I dati digitalizzati nei sistemi aziendali e nei personal computer rappresentano una “estensione digitale” dell’azienda o del singolo utente. Quando i dati afferiscono ad una singola entità sia essa commerciale o privata ne rappresentano la cosiddetta “impronta digitale”, che diventa uno dei bersagli preferiti degli attaccanti o criminali digitali.
I maggiori rischi sono legati a danni materiali e immateriali, ad esempio nei casi di creazione di profili falsi, violazione della privacy, manipolazione, alterazione dei dati; ma per i dati aziendali è necessario considerare in aggiunta ai precedenti, anche l’esfiltrazione di dati a scopo di riscatto, ovvero di lucro, o finalizzati alla concorrenza sleale. Gli attacchi che mirano al furto o allo sfruttamento delle identità digitali (phishing e pharming), potrebbero comportare gravi perdite per gli utenti finali, per i fornitori e persino impedire agli utenti di utilizzare i servizi online come quelli di e-business.
Strumenti e tecniche per la gestione in sicurezza dell’identità digitale e per la sua salvaguardia rappresentano quindi un’importante tecnologia per abilitare transazioni e interazioni nei servizi digitali. Poiché le informazioni sull’identità sono spesso dati sensibili in ottica privacy, è importante adottare tecniche di tutela legate alla data protection e controlli di sicurezza preventivi e adeguati.
In questo ambito, gli attacchi denominati “Identity-Based Attack Paths” ovvero “percorsi di attacco basati sull’identità” sono particolarmente subdoli. I rischi sono legati alle catene di privilegi e a comportamenti erronei nelle configurazioni, che sono prontamente sfruttate dagli attaccanti. Ma esistono possibili difese e mezzi di protezione preventiva.
Indice degli argomenti
I rischi di attacco alle identità digitali
L’Agenzia dell’Unione per la Cybersecurity (ENISA) è da sempre impegnata affinché l’identità digitale sia mantenuta al sicuro da attacchi specifici. Lo studio Identity Theft emesso tra il 2019 e il 2020 fotografava già allora una situazione critica nello scenario della minaccia.
Fra le diverse iniziative dell’ENISA si cita a titolo informativo e non esaustivo l’emissione del regolamento eIDAS (electronic IDentification Authentication and Signature -Regolamento UE n° 910/2014 sull’identità digitale), il report sulle tecnologie in favore delle tecnologie di SSI (Self-Sovereign Identity) e quelle per il Remote ID Proofing. Ma nonostante gli evidenti sforzi su nuove tecnologie di protezione e l’evoluzione delle buone prassi o i continui richiami ad accorgimenti per la sicurezza delle identità digitali, per molte aziende la gestione delle identità è una sfida se non un cruccio, sia operativamente che tecnicamente, tanto che in molti casi si assiste a processi di gestione delle identità con una qualità non sufficiente a garantire la gestione aggiornata e ottimale delle evoluzioni del personale (cambi di ruolo, assunzioni o uscite del personale n.d.r.) per non parlare di identità digitali di terze parti da gestire con altrettanta attenzione.
Infatti, un recente studio commissionato da One Identity ha rivelato che il 95% delle organizzazioni soffre di una proliferazione, in cui il numero di identità digitali gestite da loro (interne, terze parti e clienti) continua a crescere. Dei 1.009 professionisti della sicurezza IT intervistati, l’84% ha affermato che le identità gestite sono raddoppiate, mentre il 25% ha riferito che il numero di identità da gestire è aumentato di circa dieci volte o più.
Anche il report di Cyberark (aprile 2022) CyberArk 2022 Identity Security Threat Landscape Report evidenzia un problema crescente nel numero delle identità digitali, da cui ne consegue un significativo problema di gestione nel day-by-day. In particolare, il report evidenzia come l’aumento delle identità di utenti e di entità digitali (IoT, Chatbot etc), che possono raggiungere le centinaia di migliaia per organizzazione, abbia determinato un accumulo di “debiti” legati alla sicurezza informatica, esponendo le organizzazioni a maggiori rischi per la sicurezza informatica.
Di fatto, i truffatori considerano la violazione di identità digitali come un vettore di attacco molto redditizio con innumerevoli modi per effettuarlo mediante la “weponizzazione” cioè lo sfruttamento malevolo delle identità a scopo di frodi digitali (fonte: F5).
Per chiarezza un vettore di attacco è un metodo utilizzato dai cyber-attaccanti per compromettere un sistema; malware, ransomware o phishing sono tutti esempi di vettori di attacco comuni utilizzati solitamente a valle di un errore umano. Alcuni degli errori umani che facilitano gli attaccanti nel generare vettori di attacco includono:
- avere credenziali deboli;
- utilizzare la crittografia in modo non ottimale;
- effettuare configurazioni errate;
- consentire l’accesso a informazioni sensibili tramite l’escalation dei privilegi.
Gli avversari trarranno spesso vantaggio da più vettori durante l’esecuzione di un attacco.
È anche importante sapere che i vettori di attacco possono esistere anche quando sembrano mitigati. Ne è un esempio la creazione di una password estremamente sicura ma disponibile sul Dark Web, pronta per essere usata da malintenzionato contro l’utente stesso.
Gli attacchi subdoli alle identità digitali
Alcuni degli attacchi più subdoli alle identità digitali avvengono mediante analisi e scoperta di percorsi di attacco (attack paths) all’interno dei sistemi digitali che gestiscono le identità digitali. In altre parole, gli attaccanti studiano in dettaglio i sistemi operativi e la loro gestione delle identità per poter trovare metodi efficaci di violazione ed escalation di privilegi, finalizzati ad ottenere una utenza di tipo amministratore che, quasi sempre, consente loro di padroneggiare il singolo server o PC e da quella posizione, muoversi nella rete mediante infezione (attack vector) di altri endpoint per conquistare altre porzioni di rete o altri sistemi.
A questo punto è bene chiarire anche la differenza fra “attack paths” (percorsi di attacco) e attack vector (vettore di attacco) per evitare possibili confusioni: un “percorso di attacco” è una visualizzazione della catena di eventi che si verifica quando vengono sfruttati i vettori di attacco (mezzi digitali utilizzati dall’attaccante per violare un sistema, es. phishing). In questo senso, un “vettore di attacco” funge da porta, mentre un “percorso di attacco” è una mappa che mostra come un avversario sia entrato nella porta e dove sia andato.
Un possibile esempio potrebbe essere rappresentato da un attaccante che ottiene un punto di ingresso in un sistema sfruttando una password debole. Una volta ottenuto il punto d’appoggio iniziale, raccoglierà le credenziali (che rappresentano un altro vettore di attacco); appena all’interno del sistema, il criminale inizia a muoversi sfruttando i privilegi di accesso alla rete, per poi spostarsi verso un asset critico da cui esfiltrare dati. Il percorso di attacco è la rappresentazione visiva della combinazione di tutti i vettori di attacco sfruttati: in questo caso l’escalation dei privilegi e la scarsa igiene dell’IT (fonte: blog XmCyber).
Alessio Lo Turco, Strategic Systems Consultant di Quest, spiega che gli attaccanti puntano alle identità perché fanno loro comodo rispetto alla “fatica” legata allo sfruttamento di vulnerabilità: violando le identità infatti, gli attaccanti fanno leva sulle debolezze umane (lo spear phishing infatti è basato sulla targetizzazione della vittima n.d.r.). Studiando linkedin o altri social network le persone sono monitorate per individuarne interessi e debolezze; il fine ultimo è quello di inviare loro delle mail truffaldine come trappole in cui possano “cadere”.
L’effetto di una simile trappola si vede tardi e molto tempo dopo che l’utente ha interagito con il link malevolo o con l’allegato o con “l’oggetto trappola” contenuto nella mail. L’attacco può puntare user semplici o un C-level che solitamente ha privilegi più alti. Le motivazioni sono sempre legate al cybercrime. Il vero cavallo di troia è costituito dalla mancata manutenzione delle configurazioni degli account che generano disallineamenti fra l’effettiva struttura organizzativa ed i ruoli del personale.
Un caso di incidente grave e recente che si può ricordare e che ha avuto origine da una compromissione del sistema Microsoft di gestione delle identità, ovvero, dall’Active Directory è il caso Maersk del 2017, in cui un attacco ransomware (NotPetia Ndr) ha criptato 40mila macchine in 7 minuti. La compromissione dell’Active Directory e la successiva catena di eventi rovinosi ha costretto l’AD a fare più dichiarazioni sull’entità del danno perché progressivamente crescente.
Recentemente l’attacco alla SIAE e quello alla ENAC sono altri due esempi di come la compromissione, anche se perpetrata mediante ransomware, abbia puntato alla esfiltrazione di dati legati ad identità digitali: nel primo caso i dati sottratti sono stati pari a 60GB, mentre nel secondo caso il restore del Back up ha evitato il peggio.
Alessio Lo Turco specifica che gli attacchi legati al sistema di gestione delle identità digitali possono sfruttare debolezze di configurazione dovute alla mancata aderenza alle best practice ritenute complesse o in qualche caso superflue. Il “tiering” ad esempio (la prassi di suddivisione in livelli per compartimentare le identità e i sistemi di Active Director), non è sempre applicata correttamente e le aziende spesso evitano la “ristrutturazione” dell’active directory.
Eppure, queste prassi impedirebbero “la scalata” agli account dispersi nell’infrastruttura, specialmente quelli più critici perché legati a privilegi (cosiddetti account privilegiati n.d.r.). In questi casi l’utilizzo di tool di tipo PAM (Privileged Access Security) o l’introduzione del principio di configurazione secondo il “least privilege” potrebbero ulteriormente chiudere le aree di rischio.
Valutare il rischio IT: l’Attack Path Management
Quando si valuta il rischio Cyber molto spesso si pensa che sia sufficiente solo ed esclusivamente la pratica di vulnerability assessment accoppiata con il penetration testing per eliminare tutte le possibili cause di debolezza del codice. Purtroppo, questo non è vero, sia perché i soli VA/PT posson non evidenziare tutte i “possibili percorsi di attacco” e sia perché esistono molte categorie di rischio che se non analizzate e valutate possono fornire agli attaccanti dei validi punti di ingresso in una organizzazione.
Tipicamente, infatti, le persone, i processi, i prodotti, possono essere ulteriori target degli attaccanti. Ecco, quindi, che una difesa davvero efficace dovrebbe innanzitutto tenere conto di tutte le categorie di rischio possibili (per approfondimenti si veda metodologia e Framework Nazionale di Cybersecurity), ma anche valutare la possibilità di adottare strumenti ad hoc a determinati ambienti operativi.
Nell’ambito Microsoft e legato alla gestione delle identità dell’Active Directory, si può valutare l’adozione degli strumenti di Attack Path Management. Questo approccio consente la rappresentazione grafica dei possibili percorsi di attacco legati alla gestione delle identità permettendo di capire i punti dove esistono le vulnerabilità e quali siano i passaggi precisi (tramite la modellazione di vettori o metodi) che un utente malintenzionato può utilizzare per sfruttare tali lacune, viaggiare attraverso l’ambiente digitale del target e infine, comprometterne gli asset critici.
I concetti discussi qui sono applicabili ad Active Directory (sia Microsoft Active Directory che Azure Active Directory), ma possono essere applicati ad altri sistemi di gestione delle identità e degli accessi, come AWS e G-Suite (fonte: Attack Path Management Manifesto).
Alessio Lo Turco spiega in proposito che l’Attack Path Management rappresenta uno strumento in grado di mappare tutti i possibili percorsi di attacco all’infrastruttura di Active Directory (compreso Azure AD), fornendo la capacità di visualizzare in grafi la propria realtà. In sostanza questo ci permette di guardare alla propria directory con gli occhi dell’attaccante e quantificarne velocemente i punti critici, fornendo la capacità in modo chirurgico di applicare le remediation suggerite.
Questo permette quindi a chi è chiamato a difendere di poter migliorare velocemente la propria security posture e tenere sotto controllo nel tempo il rischio associato della propria directory, che innevitabilmente è soggetta a continui cambiamenti.
Contributo editoriale sviluppato in collaborazione con Quest
