A fronte della rapida evoluzione del panorama informatico, la maggior parte delle aziende si affida molto ai sistemi IT per razionalizzare le operazioni e rimanere competitiva. Sebbene alcuni di questi sistemi sono gestiti e protetti dai team IT e della conformità, un crescente numero di questi non lo è affatto, perché non sono ufficialmente approvati. Spesso parliamo di sistemi non approvati (Shadow IT), cloud shadow, VPN shadow e gestori delle password shadow.
A questo elenco si aggiungono gli amministratori shadow, persone che ricoprono un ruolo amministrativo o con privilegi all’interno di sistemi IT specifici, ma che non sono stati formalmente autorizzati ad avere questi privilegi. Questo articolo del blog spiega perché gli amministratori shadow sono così pericolosi e cosa fare per proteggersi.
Chi sono gli amministratori shadow?
Gli amministratori shadow generalmente dispongono di competenze tecniche o funzionali. Sono quindi in grado di installare, configurare o gestire determinati servizi. Spesso questi amministratori agiscono per rispondere a esigenze aziendali immediate. Tuttavia, raramente dispongono di un piano per una gestione sul lungo termine. Inoltre, generalmente non tengono conto delle esigenze dell’azienda in termini di governance, gestione dei rischi e conformità. Di conseguenza, le loro azioni possono generare dei rischi importanti per l’azienda, in particolare se non padroneggiano correttamente le best practice di sicurezza o le policy dell’azienda relative a governance, gestione dei rischi e conformità. Cosa accade se gestiscono sistemi che contengono dati sensibili o supportano processi strategici?
Perché esistono degli amministratori IT shadow?
Gli amministratori IT shadow solitamente emergono quando le persone sono frustrate dalle priorità e dai processi ufficiali di approvvigionamento e gestione dell’IT. Ecco alcuni problemi comuni:
- Lunghi tempi di risposta del dipartimento IT. I team funzionali all’interno di un’azienda possono aver bisogno di una soluzione informatica immediatamente, ma si accorgono che il dipartimento IT è rallentato da lunghi processi di approvazione o interminabili file d’attesa di implementazione.
- Mancanza di risorse. I dipartimenti IT possono non disporre della banda necessaria per gestire tutte le richieste, il che può portare collaboratori o dipartimenti a prendere in mano la situazione.
- Esigenze non soddisfatte. Le business unit e gli amministratori shadow associati spesso introducono dei servizi o dei sistemi che ritengono più utili di quelli a cui possono accedere attraverso i sistemi approvati e supportati.
- Innovazione e agilità. In alcuni casi, gli amministratori IT shadow sono animati da un forte desiderio di innovazione. Possono introdurre nuovi strumenti o nuove tecnologie che possono far evolvere l’azienda, ma lo fanno al di fuori della struttura IT ufficiale. Pertanto, si occupano dell’amministrazione informatica del sistema non approvato.
I rischi legati agli amministratori IT shadow
Sebbene gli amministratori IT shadow siano generalmente animati da buone intenzioni, possono involontariamente esporre l’azienda a diversi rischi. I criminali informatici possono sfruttare questi account per compiere azioni con privilegi, come creare backdoor, modificare i parametri di sicurezza, sottrarre i dati sensibili o smantellare i sistemi. I criminali informatici possono anche utilizzare questi account per nascondere le loro attività, in modo da evitare i rilevamenti e mantenere il controllo sui sistemi compromessi.
Gli amministratori shadow generano anche rischi legati a Active Directory. I criminali informatici possono utilizzare gli account amministratore shadow in Active Directory per prendere il controllo dei servizi di directory, reimpostare le password e elevare i loro privilegi. Inoltre, identificando tali account, i criminali informatici possono aumentare il loro livello d’accesso, e spesso non hanno bisogno di exploit ulteriori per farlo. Uno dei motivi per cui gli account amministratore shadow sono così pericolosi e che vengono spesso rilevati molto tempo dopo essere stati sfruttati.
L’attacco di Microsoft da parte di Midnight Blizzard è un recente esempio molto pubblicizzato di violazione che ha coinvolge la Shadow IT e account amministratore shadow.
Sei modi in cui gli amministratori shadow creano rischi per le aziende
Gli amministratori shadow possono avere un impatto in sei aree.
1. Vulnerabilità di sicurezza
Gli amministratori IT shadow spesso eludono i processi di sicurezza fondamentali che sono stati configurati dal dipartimento IT. Ciò può generare diversi rischi di sicurezza, tra cui:
- Controlli d’accesso insufficienti. Gli amministratori IT shadow possono concedere a loro stessi o a altre persone autorizzazioni eccessive per applicazioni o dati. Ciò può consentire accessi non autorizzati o creare delle backdoor nei sistemi critici. Tale approccio è problematico non solo perché tali amministratori shadow non dispongono di una supervisione adeguata, ma anche perché i criminali informatici amano prendere il controllo di questi account utente.
- Sistemi configurati in modo errato. Quando gli amministratori IT shadow non utilizzano le configurazioni di sicurezza adeguate, possono creare sistemi configurati in modo errato, aumentando il rischio di sfruttamento da parte dei criminali informatici.
2. Violazioni e perdita di dati
Numerosi servizi non approvati comportano la gestione di dati sensibili, che possono essere sotto forma di documenti finanziari, proprietà intellettuale o informazioni dei clienti. Quando gli amministratori IT shadow gestiscono questi dati senza garantire una supervisione adeguata, aumentano i rischi seguenti:
- Divulgazione di dati. I sistemi o le applicazioni configurati dagli amministratori IT shadow possono non essere stati crittografati correttamente, non disporre di controlli d’accesso adeguati o non essere sufficientemente monitorati. Ciò porta a divulgazioni di dati o condivisione di informazioni riservate in modi non autorizzati.
- Perdita di dati. Se gli amministratori IT shadow non proteggono adeguatamente i sistemi, o archiviano dati in ambienti non sicuri come i servizi cloud personali, l’azienda rischia di perdere dati strategici in caso di guasto del sistema o di attacco informatico, come per esempio un ransomware.
3. Non conformità con le normative
Gli amministratori IT shadow possono generare problemi di conformità significativi per le aziende che devono rispettare standard normativi come il GDPR, la legge HIPAA o la normativa SOC 2. Poiché i sistemi e gli account shadow non sono spesso oggetto degli stessi controlli e verifiche rigorosi dei sistemi IT ufficiali, possono non soddisfare le esigenze di sicurezza o privacy necessarie per soddisfare le normative. Ciò può portare alle seguenti conseguenze:
- Sanzioni legali e finanziarie. Quando le aziende non rispettano le normative, possono aspettarsi di incorrere in sanzioni, problemi legali e danni alla reputazione.
- Mancanza di tracce di verifica. I sistemi shadow possono non disporre dei processi di log o monitoraggio richiesti. Ciò complica il tracciamento degli spostamenti dei dati e dei cambiamenti relativi, che può essere problematico in caso di verifica o indagine forense.
4. Inefficienza operativa
Gli account amministratore shadow possono risolvere problemi immediati. Tuttavia, la loro esistenza costante può creare inefficienze operative sul lungo periodo:
- Frammentazione dei dati. Gli amministratori IT shadow spesso introducono sistemi che non si integrano bene con l’infrastruttura IT centrale. Di conseguenza l’archiviazione dei dati risulta frammentata e l’utilizzo di dati tra i dipartimenti non è semplice.
- Processi non coerenti. Quando più team utilizzano strumenti diversi e non approvati, i flussi di lavoro presentano spesso delle incongruenze. Per l’azienda è quindi più complesso razionalizzare i processi o ottenere una visione unificata delle operazioni aziendali.
5. Difficoltà legate alla risposta agli incidenti
Se si verifica un attacco informatico o una violazione dei dati, il dipartimento IT può impiegare molto più tempo per intervenire se devono essere coinvolti degli amministratori shadow. Poiché i servizi e gli account IT shadow non vengono generalmente documentati né monitorati, il team IT può non essere a conoscenza di tutti i sistemi interessati né delle persone che devono essere coinvolte nella risposta. Questa mancanza di visibilità può ritardare seriamente le attività di risposta agli incidenti e di contenimento, aumentando i danni causati dagli incidenti di sicurezza.
6. Aumento del carico IT
Quando vengono identificati sistemi non approvati e amministratori shadow associati, i team IT devono sottostare a un processo di integrazione dispendioso in termini di tempo: verifiche, protezione e integrazione di questi sistemi nei sistemi e nei processi IT ufficiali, ecc. Si tratta di attività non pianificate che si aggiungono al carico di lavoro del team IT. Inoltre, utilizzano risorse preziose che potrebbero essere destinate a progetti più strategici e aumentano i costi operativi.
Far uscire gli amministratori shadow dall’ombra
Per ridurre i rischi associati agli amministratori IT shadow, i team IT e della sicurezza devono adottare delle strategie proattive:
- Miglioramento della visibilità e del monitoraggio. Utilizza strumenti come le soluzioni di gestione del livello di sicurezza delle applicazioni SaaS (SSPM), di prevenzione della perdita dei dati (DLP) e di rilevamento e neutralizzazione delle minacce legate alle identità (ITDR) per ottenere visibilità sui servizi non approvati e gli amministratori shadow.
- Applicazione dei controlli d’accesso. Implementa servizi di gestione degli accessi con privilegi (PAM) e di autenticazione centralizzata associati all’autenticazione a più fattori (MFA) e all’autenticazione unica (servizi offerti da fornitori di identità) per assicurarti che solo le persone autorizzate possano agire come amministratori IT.
- Definizione di policy informatiche chiare. Elabora e comunica policy chiare che definiscono quali servizi e sistemi informatici sono approvati. Quindi, assicurati che tutti i collaboratori comprendano i rischi associati ai sistemi non approvati. Accertati inoltre che dispongano di un modo semplice per elevare le priorità IT chiave in modo che non abbiano l’impressione di doversi affidare alla shadow IT in futuro. In ogni caso, sii realista: la shadow IT e gli amministratori shadow associati per il momento sono destinati a rimanere.
Conclusione
Sebbene gli amministratori IT shadow pensino di agire nel miglior interesse dell’azienda, possono introdurre rischi importanti che mettono in pericolo la sua sicurezza, la sua conformità e le sue attività. Adottando misure proattive per gestire e ridurre questi rischi, le aziende possono rafforzare la loro protezione.
Proofpoint investe costantemente nei suoi prodotti e servizi per aiutare i propri clienti a identificare e a neutralizzare i sistemi non approvati e gli amministratori shadow prima che la loro azienda ne paghi il prezzo. Ecco qui due delle nostre soluzioni:
- Proofpoint Account Takeover Protection segnala l’utilizzo di applicazioni di terze parti non approvate e dannose e applica misure correttive nell’ambito del rilevamento e della neutralizzazione del takeover degli account.
- Proofpoint Identity Threat Defense è la nostra soluzione ITDR. Identifica e guida l’applicazione di misure correttive agli account amministratore shadow in Active Directory nonché diversi fornitori di identità cloud nell’ambito delle sue funzionalità globali.
Proofpoint prevede numerose novità in quest’ambito nel 2025. Per saperne di più sulle nostre soluzioni di sicurezza delle identità, consulta questa pagina web.