Il giorno 18 novembre 2021 alle ore 17:30 Massimo Carlotti di CyberArk presenterà un incontro di approfondimento sulla gestione delle credenziali applicative.
Per anni si è parlato della necessità e dell’importanza di mettere in sicurezza le credenziali in quanto risorsa critica oggetto degli interessi degli attaccanti. Storicamente il focus è stato prevalentemente sulle credenziali usate dagli umani (SysAdmin, Specialisti,…) spesso sottovalutando che anche Applicazioni ed Automi/Robot usano credenziali e “secret” per interagire (ed in molti casi usano credenziali ed account con privilegi elevati).
Tuttavia il contesto applicativo presente nelle aziende e più che mai variegato rispetto al passato: le applicazioni in uso spaziano da software tradizionali eseguite in Datacenter OnPrem fino a quelle moderne che seguono le metafore di DevOps e Cloud.
Questo introduce una complessità nel definire il giusto approccio che aumenta ulteriormente se si considera in senso piu’ ampio che il contesto applicativo delle aziende abbraccia l’intera “Supply Chain” degli applicativi in esercizio.
La cronaca ha dimostrato nel modo peggiore come la compromissione degli applicativi tramite le credenziali da questi usate produca attacchi estremamente gravi ed efficaci.
Cosa fare? Da dove iniziare?
In questo intervento condivideremo una proposta di linea guida per definire ed attuare un programma uniforme per la gestione dei secret di applicativi e servizi.
L’obiettivo è quello di consentire la definizione di un approccio operativo che tenga conto in modo corretto dei molteplici fattori in gioco.
Come sempre, la durata prevista è di circa 50 minuti. Il seminario sarà registrato e la registrazione sarà disponibile per i soci, insieme alla presentazione.
Per partecipare(*) occorre collegarsi a questo link: la sessione verrà attivata 15 minuti prima dell’orario di inizio dell’incontro, e si potrà accedere direttamente senza necessità di preventiva registrazione (**). Lo strumento utilizzato è Microsoft Teams, che può essere fruito anche tramite una web application scaricabile dal browser.
La partecipazione alla sessione permette di ottenere 1 CPE. La sottomissione dei crediti ottenuti tramite (ISC)2 Italy è effettuata dalla segreteria e non è necessario ricorrere alla sottomissione tramite il sito ISC2.org: verrà inviata una mail a tutti i soci partecipanti con la conferma dell’invio delle CPE. Per la corretta registrazione dei CPE, si raccomanda di inserire correttamente il proprio nome e l’ID ISC2 in fase di accesso al webinar, eventualmente scrivendolo nella chat, al fine di evitare fraintendimenti in caso di omonimie.
(*) La fruizione Audio/Video dell’evento è prevista esclusivamente attraverso computer (no telefono); si raccomanda quindi ai partecipanti di dotarsi di cuffie o di assistere al webinar in un ambiente confortevole alla fruizione.
(**) I dati inseriti sul sistema saranno visibili ai partecipanti, verranno utilizzati esclusivamente per la gestione degli eventi ed in nessun caso saranno ceduti a terzi.