A cura di Ferdinando Mancini, Director, Southern Europe & Israel Sales Engineering, Proofpoint
Nello scenario di cybersecurity sempre più complesso e articolato che stiamo vivendo, un ruolo fondamentale viene giocato dall’identità, che permette di accedere a dati e applicazioni sensibili. Con l’adozione estesa del cloud e la conferma di una modalità di lavoro sempre più spesso ibrida, il perimetro di sicurezza si è ormai dissolto ed è rappresentato dai singoli individui, siano essi dipendenti, partner o collaboratori.
Proteggere in modo efficace le identità può consentire di migliorare il livello complessivo di protezione di ogni azienda, a fronte delle più recenti evoluzioni tecnologiche e organizzative.
Ecco sette elementi di riflessione che derivano dall’esperienza sul campo di Proofpoint.
L’Identity Threat Detection and Response è un tema sempre più rilevante
C’è un interesse forte e crescente verso il miglioramento della sicurezza delle identità in generale e le soluzioni di identity threat detection and response (ITDR) in particolare.
C’è ancora poca visibilità sulla parte centrale della catena d’attacco
La parte centrale della catena d’attacco è strettamente correlata alla sicurezza delle identità, in cui si verificano persistenza, raccolta di informazioni, escalation dei privilegi e movimento laterale. Purtroppo, le difese di molte aziende presentano gravi lacune in questa parte, anche se la sua importanza inizia a emergere.
L’utilizzo della catena d’attacco come framework è un modo efficace per illustrare l’obiettivo delle soluzioni ITDR, ricostruendo le fasi esatte tendenzialmente seguite da criminale informatico e i metodi di difesa per le aziende.
Fasi della catena di attacco: Ricognizione – Compromissione iniziale – Persistenza – Raccolta di informazioni – Escalation dei privilegi – Movimento laterale – Insediamento – Impatto
Le esche hanno un potenziale rivoluzionario
Si sta facendo più vivace il dibattito sull’uso di esche ai fini del rilevamento e della neutralizzazione delle minacce e il concetto di deception spinge a pensare in modo diverso a come rilevare e rispondere alle minacce attive in modo più efficace. Per molti anni, le aziende hanno cercato di individuarle utilizzando approcci basati su firme e comportamenti, che hanno portato a risultati differenti, a fronte di un elevato dispendio di tempo e denaro, con la sfida di ridurre al minimo i falsi positivi e i falsi negativi si è rivelata scoraggiante per molte di loro
Le esche disturbano le analisi di rilevamento, in quanto, invece di tracciare i cybercriminali utilizzando enormi volumi di dati e eseguendo analisi investigative ottimizzate, permettono di rilevare la presenza di un malintenzionato, e i suoi tentativi di spostamento all’interno dell’azienda, al centro della catena d’attacco.
L’integrità di Active Directory è sempre più cruciale
È noto che Active Directory (AD) rappresenta una minaccia reale per la sicurezza di tutte le aziende che lo utilizzano. I motivi sono più o meno gli stessi per tutti: si tratta di uno strumento che viene amministrato da più persone nel corso degli anni, e la maggior parte delle organizzazioni non dispone di una governance AD completa. Ma non solo: anche le soluzioni rapide e a breve termine, i progetti una tantum, fino alle fusioni e alle acquisizioni, hanno il loro impatto. Queste sono solo le cause più comuni. Ironia della sorte, l’AD ora può ora essere ragionevolmente considerato uno strumento chiave per gli attaccanti.
Considerando tutti gli strumenti disponibili per sfruttare automaticamente le configurazioni errate e le esposizioni di AD, non c’è da stupirsi che l’interesse per l’ITDR sia in aumento.
L’autenticazione multi-fattore non è più sufficiente
Il takeover degli account di fornitori di identità SaaS, come Microsoft Entra ID, Okta e Google, rappresenta sempre più spesso un’importante sfida di sicurezza. oltre a essere un canale primario di violazione iniziale. Per raggiungere la parte centrale della catena d’attacco, i cybercriminali devono operare una compromissione iniziale e accade molto spesso che Proofpoint rilevi attacchi takeover rivolti ad account sui quali è attiva l’autenticazione a più fattori (MFA). A questo proposito, è fondamentale ricordare che l’MFA è un buon punto di partenza, ma, dati gli strumenti e le tecniche attualmente utilizzati dagli attaccanti, non è più sufficiente, e oggi serve una difesa in profondità incentrata sulle identità.
Spesso ci sono ostacoli al rafforzamento della sicurezza
Come è noto, molte aziende hanno difficoltà ad acquisire e implementare nuovi controlli di sicurezza di qualunque tipologia, comprese le soluzioni ITDR. Non è una novità, ogni realtà ha i suoi limiti, in particolare in termini di personale e budget. Si discute molto su come l’ITDR trasformi la struttura delle stesse aziende di cybersecurity e la gestione della sicurezza delle identità, con un quesito comune: chi è il responsabile del problema – e quindi della soluzione – della sicurezza dell’identità? Il team SOC, di operations IT, quello di gestione delle identità o delle vulnerabilità? Uno dei principali fattori che contribuiscono alle grandi violazioni è rappresentato proprio da queste lacune nell’individuare le responsabilità, consentendo ai malintenzionati di insinuarsi tra le maglie della difesa. Se le aziende con operazioni di sicurezza all’avanguardia hanno compreso come gestire e applicare le soluzioni ITDR a questo problema, sarebbe opportuno che gli altri ne seguissero l’esempio.
Sono numerosi i driver di adozione dell’ITDR
Cosa spinge le aziende a investire nell’ITDR? Nella maggior parte dei casi, sembra che la motivazione derivi da diverse forze esterne. Potrebbe trattarsi dei risultati di esercitazioni di red team o penetration test, o di punti deboli documentati in un audit, un incidente di sicurezza o una violazione, interna o di un partner. Potrebbe anche trattarsi di un CISO visionario, che spinge all’innovazione. Tutti questi fattori stimolano le aziende a uscire dalla loro zona di comfort e adottare sicurezza delle identità potenziata e ITDR.
Chiaramente, la necessità di un rafforzamento dell’identity security rappresenta una preoccupazione crescente per un gran numero di professionisti della sicurezza. Il primo passo per risolvere un problema è riconoscerne l’esistenza, e il fatto di porsi in maniera onesta la questione mostra come il settore sia sulla buona strada per affrontarlo e risolverlo.
