi non autorizzati di ottenere l’accesso ingannando il sistema per sembrare conforme e aggirare le protezioni di un’organizzazione.
In che modo KeeperPAM elimina queste vulnerabilità
KeeperPAM è progettato per eliminare le vulnerabilità comuni nelle soluzioni ZTNA tradizionali. Combinando la crittografia zero-knowledge, l’accesso Just-in-Time (JIT) e un’architettura solo in uscita, KeeperPAM applica un vero modello zero trust senza compromettere credenziali o aumentare la superficie di attacco. Ecco le funzionalità principali di KeeperPAM:
- Architettura zero-knowledge: con KeeperPAM, le credenziali non sono mai esposte agli utenti, memorizzate sui dispositivi o accessibili da Keeper. Ciò garantisce che i segreti vengano crittografati e decrittografati a livello di dispositivo e di voci.
- Accesso Just-in-Time(JIT): KeeperPAM consente agli amministratori di concedere l’accesso solo quando necessario e solo per la durata della sessione. Al termine di una sessione, KeeperPAM ruota automaticamente le credenziali per impedirne il riutilizzo o il furto.
- Architettura solo in uscita: Keeper Gateway stabilisce connessioni crittografate end-to-end senza aprire le porte del firewall in entrata o esporre gli endpoint.
- Monitoraggio e registrazione delle sessioni: KeeperPAM monitora e registra tutte le sessioni con privilegi, incluse SSH, RDP e TLS, per scopi di auditing e conformità. KeeperAI fornisce un rilevamento e una risposta agentica alle minacce dell’intelligenza artificiale, consentendo di terminare automaticamente le sessioni ad alto rischio.
- Supporto di strumenti nativi con sicurezza zero-trust: supportando il tunneling sicuro e l’accesso remoto attraverso strumenti nativi come MySQL Workbench o pgAdmin, KeeperPAM mantiene la sicurezza zero-trust in background.
- Integrazione perfetta con gli Identity Provider (IdP) esistenti: KeeperPAM funziona con gli IdP esistenti, garantendo autenticazione e provisioning sicuri senza compromettere la crittografia zero-knowledge.
Approccio KeeperPAM vs ZTNA legacy
Sebbene la maggior parte delle soluzioni ZTNA affermi di ridurre al minimo i rischi, molte dipendono ancora da architetture obsolete che mostrano gravi lacune in termini di sicurezza. KeeperPAM adotta un approccio diverso eliminando l’esposizione delle credenziali, riducendo le ipotesi di fiducia e applicando controlli granulari degli accessi. Di seguito sono riportate le principali differenze architettoniche e operative tra KeeperPAM e gli strumenti ZTNA legacy:
| Category | KeeperPAM | Traditional ZTNA |
|---|---|---|
| Credential storage | Credentials are encrypted in a zero-knowledge vault and never exposed to users. | Secrets are often stored on devices or in memory, leaving them vulnerable to theft. |
| Gateway exposure | Outbound-only architecture eliminates the need to open inbound firewall ports. | Requires publicly exposed gateways, which expands the attack surface. |
| Token replay risk | Vault-initiated sessions with JIT access help prevent token replay. | Reusable tokens and weak authentication methods allow for token replay. |
| Root certificate installation | Encryption remains end-to-end, making it unnecessary to install trusted root certificates. | Trusted root certificates are often required for traffic inspection, expanding trust boundaries. |
| Traffic interception | No traffic interception is needed since sessions are recorded for SSH, RDP and TLS. | Relies on traffic interception and vendor infrastructure for monitoring. |
| Access control | Just-in-Time (JIT) access with automatic credential rotation. | Broad access policies expand standing access and allow for lateral movement. |
Rendi la tua strategia di accesso a prova di futuro con KeeperPAM
Poiché i criminali informatici sfruttano i punti deboli degli strumenti ZTNA tradizionali, affidarsi a soluzioni di accesso obsolete non è sicuro. Le organizzazioni hanno bisogno di una soluzione progettata per imporre il vero zero trust senza compromettere la sicurezza, e KeeperPAM offre proprio questo. Combinando crittografia zero-knowledge, accesso basato su cassaforte e controlli di accesso granulari, KeeperPAM elimina il rischio di compromissione delle credenziali e riduce la superficie di attacco.
Start your free trial of KeeperPAM today to close security gaps and future-proof your access strategy with a scalable and secure solution built for modern cyber threats.
