Gli attacchi basati sull’identità, che consistono nell’abuso di credenziali di account autentici per ottenere l’accesso alle reti aziendali, sono diventati rapidamente la principale minaccia alla sicurezza informatica.
Il Global Threat Report 2023 di CrowdStrike ha rilevato che i criminal hacker utilizzano sempre meno alcune TTPs (tattiche, tecniche e procedure). Gli avversari stanno raddoppiando il numero di credenziali rubate, segnando un aumento del 112% rispetto all’anno precedente degli annunci di servizi di access-broker identificati nello scenario criminale e il 71% delle violazioni è priva di malware durante l’attacco. Questa tendenza non mostra segni di cedimento nel 2023.
L’attrazione per le tecniche basate sull’identità è legata al buon senso degli avversari. Il malware diventa rapidamente rilevabile di fronte ai moderni strumenti di sicurezza informatica. L’hackeraggio tramite attività di hands-on-keyboard è complesso e richiede competenze qualificate, inoltre è anche vulnerabile a contromisure piuttosto consolidate.
Se si presenta l’opportunità di accedere semplicemente ai sistemi target utilizzando credenziali autentiche, ottenute attraverso precedenti attacchi, tecniche di ingegneria sociale o tramite altri metodi, allora questo sarà chiaramente l’approccio preferito.
Una volta che il sistema target è stato compromesso, anche se si tratta di un semplice utente contraffatto, le falle e le vulnerabilità dei sistemi operativi utilizzati dalla maggior parte delle aziende consentono all’avversario di muoversi lateralmente, aumentando così i propri privilegi.
I problemi con Active Directory, utilizzato dal 90% delle aziende Fortune 1000, continuano a manifestarsi regolarmente. Altri problemi, spesso critici, vengono scoperti a cadenza mensile, nonostante il software sia entrato nel terzo decennio dal suo rilascio iniziale.
Ogni problema rischia di consegnare agli avversari le “chiavi di accesso” agli ambienti aziendali.
L’evoluzione della minaccia informatica ci insegna come combatterla
Indice degli argomenti
Quattro fattori che guidano la sicurezza delle identità
In quest’ottica, la protezione delle identità è diventata un’area fondamentale su cui concentrarsi e rappresenta un investimento necessario per i team di sicurezza, sebbene non tutti gli investimenti avranno lo stesso valore. Ecco quattro considerazioni che possono aiutare a prendere decisioni più intelligenti.
Proteggere l’identità
La prima considerazione è che la gestione dell’identità e degli accessi (IAM) è molto diversa dalla sicurezza dell’identità e merita soluzioni separate.
L’IAM è una parte dell’infrastruttura di rete che fornisce, gestisce e archivia le identità che fanno parte dell’azienda e potenzialmente gestisce funzionalità come i processi di single sign-on e di autenticazione multifattore (MFA).
I fornitori di IAM possono vantare caratteristiche di sicurezza, ma ci sono alcuni problemi da tenere in considerazione. In particolare, il sistema IAM stesso è una parte fondamentale dell’infrastruttura da proteggere.
Consentire alle applicazioni di proteggersi autonomamente dalle falle, che a loro volta potrebbero contenere, è una strategia da evitare, con un chiaro rischio morale per i venditori e un elemento di auto-cecità.
È probabile che terze parti applichino un approccio più neutrale e rigoroso per eliminare le vulnerabilità. Un prodotto dedicato alla protezione delle identità ha un solo obiettivo, una sola responsabilità, e questo rappresenta un vantaggio notevole.
Adottare un approccio olistico
Una soluzione per la protezione dell’identità degna di nota sarà efficace solamente se integrata con la piattaforma di sicurezza generale di un’azienda. I potenziali attacchi possono essere individuati e aggirati in diversi modi.
Le informazioni sulle minacce provenienti da grafici delle minacce globali e in tempo reale, assistite e addestrate da lavoratori esperti, possono fornire insight fondamentali.
Altre indicazioni possono provenire da servizi orientati all’EDR, XDR e basati su cloud. I segnali deboli provenienti da sistemi diversi devono essere correlati da molteplici fonti per poter comprendere il quadro completo.
Capire la differenza tra un comportamento insolito e uno minaccioso richiede la combinazione di molti segnali diversi.
Il consolidamento di una piattaforma di sicurezza unificata rafforza sia il rilevamento che la risposta, evitando al contempo la confusione che deriva dall’utilizzo di più strumenti.
Gestire efficacemente l’identità
La specializzazione e l’orchestrazione della sicurezza portano ad un terzo elemento chiave per una scelta consapevole in materia di protezione delle identità.
Il modo in cui vengono generati gli avvisi e gli eventi MFA, sia per il personale di sicurezza che per i dipendenti, deve essere intelligente e frictionless. Infatti, utenti e team di sicurezza trovano estenuanti gli infiniti alert che limitano la loro efficacia, la loro capacità di risposta a tali avvisi e, in particolare per gli utenti, aumentano la suscettibilità agli attacchi di ingegneria sociale volti a raccogliere ancora più informazioni sull’identità.
La protezione dell’identità non dovrebbe comportare maggiori attriti per gli utenti legittimi.
C’è una grande differenza tra lo scenario noto di persone che non riescono ad accedere ai propri sistemi perché hanno dimenticato la password e un avversario che tenta di entrarvi.
Anche la risposta dei sistemi di sicurezza, sia per gli utenti che per i sysadmin, dovrebbe essere diversa. Allo stesso modo, un dipendente che utilizza i dati di accesso di un altro utente per un determinato strumento può essere problematico e deve essere affrontato, seppur non rappresenti un rischio diretto per la sicurezza.
Un sistema di protezione dell’identità utilizzabile, e quindi efficace, cerca di consentire agli utenti legittimi di continuare a svolgere il proprio lavoro senza ostacoli, ma interviene duramente sui rischi reali, bloccando immediatamente tutti gli accessi.
Gestire gli account
Infine, gli attacchi alle identità sono molto spesso il risultato di errori di policy, sia nella loro creazione che nella loro implementazione.
Gli utenti che hanno lasciato l’azienda, ad esempio, spesso possono usufruire delle proprie credenziali, che rimangono attive; gli account di servizio per applicazioni e servizi che sono stati ritirati da tempo rimangono nel sistema.
Gli utenti non aggiornano le loro password, come previsto dalla policy scritta, gli viene permesso di riutilizzare quelle precedenti o di utilizzarne facilmente di nuove, particolarmente intuitive, come “qwerty123“.
Non è raro che le grandi aziende abbiano migliaia di account inattivi. Una soluzione efficiente per la protezione delle identità non si limita a segnalare le violazioni delle policy, ma risolve il problema, chiudendo gli account obsoleti, rilevando eventuali abusi degli account esistenti e avvisando le persone interessate, che si tratti di singoli utenti o del team di sicurezza, in caso di violazioni delle policy.
Conclusioni
La scelta della soluzione per la protezione delle identità è cruciale e probabilmente sarà una delle linee di difesa più importanti nel 2023 e d’ora in avanti.
Ma ciò non significa necessariamente avere maggiori complicazioni, ondate di avvisi da gestire e un aggravio di lavoro per questi team, già poco numerosi.
Una soluzione che si integra con gli strumenti, i processi e le procedure di sicurezza già esistenti coinciderà con una difesa più forte e un carico di lavoro molto più gestibile.
