Il PAM (Privileged Access Management, gestione degli accessi privilegiati) è la disciplina — e la categoria di soluzioni tecnologiche — che si occupa di controllare, monitorare, registrare e proteggere l’uso di account con privilegi elevati: amministratori di sistema, DBA, account di servizio, account root, account di dominio con privilegi AD. Questi account sono il bersaglio principale degli attaccanti perché il loro compromesso garantisce l’accesso più ampio possibile alle risorse — e la fonte di rischio principale per gli insider threat.
Il problema degli account privilegiati
Gli account privilegiati hanno caratteristiche che li rendono difficili da gestire con i controlli standard:
- Sono spesso condivisi tra più amministratori (account
root,Administrator,sadel database) — non è possibile attribuire le azioni al singolo operatore - Le loro password sono spesso statiche e longeve — cambiate raramente, note a molte persone, spesso hardcodate in script
- Le sessioni privilegiate raramente sono registrate — in caso di incidente è impossibile ricostruire cosa ha fatto un amministratore
- Molti account di servizio hanno privilegi eccessivi rispetto a quanto necessario — violazione del principio del minimo privilegio
Componenti di una soluzione PAM
Password Vault (Privileged Password Management): deposito sicuro cifrato che centralizza la gestione delle credenziali privilegiate. Le password sono generate casualmente, ruotate automaticamente a ogni uso o a intervalli programmati, e rilasciate agli amministratori su richiesta con workflow di approvazione. Nessun amministratore conosce la password permanente — la riceve temporaneamente per la sessione, poi viene automaticamente cambiata.
Session Manager: proxy attraverso cui passano tutte le sessioni privilegiate (SSH, RDP, database). Registra video e keylog della sessione, applica policy in tempo reale (blocco di comandi pericolosi, alert su comportamenti anomali), e permette la revisione forense dell’intera sessione dopo il fatto.
Just-In-Time (JIT) Privilege: gli account privilegiati non esistono in modo permanente, ma vengono creati (o elevati) solo quando necessari, per una durata limitata, e poi rimossi o degradati. Riduce drasticamente la finestra temporale durante cui un account privilegiato può essere abusato.
Privilege Elevation and Delegation Management (PEDM): invece di accedere come root/Administrator, l’operatore esegue solo i comandi specifici che richiedono privilegi elevati (sudo con policy granulari, su Windows: elevazione selettiva di singoli eseguibili). L’utente lavora normalmente senza privilegi e li ottiene solo per le operazioni che li richiedono.
PAM e architettura Zero Trust
Nella Zero Trust Architecture, il PAM è uno dei pilastri centrali: l’identità privilegiata deve essere verificata continuamente, non solo al momento del login. Le soluzioni PAM moderne si integrano con:
- MFA per ogni accesso privilegiato, anche per sessioni interne
- SIEM/SOAR per correlazione degli alert delle sessioni privilegiate con altri eventi di sicurezza
- Threat analytics per rilevare comportamenti anomali degli amministratori (accessi a orari insoliti, comandi inusuali, volume di dati consultati)
Attacchi che PAM mitiga
Pass-the-Hash / Pass-the-Ticket: gli hash NTLM o i ticket Kerberos degli amministratori rubati da un sistema compromesso permettono movimento laterale. La rotazione automatica delle password dopo ogni uso (effettuata dal vault) significa che l’hash catturato è già obsoleto quando l’attaccante tenta di usarlo.
Kerberoasting: account di servizio con password gestite dal PAM vault hanno password generate casualmente di 60+ caratteri — computazionalmente non attaccabili con forza bruta offline.
Insider threat: la registrazione video delle sessioni e i workflow di approvazione scoraggiano abusi interni e garantiscono evidenza forense in caso di incidente.
Credential stuffing su account admin: il vault genera password uniche per ogni account su ogni sistema — il riuso di credenziali è strutturalmente impossibile.