Oggi più che mai, i dipendenti sono nel mirino dei cyber criminali. Le loro identità sono un vettore chiave in oltre il 90% degli attacchi, e nessuna azienda ne è immune.
Per questo, l’identità è l’elemento centrale della catena di attacco ed è fondamentale capire come evitare che malintenzionati la sfruttino, muovendosi lateralmente all’interno dell’azienda, aumentando i privilegi e ottenendo accesso a dati e sistemi sensibili.
Indice degli argomenti
Il cyber crime tiene d’occhio le identità, le aziende anche?
Le identità sono sempre state vulnerabili, non è una novità. Lo sono ancora di più oggi, che rappresentano uno degli anelli più deboli della catena della sicurezza.
Gli attaccanti cercheranno sempre, infatti. l’obiettivo più facile da raggiungere.
Ora non si lavora più da un unico ufficio: si portano con sé i propri dispositivi e si utilizzano applicazioni, servizi e infrastrutture cloud. I giorni in cui ci si sedeva dietro un firewall in un’unica postazione sono finiti, così come i tempi in cui i perimetri erano chiari e ben definiti.
Identità: nuovo perimetro, ma anche nuova vulnerabilità
L’elemento principale che collega e separa le persone dall’accesso ai dati, ovunque si trovino nel mondo, è l’identità. Questo ha portato molti a credere che l’identità sia il nuovo perimetro, ma la realtà ci insegna che è anche la nuova vulnerabilità.
Anche gli obiettivi delle violazioni si sono evoluti. Sono finiti i tempi in cui i cyber criminali si accanivano principalmente su processi finanziari o su vulnerabilità del software esposto per ottenere un rapido ritorno economico.
Al contrario, molti sono orientati verso attività ancor più fruttuose, come ransomware, acquisizione completa di domini, interruzione di attività o i gioielli della “corona”: l’estorsione di dati.
È evidente che l’identità sia diventata l’obiettivo e il mezzo principale per ottenere persistenza, escalation di privilegi e per muoversi lateralmente verso pericolosi risultati di successo.
Per rendere le cose più complicate, oltre il 90% delle aziende possiede un’infrastruttura di identità basata su Active Directory (AD), una tecnologia vecchia di quasi 25 anni, realizzata pensando non solo alla sicurezza, ma costruita nel tempo da molti esperti IT.
Se si abbinano questa infrastruttura di identità critica e difficile da proteggere con le controparti cloud, spesso collegandole tra loro, si crea una superficie di attacco più estesa, oltre che altamente distribuita.
Pur avendo posto l’identità online al centro dei controlli di sicurezza, la combinazione di tecnologie di protezione tradizionali e complessità dell’infrastruttura IT, insieme a una visibilità estremamente limitata della superficie di attacco e ai continui miglioramenti degli attaccanti, ha lasciato grandi lacune nelle misure di difesa.
Le vulnerabilità dell’identità
Dai primi anni 2000, il settore e le pratiche di sicurezza sono progrediti e maturati in modo evidente.
Ad esempio, rispetto al passato si è molto più efficienti nel correggere vulnerabilità ed esposizioni comuni (CVE), nonché a implementare e gestire i controlli di sicurezza di base come l’autenticazione multi-fattore (MFA), single sign on (SSO) e altri sistemi di protezione tradizionali.
Tuttavia, la maggior parte di quelli incentrati sull’identità si concentra sul controllo degli accessi legittimi, sull’autenticazione o sulla conformità, mentre altri cercano di monitorare il comportamento degli utenti con l’obiettivo di rilevare anomalie.
I criminali informatici ne sono consapevoli. Un’identità compromessa può rimanere persistente e inosservata per molto tempo, aggirando i controlli di sicurezza e muovendosi lateralmente verso i sistemi più rilevanti.
Le vulnerabilità dell’identità sono piuttosto diffuse nella maggior parte delle aziende, e questo spiega il flusso apparentemente infinito di violazioni di cui si sente parlare così spesso.
Il rischio legato all’identità necessita di maggiore attenzione
Tradizionalmente ci si è concentrati molto sulla protezione dell’accesso iniziale – come evitare che le persone vengano prese di mira e impedire attacchi di phishing e altre minacce mirate.
Ma l’obiettivo è anche concentrarci anche sulla parte centrale della catena di attacco, quando un malintenzionato è già in rete e ha ottenuto accesso a sistemi e dati chiave. Una volta che ha già compromesso tutto ciò che desiderava, è fondamentale impedirgli di esfiltrare i dati o sequestrare i sistemi con richiesta di riscatto.
È questa parte centrale della catena d’attacco che dovrebbe preoccupare maggiormente. Come professionisti della sicurezza, dobbiamo presumere che un attacco avrà successo e che un criminale penetrerà almeno inizialmente nell’ambiente.
Una volta accaduto, è necessario impedirgli di spostarsi lateralmente e aumentare i privilegi per raggiungere i dati target. Potenziando le difese centrali con una migliore protezione delle identità, è possibile difendere meglio il ciclo di vita della catena di attacco.
Utile dotarsi di tecniche di deception
Le identità sono sempre state uno degli elementi più difficili da gestire per i team di sicurezza, che si tratti di dipendenti o terze parti all’interno della catena di fornitura.
Il problema è molto semplice da illustrare, ma è incredibilmente difficile tenere il passo con i diversi tipi di accesso e il relativo flusso di persone, sistemi e applicazioni, anche con buoni processi di gestione delle identità.
L’accesso è sempre giustificato da ragioni di business, quindi è necessario prevedere delle eccezioni. Ma ne è sufficiente una per rendere l’azienda vulnerabile.
Le identità risiedono negli endpoint, sia client che server, nei database e negli script, nelle attività automatizzate, nelle applicazioni e in qualsiasi altro luogo si possa pensare.
Queste identità distribuite, e generalmente non gestite, creano diverse opportunità per un cyber criminale di scegliere un percorso di attacco e muoversi lateralmente senza essere individuato.
Per questo è fondamentale non solo scoprire, dare priorità e rimediare alle vulnerabilità dell’identità in azienda, ma dotarsi anche di un’ampia serie di tecniche di deception (configurazioni esca) progettate per contrastare efficacemente escalation dei privilegi e movimento laterale.
