CyberArk, azienda tra i leader nella protezione degli accessi privilegiati, ha realizzato un nuovo report della serie “The CISO View” intitolato “Protecting Privileged Access in Robotic Process Automation (RPA)”, nel quale sono stati coinvolti alcuni tra i responsabili della sicurezza di aziende Global 1000, per condividere metodi e consigli per proteggere gli accessi privilegiati nell’automazione dei processi robotici.
In base al recente Report Global Advanced Threat Landscape 2019 di CyberArk, meno della metà delle aziende ha una strategia di gestione degli accessi privilegiati alle tecnologie di trasformazione digitale, come la Robotic Process Automation (RPA). Il report CISO View esamina le tecniche di attacco e fornisce consigli su come mitigare i rischi associati all’accesso privilegiato non umano, tra cui la concessione di maggiori privilegi ai robot per svolgere i differenti compiti. Si raccomanda, tra l’altro, di rendere più rigoroso l’accesso agli strumenti RPA e di definire metodi sicuri per lo sviluppo di script per robot, sottolineando l’importanza dell’integrazione di RPA e tecnologie di sicurezza per automatizzare la gestione delle credenziali e rilevarne l’uso improprio.
Il report CISO View raccoglie una serie di consigli pratici condivisi dai responsabili di sicurezza IT in base alle rispettive esperienze. Il gruppo di ricerca diverse comprende aziende Global 1000, tra cui Kellogg Company, Orange Business Services, Rockwell Automation, Starbucks e ING Bank.
Ecco alcune tra le principali indicazioni emerse per adottare in modo sicuro la RPA e mitigare i potenziali rischi:
- Limitare l’accesso per la riprogrammazione dei robot: riduce il rischio proveniente dai permessi RPA, come la capacità di riprogrammare i robot, gestendo in modo sicuro le credenziali agli strumenti RPA e formando i team dedicati su come proteggere le attività di sviluppo software.
- Automatizzare la gestione delle credenziali: le implementazioni RPA di successo richiedono una gestione automatizzata delle credenziali, incluse le password generate dalle macchine, la rotazione automatica delle password, la verifica delle identità e l’accesso alle credenziali just-in-time o a tempo limitato.
- Definire un processo di monitoraggio delle attività RPA: assegnare a personale umano la rilevazione e la risoluzione di eventuali azioni non autorizzate o comportamenti anomali dei robot, implementando i minimi privilegi e tracciando le attività.