Attacchi alle identità: ecco perché serve un nuovo approccio alla sicurezza
Gestire la propria identità digitale in sicurezza è fondamentale per abilitare transazioni e interazioni nei servizi digitali. Le informazioni sulle identità, inoltre, sono spesso dati sensibili in ottica privacy per cui è importante adottare tecniche di tutela legate alle funzioni di data protection e controlli di sicurezza preventivi e adeguati
La sicurezza delle identità è diventata una delle priorità dei CISO (Chief Information Security Officer). Gli hacker, infatti, tentano costantemente di accedere a credenziali valide per utilizzarle con l’obiettivo di muoversi nelle reti aziendali senza essere scoperti.
La società Verizon ha pubblicato il Data Breach Investigations Report, giunto ormai nel 2022 alla sua quindicesima edizione, dal quale emerge che la maggior parte dei data breach sia avvenuta a causa di persone fisiche (human element) che hanno inavvertitamente e incautamente “collaborato” all’attacco: gli incidenti sono infatti principalmente avvenuti tramite il phishing, il riutilizzo di credenziali rubate e raggiri vari volti a carpire informazioni (pretexting).
Nel report emerge anche come l’aumento degli attacchi ransomware negli ultimi anni sia ormai una realtà consolidata. Le aziende devono imparare a fronteggiare i cyber criminali e capire come proteggere i propri dati al meglio.
Viene poi evidenziato come le caratteristiche di una supply chain debole siano determinanti nell’avviare nuovi attacchi con una percentuale vicina al 62% dei casi. Infine, è diventato importante evitare il ripetersi, anche nel corso dell’ultimo anno, di una serie di errori dovuti a un cloud storage non gestito correttamente.
Cosa si intende per attacchi alle identità?
Il concetto di attacco alle identità è molto esteso e complesso. Navigare online significa lasciare delle tracce, molto spesso in maniera inconsapevole. I dati digitalizzati nei sistemi aziendali e nei personal computer rappresentano una “estensione digitale” dell’azienda o del singolo utente, diventando la cosiddetta “impronta digitale”.
Conseguenze dei furti di identità possono essere creazione di profili falsi, violazioni della privacy, manipolazione, alterazione dei dati. Per i dati aziendali è necessario considerare in aggiunta ai precedenti casi indicati, anche l’esfiltrazione di dati a scopo di riscatto, ovvero di lucro, o finalizzati alla concorrenza sleale. Gli attacchi di phishing mirano al furto o allo sfruttamento delle identità digital e possono comportare gravi perdite per utenti, fornitori e persino impedire ai clienti di utilizzare i propri servizi online.
Gestire la propria identità digitale in totale sicurezza è fondamentale per abilitare transazioni e interazioni nei servizi digitali. Poiché le informazioni sulle identità sono spesso dati sensibili in ottica privacy, è importante adottare tecniche di tutela legate alle funzioni di data protection e controlli di sicurezza preventivi e adeguati.
Gli errori umani che permettono agli hacker di rubare o danneggiare le identità sono fin troppo semplici e commetterli fin troppo facile. Tra questi, si evidenziano:
- mantenere credenziali deboli;
- utilizzare la crittografia in modo non ottimale;
- predisporre configurazioni errate;
- consentire l’accesso a informazioni sensibili tramite l’escalation dei privilegi.
Le soluzioni tradizionali per proteggere le identità sono deboli
Le soluzioni standard per la sicurezza delle identità come quelle di Identity and Access Management (IAM), Privileged Access Management (PAM) e Identity Governance and Administration (IGA) assicurano che gli utenti autorizzati abbiano gli accessi corretti e utilizzano la verifica continua e principi guida del modello di sicurezza zero-trust.
Tuttavia, concentrarsi esclusivamente sul provisioning, la connessione e il controllo dell’accesso alle identità, è solo il punto di partenza per la sicurezza delle identità. Per una copertura migliore è necessario andare oltre l’autenticazione iniziale e il controllo degli accessi e considerare ulteriori aspetti delle identità come credenziali, privilegi, diritti e sistemi che li gestiscono, dalla visibilità alle esposizioni, fino al rilevamento degli attacchi.
Dal punto di vista dei criminal hacker, l’Active Directory (AD) è un obiettivo piuttosto ambito: è il luogo in cui si trovano le identità e i relativi elementi principali. Spesso si tenta di compromettere il sistema per incrementare i propri privilegi e poter accedere alla rete informatica.
Purtroppo, i livelli funzionali dell’AD devono consentire facilmente l’accesso agli utenti di tutta l’azienda, rendendo l’ambiente operativo notoriamente molto più difficile da proteggere. Microsoft ha evidenziato la gravità del problema dichiarando che più di 95 milioni di account AD vengono attaccati ogni giorno.
Proteggere l’AD è una sfida, ma non è impossibile, richiede solo di adottare gli strumenti e le tattiche giuste.
Anche le migrazioni del cloud sono un terreno fertile per gli attacchi. Quando le vulnerabilità dell’AD si combinano con la tendenza alla configurazione errata in cloud, la necessità di un ulteriore livello di protezione oltre al provisioning e alla gestione degli accessi diventa più urgente.
La sicurezza delle identità con una nuova chiave di lettura
Le moderne e innovative soluzioni per la sicurezza delle identità forniscono una visibilità essenziale sulle credenziali memorizzate negli endpoint, sulle errate configurazioni di AD e sulla diffusione dei diritti in cloud. Identity Attack Surface Management (ID ASM) e Identity Threat Detection and Response (ITDR) sono nuove metodologie di sicurezza progettate per proteggere le identità e i sistemi che le gestiscono. Queste soluzioni integrano e funzionano insieme a Endpoint Detection and Response (EDR), Extended Detection and Response (XDR), Network Detection and Response (NDR) e altre simili.
In particolare, ID ASM cerca di ridurre la superficie di attacco dell’identità per limitare le esposizioni per i criminal hacker: minori sono le esposizioni, minore è la superficie di attacco sulle identità. Per la maggior parte delle aziende, questo implica l’adozione di Active Directory, sia in sede che in ambiente Azure.
Mentre l’EDR è una soluzione robusta che individua gli attacchi sugli endpoint e raccoglie dati utili alle analisi, le soluzioni ITDR cercano gli attacchi mirati alle identità.
Quando l’ITDR rileva un attacco, aggiunge un livello di difesa fornendo dati falsi che reindirizzano l’hacker verso un’esca dall’aspetto autentico e isolano automaticamente il sistema compromesso che sta effettuando la query.
Le soluzioni ITDR forniscono assistenza nella risposta agli incidenti, raccogliendo dati forensi e telemetria sui processi utilizzati negli attacchi. La complementarità di EDR e ITDR consente di raggiungere un obiettivo comune: vanificare gli sforzi dei criminal hacker.
Le soluzioni ID ASM e ITDR permettono di rilevare l’uso improprio delle credenziali, l’escalation dei privilegi e altre tattiche che gli hacker sfruttano o mettono in atto all’interno della rete. Colmano le lacune critiche tra la gestione degli accessi alle identità e le soluzioni di sicurezza degli endpoint, bloccando i tentativi dei cyber criminali di sfruttare le credenziali vulnerabili per muoversi attraverso le reti senza essere scoperti.
FONTE: cybersecurity360