Glossario IAM di Keeper

Un elenco di autorizzazioni che specifica quali utenti o sistemi hanno o non hanno l'autorizzazione ad accedere a una determinata risorsa del sistema, oltre alle operazioni che possono eseguire con tali risorse.

La procedura con cui gli amministratori IT concedono o limitano l'accesso degli utenti a determinati sistemi e dati. Solitamente viene attuata configurando dei gruppi per ruoli, reparti e/o team di progetto, per poi assegnare gli utenti ai rispettivi gruppi. Funziona in concomitanza con la gestione dell'identità.

Active Directory (AD) è un servizio di directory sviluppato da Microsoft per le reti di dominio di Windows. In origine, AD veniva utilizzato soltanto per la gestione centralizzata dei domini, ma ora è un termine generico per fare riferimento a un'ampia gamma di servizi di identità basati su directory. Consente alle organizzazioni di gestire più componenti e sistemi dell'infrastruttura locale usando una singola identità per utente. Da non confondersi con Azure Active Directory, che è uno strumento utilizzato insieme ad AD.

Siccome la Active Directory di un'organizzazione controlla tutti gli accessi al sistema, è fondamentale che la sicurezza di Active Directory sia efficace e protegga l'intero ambiente di dati.

Uno strumento complementare ad Active Directory (AD) che estende le identità locali alle applicazioni su cloud, in modo simile a uno strumento SSO per applicazioni web, ma utilizzato a livello locale invece che nel cloud. Come Azure AD, AD FS non sostituisce Active Directory, ma ne è uno strumento complementare.

È nota anche come autenticazione adattiva o autenticazione basata sul rischio. È un metodo con cui i parametri di accesso vengono adeguati in modo dinamico secondo il rischio posto da una determinata richiesta di accesso. Ad esempio, un utente che esegue l'accesso a un servizio su un dispositivo che usa sempre potrebbe fornire soltanto una password, però se tenta di accedervi con un nuovo dispositivo o persino con un nuovo browser, potrebbe dover anche rispondere a domande di sicurezza o fornire un codice di accesso monouso.

Un set di definizioni e protocolli che consente a diverse applicazioni software di comunicare tra loro. Ad esempio, le app del servizio meteo utilizzano API del servizio meteo governativo per la visualizzazione dei dati meteo. La maggior parte dei siti web e delle app usa almeno alcune API di terze parti.

Esistono quattro diversi tipi di API:

Le API pubbliche possono essere utilizzate da chiunque, sebbene alcune richiedano prima un'autorizzazione e/o una quota di pagamento per l'utilizzo.

Le API private sono, come dice il nome, private. Sono interne a un'organizzazione e utilizzate esclusivamente all'interno di un'azienda.

Le API partner sono simili alle API private. Possono essere utilizzate soltanto da partner commerciali esterni autorizzati per facilitare l'uso di applicazioni B2B e le transazioni.

Le API composite sono la combinazione di due o più tipi di API.

Un identificatore univoco utilizzato per autenticare un utente, uno sviluppatore o un'applicazione in una API. Di solito include un set di diritti di accesso per l'API.

È un metodo per assicurarsi che l'utente sia chi dice di essere. Vedere Gestione dell'identità.

Significa assicurarsi che un utente sia autorizzato ad accedere a sistemi e a dati specifici. Vedere Gestione degli accessi.

Strumenti e metodi per conservare, accedere e gestire in modo sicuro le chiavi segrete dell'infrastruttura in un ambiente IT, come le chiavi API, i certificati digitali e le credenziali degli account con privilegi. Sono chiamati anche con il nome collettivo di gestione delle password da applicazione ad applicazione (Application-to-Application Password Management, AAPM).

Una soluzione Identity as a Service (IDaaS) che le organizzazioni possono utilizzare per tutte le loro app nei loro ambienti di dati, sia nel cloud che nella sede fisica. Azure Active Directory (Azure AD) non sostituisce Active Directory, bensì viene utilizzata in concomitanza con AD.

Le caratteristiche fisiche uniche di una persona, come le impronte digitali, la scansione dell'iride e il riconoscimento facciale, utilizzati per l'autenticazione dell'utente e il controllo degli accessi.

Un attacco automatizzato dove l'aggressore utilizza uno script per inviare un grande quantità di password e frasi di accesso, controllando in modo sistematico tutte le possibili combinazione finché non trova un set di credenziali funzionante.

L'automazione dei processi aziendali (Business process automation, BPA) fa riferimento al software utilizzato per rendere automatiche attività ripetitive o manuali e potenziare l'efficienza organizzativa. Esempi di BPA includono risposte automatiche alle azioni degli utenti, come le conferme degli ordini e la reimpostazione della password self-service (SSPR).

Un framework IAM legacy dove tutti gli utenti all'interno di un perimetro di rete definito sono implicitamente considerati affidabili, mentre non lo sono coloro che ne sono fuori. Il cloud computing, la mobilità e l'accesso remoto diffuso hanno reso obsoleto questo modello di sicurezza, che è stato superato da quello zero-trust.

Componente essenziale del set di specifiche FIDO2, il Client to Authenticator Protocol (CTAP) consente a un autenticatore esterno, come uno smartphone o una chiave di sicurezza, di funzionare con i browser che supportano WebAuthn e di agire in qualità di autenticatore per i servizi web e le app per desktop.

Nota anche come sicurezza del cloud, è un termine generico che racchiude le regole, le procedure, i controlli e gli strumenti utilizzati per proteggere dati, applicazioni e servizi che sono conservati e utilizzati nel cloud, insieme alla sottostante architettura del cloud.

Di solito i servizi pubblici in cloud operano secondo un modello di responsabilità condiviso, dove il provider di servizi in cloud è responsabile della sicurezza *del* cloud, mentre l'organizzazione che acquista i servizi è responsabile della sicurezza *nel* cloud. Ciò significa che il provider di servizi in cloud garantisce e protegge l'infrastruttura sottostante, inclusi i centri dati e tutti i server e le attrezzature al loro interno, mentre l'organizzazione garantisce e protegge i dati e i carichi di lavoro che inserisce nella propria distribuzione nel cloud.

Un servizio basato su cloud che offre soluzioni IAM ad altri servizi basati su cloud.

Un processo per cui un sistema monitora il comportamento degli utenti durante una sessione, confrontandolo con una linea di base, cercando anomalie e richiedendo all'utente di autenticarsi di nuovo qualora riscontrasse comportamenti anomali.

Un attacco che usufruisce del fatto che molte persone usano le stesse credenziali di accesso per più account. In un attacco con ridondanza di credenziali, una volta che gli aggressori riescono a ottenere un set di credenziali di accesso funzionante da un sito, tentano di usarlo su più siti possibili.

Il processo per cui le organizzazioni riescono a gestire le identità e i livelli di accesso dei clienti. Essenzialmente, un sottotipo di IAM che fa riferimento solo ai clienti, in contrapposizione a quello per utenti interni e partner commerciali.

Defense-in-Depth (DiD, difesa in profondità) è un approccio multilivello alla sicurezza informatica, dove ogni livello è incentrato su un diverso tipo di sicurezza, per creare difese complete e solide contro le minacce informatiche. Il concetto è che se un livello fallisce, quello successivo rimane attivo per resistere alla minaccia dell'aggressore. Tra gli elementi più comuni di una strategia DiD ci sono i software antivirus, gli strumenti e i controlli di sicurezza della rete, le soluzioni IAM e quelle di prevenzione della perdita dei dati.

Il processo di rimozione dell'accesso di un utente da tutti i sistemi e dalle singole app. Un ex dipendente che lascia un'azienda viene privato dell'accesso all'intero sistema oppure un dipendente che si trasferisce in un'altra città o in un altro reparti viene privato dell'accesso dai sistemi della città o del reparto precedente.

La sicurezza per DevOps, detta anche DevSecOps, è una strategia di sicurezza per applicazioni che cerca di applicare il principio del "shift security left" (spostare la sicurezza a sinistra, verso l'origine), ovvero introducendola il prima possibile all'interno del ciclo di vita dello sviluppo software (software development life cycle, SDLC) con l'intento di creare applicazioni sicure. Inoltre, come le DevOps, le DevSecOps abbattono i sili organizzativi potenziando la comunicazione e la collaborazione tra team di sviluppo, gestione operativa e sicurezza per tutto il SDLC.

A volte chiamata rilevamento delle minacce su endpoint e risposta (Endpoint Threat Detection and Response, ETDR), la soluzione EDR è uno strumento di sicurezza per endpoint integrato che combina il monitoraggio continuo in tempo reale alla raccolta di dati su endpoint con risposte automatizzate basate su regole e analisi. La soluzione EDR monitora le attività di tutti gli endpoint, le analizza per identificare modelli di minacce, risponde in automatico per rimuovere o contenere le minacce identificate e fornisce notifiche al personale umano della sicurezza. Gli obiettivi di un sistema EDR sono quelli di identificare le minacce in tempo reale, riduce in automatico o le contiene se possibile e facilita la risposta rapida da parte del personale umano.

La gestione dei privilegi su endpoint combina il controllo delle applicazioni con l'accesso con privilegi minimi per fare in modo che gli utenti eseguano soltanto applicazioni affidabili con il numero minore possibile di privilegi.

Storicamente, l'accesso alla rete all'interno di un'organizzazione era suddiviso in due ampie categorie: gli utenti standard e gli amministratori, ma si trattava di una suddivisione insufficiente a proteggere dagli attacchi informatici legati alle credenziali in ambienti di dati distribuiti e altamente complessi come quelli odierni. La gestione dei privilegi su endpoint regola i livelli di accesso degli utenti in modo che i privilegi amministrativi vengano concessi a meno utenti possibili. Oltre a proteggere dalle minacce interne, la gestione dei privilegi su endpoint limita la capacità degli aggressori esterni di spostarli lateralmente all'interno della rete qualora riuscissero a compromettere un set di credenziali utente valido.

La piattaforma di protezione per endpoint (Endpoint Protection Platform, EPP) è una soluzione integrata che rileva attività dannose sui dispositivi endpoint e li protegge dall'accesso non autorizzato, dal phishing e dagli attacchi con malware basati su file. Le moderne EPP sono di solito basate su cloud e alcune integrano un firewall personale, funzioni di protezione dei dati e di impedimento di perdita dei dati, controllo dei dispositivi e integrazione con soluzioni per la vulnerabilità, la gestione delle patch e di configurazione.

Il gestore di password aziendali (Enterprise Password Manager, EPM) è una piattaforma per la gestione delle password specificamente progettata per l'uso commerciale. È una parte essenziale della sicurezza e degli stack IAM di qualsiasi organizzazione.

Gli EPM svolgono tutte le funzioni che hanno i gestori di password di tipo "consumer", come la generazione automatica di password complesse e la distribuzione di caveau digitali protetti dove poter conservare e accedere alle proprie password da più dispositivi. Tuttavia, includono anche un'ampia gamma di funzionalità specifiche per le organizzazioni, come un pannello amministrativo per lo staff IT e della sicurezza dove poter effettuare il provisioning e deprovisioning degli account utente; la possibilità di monitorare e controllare l'uso di password all'interno dell'intera organizzazione; la configurazione di controlli degli accessi basati sul ruolo (RBAC) e di accessi con privilegi minimi, l'esecuzione di resoconti di audit e la gestione delle password condivise.

Inoltre, alcuni EPM offrono soluzioni specificamente personalizzate per andare incontro alle esigenze dei provider di servizi gestiti (come KeeperMSP) e delle agenzie governative degli Stati Uniti (come Keeper Security Government Cloud, KSGC).

La gestione federata delle identità (Federated Identity Management, FIM) è un metodo di autenticazione con il quale più sistemi software condividono i dati di identità di un più ampio sistema centralizzato, consentendo pertanto agli utenti di accedere a più app e sistemi con un singolo set di credenziali di accesso. Sebbene sia spesso utilizzata come sinonimo del SSO, la FIM consente di accedere a sistemi e app di più domini (da qui il nome "organizzazioni federate"), mentre il SSO consente l'accesso all'interno di un singolo dominio.

Le organizzazioni si avvalgono spesso sia del SSO che della FIM.

Un'associazione di settore aperta con la missione dichiarata di promuovere standard di autenticazione che aiutino a ridurre l'eccessiva dipendenza del mondo dalle password.

Uno sforzo comune della FIDO Alliance e del World Wide Web Consortium (W3C) teso a dare la possibilità agli utenti di usufruire di dispositivi comuni, come i token di sicurezza per smartphone e hardware, al fine di autenticarsi nei servizi online sia in ambienti desktop che mobili. Grandemente basato sullo standard di autenticazione U2F, FIDO2 è composto dal set di standard WebAuthn e dal FIDO Client to Authenticator Protocol (CTAP).

La gestione delle identità e degli accessi (Identity and Access Management, IAM) è un termine generico che racchiude le regole, le procedure, i controlli e gli strumenti tecnologici utilizzati dalle organizzazioni per gestire le identità digitali degli utenti finali e controllare l'accesso alle reti, alle applicazioni e ai dati dell'organizzazione. La IAM è una parte essenziale della cosiddetta Defense-in-Depth (DiD, difesa in profondità).

La gestione degli accessi con privilegi (Privileged Access Management, PAM), la gestione delle sessioni con privilegi (Privileged Session Management, PSM), la governance e l'amministrazione dell'identità (Identity Governance and Administration, IGA) e la gestione dell'identità e degli accesso dei clienti (Customer Identity and Access Management, CIAM) sono tutte sottocategorie della IAM.

L'identità come un servizio (Identity as a Service, IDaaS) è una soluzione di autenticazione basata su cloud. A volte viene chiamata SaaS-delivered IAM (Gartner) o IAM-as-a-Service (IaaS). L'IDaaS è un termine generico che fa riferimento a un'ampia gamma di soluzioni SaaS per IAM, dalle piattaforme SSO ai gestori di password.

La governance e l'amministrazione dell'identità (Identity Governance and Administration, IGA) è una sottocategoria della IAM che fa riferimento alle regole e agli strumenti tecnologici che consentono alle organizzazioni di fare in modo che le loro regole IAM siano coerenti e universalmente imposte in tutto l'ambiente di dati. Gli strumenti IGA consentono alle organizzazioni di gestire in modo più efficiente le identità digitali e di ridurre i pericoli degli accessi legati all'identità automatizzando la creazione, la gestione e la certificazione degli account utente, dei ruoli e dei diritti di accesso.

Sebbene la IGA e la IAM siano termini a volte utilizzati in modo intercambiabile tra loro, la IGA si differenzia dalla IAM in quanto, come è stata definita da Gartner, "consente alle organizzazioni non solo di definire e imporre le regole IAM, ma anche di collegare le funzioni IAM per soddisfare i requisiti di audit e conformità".

La gestione del ciclo di vita dell'identità (Identity lifecycle management, ILM) è una sottocategoria della IAM che fa riferimento alle regole, alle procedure e agli strumenti tecnologici per la creazione di identità digitali e le relative autorizzazioni, per la loro gestione e aggiornamento per tutto il loro ciclo di vita, e per la loro eliminazione quando non sono più necessari. L'identità digitale può appartenere a un utente umano, come un dipendente, un collaboratore esterno, un fornitore, un partner commerciale o un'applicazione.

I privilegi utente si evolvono col tempo. Se un dipendente ottiene una promozione o riceve altre mansioni lavorative, i suoi privilegi di rete potrebbero richiedere una revisione. Quando i dipendenti lasciano l'organizzazione, è necessario revocare immediatamente il loro accesso. Tali sono le situazioni in cui entra in gioco la ILM.

La procedura con cui i sistemi stabiliscono che gli utenti sono quello che dicono di essere. Ne sono un esempio i nomi utente e le password, nonché l'autenticazione multifattoriale. Funziona in concomitanza con la gestione degli accessi.

Il provider d'identità (Identity Provider, IdP) è un servizio che conserva e gestisce le identità degli utenti. Può verificare gli utenti rispetto a un elenco memorizzato di nomi utente e password combinati, oppure fornire un elenco di identità dell'utente per la verifica da parte di un altro provider. I provider SSO sono IdP.

Il JSON Web Token (JWT) è uno standard aperto utilizzato per condividere informazioni sicure tra client e server. I JWT vengono firmati usando una chiave segreta privata oppure una chiave pubblica/privata, in modo che i claim non possano essere modificati dopo l'emissione del token.

L'accesso just-in-time, noto anche come accesso JIT, è una pratica di gestione degli accessi con privilegi (Privileged Access Management, PAM) dove i privilegi degli utenti umani e non umani vengono aumentati in tempo reale e la durata della sessione è limitata in modo prestabilito. In questo modo l'utente umano o l'applicazione può accedere ad applicazioni o sistemi con privilegi solo quando ne ha esigenza e solo per un determinato lasso di tempo.

Kerberos è un protocollo di autenticazione di rete open-source che utilizza una crittografia a chiavi simmetriche per autenticare le richieste tra host affidabili che comunicano in una rete non affidabile, come Internet. Kerberos è il protocollo di autorizzazione predefinito di Microsoft Windows nonché componente essenziale di Windows Active Directory. Kerberos è supportato dai principali sistemi operativi e utilizzato ampiamente nelle grandi distribuzioni SSO, dove supporta diversi metodi di autenticazione.

Una best practice di sicurezza dove gli utenti umani e le applicazioni hanno il livello minimo assoluto di accesso ai sistemi che serve loro per eseguire le attività e niente più.

Lightweight Directory Access Protocol (LDAP) è un protocollo standard aperto per applicazioni per l'accesso e la manutenzione di servizi di informazione per directory distribuite su una rete IP. LDAP è solitamente utilizzato come single source of truth (SSOT) per nomi utente e password; le applicazioni possono connettersi al server LDAP e aggiungere ed eliminare in automatico gli utenti quando vengono inseriti nel sistema e lasciano un'organizzazione. LDAP è utilizzato come base per Microsoft Active Directory.

Vedere anche SCIM, un LDAP alternativo la cui popolarità è in rapida crescita.

La gestione delle identità macchina (Machine identity management, MIM) regola le identità digitali degli utenti non-umani, ovvero i certificati digitali e le chiavi utilizzati dai dispositivi hardware (inclusi i dispositivi IoT), carichi di lavoro, applicazioni, container, ecc. La MIM è un sottoset sia della IAM che della gestione delle chiavi segrete.

Il software dannoso, più comunemente noto come malware, è esattamente ciò che il nome implica: una forma di software dannoso che infetta i dispositivi attraverso varie tecniche, ad esempio facendo clic sulle e-mail di phishing o scaricando file dannosi come giochi, film o software.

Una password principale, a volte abbreviata in PP, è la password che gli utenti finali creano durante l'installazione e la configurazione di un gestore di password come Keeper. La password principale dell'utente è l'unica password che deve ricordare. Poiché è la chiave alla sua cassetta di sicurezza digitale contenente le password, è fondamentale che sia complessa e univoca e che l'utente non la perda né la dimentichi mai. Per tale ragione, una frase d'accesso è un ottimo modo per creare una password principale.

L'autenticazione multifattoriale e l'autenticazione a due fattori sono metodi di autenticazione che richiedono agli utenti di fornire due o più fattori di autenticazione per ottenere l'accesso a una risorsa, come un'app, una cartella o un sistema. Per “risultare idonei” all'uso della A2F/AMF, ogni fattore di verifica deve provenire da una diversa categoria di verifica, come segue:

Qualcosa che si conosce - come una password o un PIN.

Qualcosa che si possiede - Come una chiave di sicurezza o una carta.

Qualcosa che si è - Valori biometrici, come l'impronta digitale o la scansione dell'iride.

Un punto qualunque in cui ci si trova - Il proprio indirizzo IP e la geolocalizzazione. Non utilizzati spesso.

Un ATM è un esempio di AMF perché gli utenti devono inserire una scheda (qualcosa che si possiede) e un PIN (qualcosa che si conosce).

A2F e AMF sono fondamentalmente sinonimi; l'unica differenza sta nel fatto che l'A2F richiede solo due fattori di autenticazione, come nell'esempio dell'ATM, mentre l'AMF può in teoria richiederne 3 o più (come una scheda smart, un PIN e l'impronta digitale).

Uno standard aperto per delegare l'accesso alle informazioni dell'utente nelle applicazioni web e sui siti web. Utilizzata da aziende come Amazon, Google, Facebook, Microsoft e Twitter per consentire agli utenti di condividere le informazioni sui propri account con applicazioni e siti web di terze parti senza dover dare a tali terze parti le proprie password.

La password monouso (One-Time Password, OTP) o la password monouso a tempo (Time-Based One-Time Password, TOTP) è una stringa di caratteri generata automaticamente che autentica un utente per una singola transazione o sessione di accesso. Le OTP possono essere fornite per e-mail, SMS o attraverso un'app di tipo "authenticator". Viene spesso usata come fattore di autenticazione nell'A2F/AMF.

Una TOTP è come una OTP, ma è valida solo per un breve periodo di tempo, in genere 30-60 secondi.

OpenID Connect (OIDC) è un sistema di autenticazione RESTful creato sopra la framework di OAuth 2.0 che utilizza i token web JSON. Consente alle app di terze parti di verificare l'identità dell'utente e di ottenere informazioni di base sul profilo dell'utente, consentendo il single sign-on su più applicazioni.

In un attacco Pass-the-Hash (PtH), l'aggressore sottrae una password con hash e, senza visualizzarla, tenta di usarla per indurre con l'inganno il sistema a creare una nuova sessione utente autenticata. Il Pass-the-hash viene solitamente utilizzato per spostarsi lateralmente all'interno di una rete che è già stata compromessa. Le macchine Windows sono particolarmente vulnerabili a tale tipo di attacco a motivo di una vulnerabilità negli hash del New Technology Local Area Network Manager (NTLM) che consente agli aggressori di sfruttare gli account di dominio compromessi con il solo hash della password, senza nemmeno aver bisogno della password stessa.

La frase d'accesso è un modo facile per gli utenti di creare una password complessa e univoca. Per tale ragione, le frasi d'accesso sono spesso utilizzate per creare password principali.

Per creare una frase d'accesso, l'utente deve inventare una frase o un'espressione che includa una combinazione di lettere maiuscole e minuscole, numeri e caratteri speciali e segni di punteggiatura.

Un esempio non accettabile di frase d'accesso è: "Mio fratello abitava a Ragusa, in Sicilia". Ciò genera la password MfalRV, piuttosto breve (solo 7 caratteri) e senza caratteri speciali o numeri. L'aggressore che usa un software automatico di violazione delle password potrebbe scoprire questa password abbastanza in fretta.

Un esempio accettabile di frase d'accesso è invece: "Mio fratello abitava al 259 di Via Cagliari a Ragusa, 97100 Sicilia!". La password che si genera è Mfaa259dVCaR97100S!, che è lunga 19 caratteri e include lettere maiuscole e minuscole, numero e persino un carattere speciale. Anche un software automatico di violazione delle password avrà bisogno di decine di anni per scoprire questa password.

Un attacco di forza bruta che sfrutta il fatto che molte password sono parecchio "gettonate" tra gli utenti. Ad esempio, molte persone usano la combinazione di tasti "qwerty" o semplicemente la parola "password". In un attacco di password spray si prende un elenco di password molto "diffuse" e le si prova in combinazione con tutti i nomi utente del sistema.

Un metodo di verifica dell'identità dell'utente senza l'uso di una password, ma tramite ad esempio i valori biometrici o le password monouso (OTP).

Detta anche gestione dei privilegi per utenti avanzati (Super User Privilege Management, SUPM), la gestione deleghe e aumento privilegi (Privilege Elevation and Delegation Management, PEDM) è un sottoinsieme della PAM che fornisce agli utenti non-amministratori accesso temporaneo ai sistemi con privilegi in base a limiti specifici. Ad esempio, a un utente è possibile concedergli l'accesso a una particolare applicazione solo per un determinato periodo di tempo. Al termine del limite della sessione, i diritti di accesso dell'utente vengono revocati in automatico.

Le soluzioni PEDM consentono alle organizzazioni di sfruttare l'accesso just-in-time per ridurre il numero di utenti con privilegi amministrativi.

La governance degli accessi con privilegi (Privileged Access Governance, PAG) applica regole IAM agli utenti con privilegi, affinché persino l'accesso degli utenti con privilegi segua il principio dei privilegi minimi. I processi associati alla PAG includono il provisioning e deprovisioning automatizzati degli account, un processo di approvazione formale per la concessione di nuovi accessi con privilegi e revisione periodiche di tali accessi al fine di garantire che i livelli di accesso siano ancora adeguati.

Con gestione degli accessi con privilegi (Privileged Access Management, PAM) s'intendono gli strumenti e la tecnologia a cui ricorrono le organizzazioni per proteggere, controllare e monitorare l'accesso alle proprie informazioni e risorse più importanti, come gli account amministrativi locali e di dominio.

A volte chiamata PAM-as-a-Service, la gestione degli accessi con privilegi come un servizio (Privileged Access Management as a Service, PAMaaS) è una soluzione di gestione basata su cloud.

Una workstation ad accesso con privilegi (Privileged Access Workstation, PAW), spesso chiamata workstation ad accesso protetto (Secure Access Workstation, SAW), è una workstation rinforzata progettata specificamente ed esclusivamente per l'esecuzione di attività con privilegi elevati. Le PAW sono configurate con controlli e regole di sicurezza che limitano l'accesso amministrativo locale e bloccano e-mail, strumenti di produttività per ufficio e navigazione online. Sono dotate dei soli strumenti assolutamente necessari per lo svolgimento di attività con privilegi elevati. In questo modo vengono bloccati i più comuni vettori degli attacchi di phishing (e-mail e browser web), riducendo drasticamente il rischio che le PAW vengano compromesse.

Un account con privilegi detiene livelli di accesso alla rete molto più elevati rispetto ai normali account utente. Ad esempio, possono essere in grado di fare il provisioning e deprovisioning degli utenti, modificare i livelli di accesso utente oppure modificare le configurazioni di sistema o delle applicazioni.

Gli account con privilegi sono spesso chiamati account amministrativi, ma non tutti gli account con privilegi vengono utilizzati da utenti umani. Gli account di servizio, utilizzati dalle applicazioni, sono account con privilegi.

Inoltre, il termine "account con privilegi" può indicare un utente non-tecnico ad alto livello, come un CEO o un CFO, che ha accesso a dati estremamente sensibili, come file governativi riservati, documenti medici o informazioni finanziarie di un'organizzazione.

La gestione degli account e delle sessioni con privilegi (PASM) fa parte della gestione degli accessi con privilegi (PAM) e fornisce alle organizzazioni un modo per proteggere, controllare e monitorare gli account degli utenti con privilegi. Consente ai team IT di avere una forte governance sulle sessioni degli utenti amministrativi più decisivi.

La gestione delle identità con privilegi (Privileged Identity Management, PIM) funziona in concomitanza con la PAM. Mentre la PAM si rifà alle regole e alle soluzioni tecniche per gestire gli account utente con privilegi, la PIM si occupa della gestione delle risorse a cui gli utenti con privilegi possono avere accesso. La PIM consente alle organizzazioni di controllare, gestire e monitorare le autorizzazioni di accesso degli utenti con privilegi a specifici dati e sistemi.

La gestione delle sessioni con privilegi (Privileged Session Management, PSM) funziona in concomitanza con la Privileged Access Management (PAM) per proteggere l'accesso ai sistemi e ai dati più sensibili ed essenziali di un'organizzazione. Mentre la PAM è incentrata sulla protezione delle credenziali di utenti con privilegi, la PSM si occupa invece di controllare, monitorare e registrare le sessioni con privilegi, ovvero quali azioni hanno intrapreso gli utenti con privilegi una volta entrati nella rete.

Oltre a impedire agli utenti con privilegi di usare in modo improprio l'accesso, la PSM consente alle organizzazioni di soddisfare i regolamenti di conformità quali SOX, HIPAA, PCI DSS, ICS CERT, GLBA, FDCC e FISMA, i quali richiedono che l'attività con privilegi sia registrata e monitorata.

La gestione degli utenti con privilegi (Privileged User Management, PUM) viene spesso utilizzata come sinonimo di Privileged Access Management (PAM) e Privileged Identity Management (PIM). Tuttavia vi sono alcune differenze fondamentali. Diversamente dagli account PAM, gli account PUM di solito sono condivisi e non utilizzano la A2F/AMF; per accedere agli account PUM basta una sola password. Per tale ragione, gli account PUM dovrebbero essere evitati.

La procedura per stabilire l'accesso utente a interi sistemi o a singole app. Si usa il provisioning con un nuovo assunto a cui si concede l'accesso a tutti i sistemi e tutte le app che necessita per eseguire le proprie mansioni o a un dipendente che assume nuove responsabilità lavorative aggiuntive perché possa usare ulteriori app e sistemi.

Nota anche come crittografia asimmetrica, si tratta di un metodo di crittografia dei dati che utilizza due chiavi, una pubblica, disponibile a chiunque, e una privata. I dati crittografati con la chiave pubblica possono essere decrittografati con la chiave privata e viceversa.

PWN è una parola del gergo degli hacker che ha avuto origine nella community dell'online gaming come errore ortografico di "owned" (ecco perché PWN non viene pronunciato come "pawn", bensì come "own"). Significa conquistare o dominare, nel senso di violare con successo un account o una rete.

Remote Authentication Dial-In User Service (RADIUS) è un protocollo client-server che consente l'autenticazione, l'autorizzazione e la gestione centralizzata degli account per l'accesso alla rete remoto e senza fili. RADIUS gira a livello di applicazione e consente alle organizzazioni di mantenere profili utente in un deposito centrale condiviso da tutti i server in remoto.

Remote Desktop Protocol (RDP) è un protocollo di proprietà di comunicazione fra reti sviluppato da Microsof. Il RDP consente l'accesso remoto protetto alle workstation e ai server. Il RDP può essere utilizzato da utenti finali non-tecnici per accedere in remoto alle loro workstation, nonché agli amministratori IT e ai team DevOps per eseguire da remoto la manutenzione del sistema e rilevare e riparare i problemi. Usando un'interfaccia utente grafica, gli utenti in remoto possono aprire le applicazioni e modificare i file nello stesso modo in cui stavano seduti davanti alla macchina in remoto.

Oltre a Windows, i client RDP sono disponibili per Mac OS, Linux/Unix, Google Android e Apple iOS. Sono disponibili le versioni open-source del software RDP.

REST sta per Representational State Transfer, ovvero trasferimento di stato rappresentativo. È un tipo di API moderna, senza stato, altamente flessibile che definisce un set di funzioni, come GET, PUT e DELETE, che i client possono utilizzare per accedere ai dati sul server. Client e server si scambiano dati fra loro usando il protocollo HTTP.

Simile all'automazione aziendale dei processi (Business Process Automation, BPA), l'automazione robotica dei processi (Robotic Process Automation, RPA) fa riferimento al software che automatizza quelle attività manuali ripetitive. Tuttavia, rispetto alle soluzioni BPA, la RPA si avvale ampiamente dell'intelligenza artificiale e del machine learning in modo che i robot possano mimare gli utenti umani e adattarsi a circostanze dinamiche. Ad esempio, mentre la BPA viene usata per inviare un'e-mail con risposta preconfezionata a un cliente (come una conferma d'ordine o di spedizione), la RPA viene utilizzata per creare chatbot interattivi che sappiano analizzare le domande del cliente in tempo reale.

Il controllo degli accessi in base al ruolo (Role-Based Access Control, RBAC), choamato anche sicurezza in base al ruolo, è un modello di controllo degli accessi in cui il ruolo dell'utente all'interno dell'organizzazione determina il tipo di risorse di rete a cui può accedere. Obiettivo della RBAC è garantire che gli utenti non possano accedere a sistemi e a dati che non siano legati alle loro mansioni, migliorando la conformità, evitando perdite di dati e, qualora le credenziali dell'utente siano compromesse, ostacolando l'aggressore nei suoi spostamenti laterali all'interno della rete. Funziona in concomitanza con l'accesso con privilegi minimi.

Acronimo di Security Assertion Markup Language. È uno standard aperto per lo scambio di dati di autenticazione e autorizzazione (dette asserzioni) tra le parti. Di solito viene usato dai provider d'identità SSO per comunicare con i provider di servizio, consentendo al SSO di essere esteso ai domini di sicurezza e rendendo possibile il Single Sign-On nel browser per web.

In un ambiente IT, una chiave segreta è un qualsiasi dato compatto che deve rimanere riservato. Di solito viene utilizzata da utenti non umani per l'autenticazione a sistemi e dati con privilegi molto elevati. Esempi di chiavi segrete IT sono le credenziali RDP, le chiavi SSH, le chiavi API e le credenziali degli account con privilegi.

Strumenti e metodi per conservare, accedere e gestire in modo sicuro le chiavi segrete dell'infrastruttura in un ambiente IT, come le chiavi API, i certificati digitali e le credenziali degli account con privilegi. Sono chiamati anche con il nome collettivo di gestione delle password da applicazione ad applicazione (Application-to-Application Password Management, AAPM).

Il protocollo Secure Shell (Secure Shell Protocol, SSH) è un protocollo di rete criptografico che consente a due computer di comunicare in modo sicuro. Il SSH era stato sviluppato come alternativa protetta a Telnet e ai protocolli di shell remota di Unix non protetti, che trasmettono dati (password incluse) in testo semplice. Il SSH utilizza la crittografia a chiave pubblica per autenticare il computer remoto e consentirgli di autenticare l'utente e crittografa tutte le comunicazioni tra i due computer. L'utilizzo più diffuso del SSH è quello dell'accesso remoto e l'esecuzione della riga di comando.

La sicurezza come un servizio, detta anche Security as a Service (SaaS / SecaaS), è un modello di business in cui le organizzazioni esternalizzano le soluzioni e i servizi di sicurezza informatica invece di usare le proprie risorse interne. La SecaaS può essere minima, come la distribuzione di una piattaforma IAM o PAM basata su cloud e gestita oppure estesa, come l'esternalizzazione di tutte le funzioni di sicurezza di un'organizzazione.

Il sistema di gestione degli eventi e delle informazioni di sicurezza (Security Information and Event Management, SIEM) è una piattaforma software che aggrega i dati di sicurezza dall'intero ambiente di dati di un'organizzazione, li analizza e informa il personale di sicurezza umano sulle potenziali minacce. Il SIEM raccoglie e analizza i dati sia dell'hardware sia delle applicazioni, inclusi i dispositivi di rete, i server e i controller di dominio.

Un dispositivo fisico o logico di cui fa uso un utente finale per dimostrare la propria identità e accedere a una risorsa digitale. I token di sicurezza possono essere utilizzati insieme alle password, come fattore di autenticazione nella A2F/AMF o al posto delle password in una configurazione di autenticazione senza password.

I token di sicurezza fisici sono, ad esempio, le carte magnetiche (o elettroniche) o chiavi di sicurezza (come YubiKey). Tra i token di sicurezza digitali ci sono le OTP/TOTP generate da app di autenticazione.

La reimpostazione della password self-service (Self-Service Password Reset, SSPR) è una funzionalità di automazione dei processi aziendali che consente agli utenti di reimpostare la propria password senza dover interagire con lo staff IT umano, facendo risparmiare tempo sia agli utenti finali sia allo staff del servizio assistenza. La SSPR viene solitamente utilizzata per reimpostare la password in caso di perdita, dimenticanza o scadenza della password stessa.

Un particolare tipo di account con privilegi utilizzato da utenti non umani, in particolare applicazioni. Viene solitamente utilizzato per l'esecuzione di carichi di lavoro su istanze di macchine virtuali (VM), su postazioni di lavoro in sede o centri dati che richiamano API o altri processi automatizzati.

Gli utenti umani non sono direttamente coinvolti con la creazione o l'utiizzo degli account di servizio. Di solito vengono creati e configurati dal package manager durante l'installazione del software e un'applicazione assume l'identità di un account di servizio per richiamare una API o eseguire altri processi. Tale automazione fa risparmiare tempo ai team IT, ma come altri account con privilegi, gli account di servizio creano gravi problemi di sicurezza informatica e devono essere gestiti e controllati in modo rigido.

Una chiave d'accesso è una moderna tecnologia di autenticazione senza password che consente agli utenti di accedere agli account e alle app usando una chiave crittografica al posto di una password. La chiave d'accesso usufruisce dei metodi biometrici (impronta digitale, riconoscimento facciale, ecc.) per confermare l'identità dell'utente.

Sottogruppo della gestione delle chiavi segrete, la governance dell'account di servizio (Service Account Governance, SAG) fa riferimento alle regole, alle procedure e agli strumenti tecnologici utilizzati per proteggere e gestire gli account di servizio, incluso il loro provisioning e deprovisioning, la gestione delle password e quella delle dipendenze.

La gestione delle password per gli account condivisi (Shared account password management, SAPM) è simile alla gestione degli utenti con privilegi (Privileged User Management, PUM). Si riferisce alla gestione degli account con privilegi condivisi, ovvero ciò che le organizzazioni dovrebbero premurarsi di evitare, in quanto gli account con privilegi devono essere gestiti e monitorati in modo rigido sia per scopi di sicurezza che di conformità.

Con Single Sign-On (SSO) s'intende un metodo di autenticazione con cui gli utenti possono sfruttare un singolo set di credenziali per accedere a più app e sistemi. Sebbene il SSO venga spesso utilizzato in modo equivalente alla gestione federata delle identità (Federated Identity Management, FIM), il SSO consente l'accesso all'interno di un singolo dominio, mentre la gestione federata delle identità consente l'accesso a sistemi e app di più domini.

Esempio di SSO: i dipendenti usano un set di credenziali per accedere alla loro casella di posta elettronica di lavoro, al portale dedicato alle risorse umane e ad altre risorse interne.

Esempio di FIM: i dipendenti usano un set di credenziali per accedere ad applicazioni di terze parti, quali app per conferenze video e sistemi di ticketing online.

SSO e FIM sono spesso utilizzati in concomitanza tra loro.

Una API precedente che è caduta in disuso a favore di opzioni più flessibili, come la REST. Utilizza il Simple Object Access Protocol, o protocollo di accesso semplice agli oggetti, con client e server che si scambiano messaggi usando XML.

Gartner definisce la gestione della configurazione e delle modifiche al software (Software Change and Configuration Management, SCCM) un gruppo di strumenti utilizzati per la gestione e il controllo delle versioni e delle configurazioni del software. Gartner considera inoltre parte della SCCM quelle soluzioni per la “gestione delle modifiche di sviluppo, il monitoraggio dei difetti, l'automazione delle modifiche, la gestione dei rilasci di sviluppo, la gestione dei test integrati, la gestione delle build integrate e altri processi correlati”.

Il sistema per la gestione dell'identità multidominio (System for Cross-Domain Identity Management, SCIM) è uno standard aperto per l'automazione del provisioning e del deprovisioning degli utenti. Il SCIM consente lo scambio delle informazioni sull'identità dell'utente tra i domini di identità o i sistemi IT attraverso una API standardizzata tramite REST, con dati formattati in JSON o XML. Le organizzazioni usano SCIM per aggiungere o eliminare in automatico gli utenti dalle piattaforme di terze parti, come suite di produttività per l'ufficio, CRM (Customer relationship management) e sistemi di ticketing, quando i dipendenti entrano nell'organico aziendale oppure ne escono.

Con l'adozione graduale di sempre più soluzioni SaaS da parte delle organizzazioni, il SCIM acquisisce una sempre maggiore popolarità come alternativa al LDAP. I principali provider di identità, tra cui Azure Active Directory, supportano il SCIM, come fanno anche tante famose piattaforme SaaS, inclusi Microsoft Office e Google Workspace.

Transport Layer Security (TLS) e SSL (Secure Socket Layers) sono protocolli di crittografia che crittografano i dati e autenticano le connessioni durante i trasferimenti di dati su Internet.

Il TLS si è evoluto dal SSL. In origine il protocollo TLS avrebbe dovuto chiamarsi SSL 3.0, ma poi il nome fu cambiato prima della pubblicazione per separarlo da Netscape, l'azienda, ormai chiusa, che aveva creato il SSL. Sebbene i due acronimi vengano spesso usati in modo intercambiabile fra loro, il SSL non viene più utilizzato perché conteneva delle vulnerabilità di sicurezza che sono state sistemate con lo sviluppo del TLS.

È un metodo con cui gli utenti si possono autenticare in un'applicazione ricorrendo a un cookie firmato contenente informazioni sullo stato della sessione. Questo tipo di autenticazione viene solitamente utilizzato in concomitanza con altri metodi di autenticazione. In questo scenario, un altro metodo verrà utilizzato per l'autenticazione iniziale dell'identità e l'autenticazione basata su token viene utilizzata per la ri-autenticazione quando un utente torna a visitare un sito web o riapre un'applicazione.

La Universal Authentication Framework (UAF) è uno standard aperto sviluppato dalla FIDO Alliance con l'obiettivo di abilitare l'autenticazione senza password come primario, anziché secondario, fattore di autenticazione.

Lo Universal Second Factor (U2F) è uno standard aperto che utilizza i token di sicurezza hardware, connessi tramite USB o near-field communication (NFC), come fattori aggiuntivi nella A2F/AMF. Inizialmente sviluppato da Google e Yubico, con il contributo di NXP Semiconductors, lo standard U2F è ora ospitato dalla FIDO Alliance. Il FIDO2 Project ne è il successore.

Il controllo dell'account utente (User Account Control, UAC) è una funzionalità obbligatoria di controllo degli accessi inclusa nei sistemi Windows di Microsoft. Il UAC aiuta a ridurre l'impatto del malware impedendo a utenti umani, applicazioni e malware di apportare modifiche non autorizzate al sistema operativo. Impone a ogni app che richiede un token di accesso per amministratori di chiedere il consenso prima di eseguire determinati processi, come l'installazione di nuovo software.

L'analisi del comportamento dell'utente e dell'entità (User and Entity Behavior Analytics, UEBA) si appoggia sull'intelligenza artificiale e sugli algoritmi di machine learning per creare linee di base comportamentali per utenti umani, router, server ed endpoint nella rete di un'organizzazione, poi monitora le deviazioni da tali linee di base. Un noto esempio di UEBA in azione è quando l'azienda di una carta di credito blocca temporaneamente l'account di un cliente perché l'algoritmo ha notato un drastico cambiamento nel comportamento dell'utente, ad esempio quando il cliente effettua più ordini corposi all'improvviso.

La gestione degli accessi con privilegi per fornitori (Vendor Privileged Access Management, VPAM) è un sottogruppo della PAM che ha a che fare con i fornitori terzi che hanno necessità di accedere a sistemi riservati; ad esempio, uno sviluppatore, un fornitore di servizi di sicurezza o una società di contabilità di terze parti. Con le soluzioni VPAM l'accesso con privilegi per i fornitori segue le stesse limitazioni degli account PAM dell'organizzazione, come l'accesso con privilegi minimi, l'accesso just-in-time e la registrazione/il monitoraggio della sessione.

Il Virtual Network Computing (VNC) è un sistema di condivisione multipiattaforma dello schermo utilizzato per controllare da remoto i desktop di un altro computer. Usando il VNC, un utente può utilizzare lo schermo, la tastiera e il mouse di un computer in remoto come se stesse realmente seduto davanti a quel computer.

Il VNC si basa su un modello client/server che richiede l'installazione di un componente server sulla macchina a cui accederà da remoto e un visualizzatore VNC, o client, sul dispositivo con cui accede alla macchina da remoto. Il VNC utilizza il protocollo Remote Framebuffer (RFB) per gestire il formato dei dati che vengono scambiati tra il client e il server.

Il VNC è simile al RDP, con la sola differenza che il VNC funziona su più sistemi operativi e si collega direttamente al computer remoto invece di passare da un server.

La gestione degli accessi web (Web Access Management, WAM) è stata la soluzione precedente alla IAM che si è diffusa negli anni Novanta del secolo scorso fino ai primi anni 2000. Le soluzioni WAM fornivano controllo e governance sull'accesso degli utenti alle risorse web che erano ospitate in locale nei centri dati delle aziende. Poiché gli strumenti WAM non sono riusciti ad adattarsi all'avvento del cloud computing, della mobilità, delle API e dell'accesso remoto, sono stati sostituiti da soluzioni IAM più solide.

La WebAuthn (Web Authentication, o autenticazione web) è una API basata su web e pubblicata dal World Wide Web Consortium (W3C). Componente fondamentale del set di specifiche FIDO2, la WebAuthn consente ai siti web di aggiornare le proprie pagine di accesso per aggiungere l'autenticazione con FIDO sui browser e sulle piattaforme supportate.

L'acronimo sta per eXtensible Access Control Markup Language, ovvero un linguaggio strutturato a cui si appoggiano le soluzioni IAM che supportano il controllo degli accessi in base agli attributi (Attribute-based Access Control, ABAC), il controllo degli accessi in base alle regole (Policy-based Access Control, PBAC) e altri meccanismi di autorizzazione altamente complessi che concedono diritti di accesso in base a un set di attributi utente dettagliato compatibili tra loro.

La zero-knowledge è un modello di sicurezza che utilizza una framework di crittografia e separazione dati unica a protezione dalle violazioni dei dati remote, facendo in modo che i provider di servizi IT non siano a conoscenza dei dati dei clienti conservati sui loro server.

In un ambiente zero-knowledge, i dati vengono crittografati e decrittografati a livello di dispositivo, non sul server. Il server non riceve né conserva mai i dati in testo semplice e il provider di servizi IT non può accedere alle chiavi di crittografia del cliente. Di conseguenza, nessuno a parte il cliente può accedere ai dati non crittografati, nemmeno i dipendenti dello stesso provider di servizi IT.

Keeper Security è un provider di sicurezza zero-knowledge. I dati vengono crittografati sul dispositivo dell'utente prima di essere trasmessi e conservati nella cassetta di sicurezza digitale di Keeper. Quando vengono sincronizzati su un altro dispositivo, i dati rimangono crittografati finché vengono decrittografati sull'altro dispositivo. Keeper non può accedere alle password principali dei suoi clienti, né noi possiamo accedere alle chiavi di crittografia dei clienti per decrittografarne i dati.

È una moderna framework IAM che presume che tutti gli utenti e i dispositivi possano potenzialmente essere compromessi e pertanto tutti, esseri umani e macchine, devono essere verificati prima di poter accedere alla rete e devono avere un accesso con privilegi minimi alle risorse di rete.

Lo Zero Trust Network Access (ZTNA) è un framework di sicurezza di rete che si concentra sull'implementazione continua di rigorosi controlli di accesso e meccanismi di autenticazione, indipendentemente dal fatto che un utente o un dispositivo si trovi all'interno o all'esterno del perimetro di rete.

Le credenziali individuabili, chiamate anche resident key, consentono alla API WebAuthn di offrire la AMF a elevata garanzia con un'esperienza di accesso senza password.

In una configurazione di autenticazione "tradizionale", le credenziali dell'utente vengono conservate sul server della relying party. In questo caso è necessario che il server riconsegni le credenziali all'autenticatore prima che questo possa decrittografarle e utilizzarle. Inoltre, l'utente deve inserire un nome utente, e di solito una password, per far verificare la propria identità.

In una configurazione con credenziali individuabili, la chiave privata dell'utente e i metadati associati vengono conservati nell'autenticatore invece di appoggiarsi al server della relying party. Durante la procedura di registrazione iniziale, il server della relying party genera un handle dell'utente contenente un identificatore univoco. Questo handle, insieme alla chiave privata, viene conservato nell'autenticatore.

In seguito, durante il processo di autenticazione, l'autenticatore riconsegna l'handle dell'utente, consentendo al server di cercarne l'utente associato, invece di obbligare l'utente a inserire il proprio nome utente per accedere. Se l'autenticatore supporta anche la verifica con PIN o valori biometrici, la relying party riceve AMF a garanzia elevata in una sola fase di accesso, senza la trasmissione di alcuna password.

Con il termine attestazione si fa riferimento alla prova o alla dimostrazione di qualcosa. Il set di specifiche di sicurezza di FIDO 2.0 usa l'attestazione per fornire alla relying party una prova crittografica del modello di autenticatore, dalla quale la relying party può poi far derivare le caratteristiche di sicurezza dell'autenticatore.

In FIDO 2.0, le dichiarazioni di attestazione sono vincolate ai dati contestuali. I dati vengono osservati e aggiunti come pass per la richiesta di firma dal server all'autenticatore. Per verificare una firma, il server controlla i dati che riceve confrontandoli con i valori previsti.

Nell'ambito di FIDO 2.0, una relying party (parte facente affidamento) è un sito web o qualsiasi altra entità che utilizza il protocollo FIDO per autenticare in modo diretto gli utenti.

Nei casi in cui FIDO sia utilizzato in concomitanza con i protocolli di gestione federata delle identità, come il SAML e OpenID Connect, il provider di identità è anche la relying party per FIDO.