La frequenza degli attacchi ransomware è raddoppiata negli ultimi due anni, rappresentando il 10% di tutte le violazioni. Secondo il 2022 Verizon Data Breach Investigation Report, il ‘fattore umano’ è il mezzo principale di accesso iniziale nell'82% delle violazioni, con l'ingegneria sociale e le credenziali rubate che fungono da principali fattori di minaccia TTP. Gli aggressori tentano costantemente di accedere a credenziali valide e di utilizzarle per muoversi all'interno delle reti aziendali senza essere rilevati. Queste sfide stanno spingendo i CISO a mettere la sicurezza delle identità in cima alla loro lista di priorità.
Le soluzioni tradizionali per la gestione delle identità lasciano ancora spazio agli attacchi
Le soluzioni tradizionali per la sicurezza dell'identità in cima alla lista includono la gestione delle identità e degli accessi (IAM), la gestione degli accessi privilegiati (PAM) e la governance e l'amministrazione delle identità (IGA). Questi strumenti garantiscono che gli utenti autorizzati dispongano di un accesso appropriato e utilizzano la verifica continua, principio guida del modello di sicurezza zero-trust.
Tuttavia, la gestione delle identità e degli accessi, che si concentra esclusivamente sul provisioning, la connessione e il controllo dell'accesso alle identità, è solo il punto di partenza per la sicurezza delle identità. La copertura deve estendersi oltre l'autenticazione iniziale e il controllo degli accessi ad altri aspetti dell'identità, quali credenziali, privilegi, diritti e i sistemi che li gestiscono, dalla visibilità all'esposizione fino al rilevamento degli attacchi.
Dal punto di vista dei vettori di attacco, Active Directory (AD) è una risorsa ovvia. AD è il luogo in cui l'identità e i suoi elementi chiave esistono naturalmente, motivo per cui è nel mirino degli aggressori e una delle principali preoccupazioni in materia di sicurezza. Inoltre, con il rapido avanzamento della migrazione al cloud continua a un ritmo rapido, sorgono ulteriori sfide di sicurezza poiché i team IT si muovono rapidamente per fornire risorse nei loro ambienti.
Quando le vulnerabilità di AD si combinano con la tendenza del cloud alla configurazione errata, la necessità di un ulteriore livello di protezione oltre al provisioning e alla gestione degli accessi diventa molto più chiara.
Sicurezza delle identità con una nuova svolta
Le soluzioni moderne e innovative per la sicurezza delle identità forniscono una visibilità essenziale sulle credenziali memorizzate sugli endpoint, sulle configurazioni errate di Active Directory (AD) e sulla proliferazione dei diritti di accesso al cloud. Identity Attack Surface Management (ID ASM) e Identity Threat Detection and Response (ITDR) sono nuove categorie di sicurezza progettate per proteggere le identità e i sistemi che le gestiscono.
Queste soluzioni integrano e operano in combinazione con Endpoint Detection and Response (EDR), Extended Detection and Response (XDR), Network Detection and Response (NDR) e altre soluzioni simili.
ID ASM mira a ridurre la superficie di attacco dell'identità per limitare le esposizioni che gli aggressori possono sfruttare. Meno esposizioni ci sono, minore è la superficie di attacco dell'identità . Per la maggior parte delle aziende, questo significa Active Directory, sia in locale che in Azure.
Mentre l'EDR è una soluzione robusta che ricerca gli attacchi agli endpoint e raccoglie dati per l'analisi, le soluzioni ITDR ricercano gli attacchi che prendono di mira le identità. Una volta che una soluzione ITDR rileva un attacco, aggiunge un ulteriore livello di difesa fornendo dati falsi che reindirizzano l'autore dell'attacco verso un'esca dall'aspetto autentico e isolano automaticamente il sistema compromesso che ha effettuato la query.
Le soluzioni ITDR forniscono anche assistenza nella risposta agli incidenti raccogliendo dati forensi e telemetria sui processi utilizzati durante l'attacco. La natura complementare di EDR e ITDR si integra perfettamente per raggiungere un obiettivo comune: contrastare gli sforzi di un aggressore.
Le soluzioni ID ASM e ITDR consentono di rilevare l'uso improprio delle credenziali, l'escalation dei privilegi e altre tattiche che gli aggressori sfruttano o mettono in atto all'interno della rete. Colmano le lacune critiche tra la gestione degli accessi basata sull'identità e le soluzioni di sicurezza degli endpoint, bloccando i tentativi dei criminali informatici di sfruttare le credenziali vulnerabili per muoversi all'interno delle reti senza essere rilevati.
Soluzioni di sicurezza contro le minacce all'identità
SentinelOne ha sfruttato la sua profonda esperienza nell'escalation dei privilegi e nel rilevamento dei movimenti laterali e offre una soluzione all'avanguardia nel campo del rilevamento e della risposta alle minacce all'identità e dell'ID ASM. L'azienda ha consolidato la propria posizione di leadership grazie al suo ampio portafoglio di soluzioni ITDR e ID ASM.
Prodotti per la sicurezza dell'identità:
- Singularity Identity Posture Management per la valutazione continua delle esposizioni e delle attività di Active Directory che potrebbero indicare un attacco
- Singularity Identity Threat Detection and Response (ITDR) per il rilevamento di attività non autorizzate e attacchi su Active Directory, protezione contro furto di credenziali e uso improprio, prevenzione dello sfruttamento di Active Directory, visibilità del percorso di attacco, riduzione della superficie di attacco e rilevamento dei movimenti laterali
Singularity™ Identity
Detect and respond to attacks in real-time with holistic solutions for Active Directory and Entra ID.
Get a DemoÈ tempo di un nuovo approccio alla sicurezza delle identità
Con l'aumento degli attacchi basati sull'identità, le aziende odierne devono essere in grado di rilevare quando gli aggressori sfruttano, utilizzano in modo improprio o rubano le identità aziendali. Questa esigenza è particolarmente sentita ora che le organizzazioni stanno adottando rapidamente il cloud pubblico e le identità umane e non umane continuano ad aumentare in modo esponenziale.
Data la propensione degli aggressori a utilizzare in modo improprio le credenziali, sfruttare Active Directory (AD) e prendere di mira le identità attraverso i diritti di accesso al cloud, è fondamentale rilevare le attività basate sull'identità con moderne soluzioni ID ASM e ITDR.
Scopri di più su SentinelOne Singularity Identity Posture Management e Singularity Identity di SentinelOne.
"Domande frequenti sugli attacchi basati sull'identità
Gli attacchi basati sull'identità sono incidenti di sicurezza informatica in cui un aggressore tenta di accedere illegalmente ai sistemi prendendo di mira le credenziali degli utenti, come nomi utente, password o token di autenticazione. Gli aggressori sono interessati a rubare, manipolare o utilizzare in modo improprio i dati relativi all'identità, piuttosto che a sferrare attacchi contro le vulnerabilità tecniche.
Si tratta di attacchi che sfruttano le vulnerabilità della gestione delle identità e degli accessi per impersonare utenti legittimi o vagare persistentemente lateralmente nelle reti. Una volta ottenute le credenziali legittime, gli aggressori aggirano facilmente le misure di sicurezza tradizionali perché appaiono come utenti legittimi, rendendo praticamente difficile individuarli.
Esempi comuni includono e-mail di phishing che inducono gli utenti a rivelare le credenziali di accesso, attacchi di credential stuffing che utilizzano password rubate su più siti e attacchi di password spraying che provano password comuni su molti account. Le tecniche di ingegneria sociale manipolano i dipendenti per indurli a divulgare informazioni riservate, mentre gli attacchi man-in-the-middle intercettano le comunicazioni per rubare dati.
Gli attacchi di forza bruta utilizzano strumenti automatizzati per indovinare le password, mentre gli attacchi golden ticket sfruttano le debolezze di Active Directory per accedere al dominio.
Gli approcci basati sull'identità si concentrano su "chi vuoi diventare", mentre quelli basati sui risultati mirano a "ciò che vuoi ottenere". Nel contesto della sicurezza, gli attacchi basati sull'identità prendono di mira l'identità digitale e le credenziali della persona per ottenere un accesso non autorizzato, mentre gli attacchi basati sui risultati si concentrano sul raggiungimento di risultati specifici come il furto di dati o l'interruzione del sistema.
I metodi basati sull'identità creano cambiamenti comportamentali duraturi perché sono in linea con l'identità personale, mentre i metodi basati sui risultati possono perdere efficacia una volta raggiunto l'obiettivo. Le organizzazioni hanno bisogno di entrambi gli approcci: controlli di sicurezza incentrati sull'identità e procedure di risposta agli incidenti incentrate sui risultati.
È possibile prevenire questi attacchi implementando l'autenticazione a più fattori, che richiede una verifica aggiuntiva oltre alle password. Politiche di password forti che utilizzano passphrase anziché password complesse rendono i sistemi più difficili da violare. La formazione dei dipendenti aiuta il personale a identificare i tentativi di phishing e le tattiche di ingegneria sociale prima di cadere vittima.
Regolari controlli di sicurezza identificano le vulnerabilità, mentre le soluzioni di autenticazione unica riducono il numero di credenziali che gli aggressori possono prendere di mira. Monitorare il comportamento degli utenti per individuare attività insolite e implementare modelli di sicurezza zero-trust che verificano ogni richiesta di accesso.
I principali tipi di attacchi all'identità includono il credential stuffing, che utilizza coppie di credenziali di accesso rubate su più siti, il password spraying, che utilizza password comuni contro molti account, e le e-mail di phishing progettate per rubare le credenziali. Il social engineering manipola le vittime per indurle a rivelare informazioni, mentre gli attacchi di forza bruta indovinano le password utilizzando strumenti di automazione.
Gli attacchi man-in-the-middle intercettano le comunicazioni, il kerberoasting prende di mira le password degli account di servizio e gli attacchi golden ticket sfruttano le debolezze di Active Directory. Il dirottamento di sessione prende il controllo delle sessioni utente attive e le compromissioni di account privilegiati prendono di mira le credenziali amministrative ad alto accesso.
L'autenticazione a più fattori introduce un ulteriore livello di sicurezza che impedisce l'accesso non autorizzato anche se le password vengono compromesse. Richiede agli utenti di utilizzare più di un metodo di autenticazione, come password, codici mobili o dati biometrici, prima di concedere l'accesso. Anche se gli hacker ottengono la tua password tramite phishing o violazioni dei dati, hanno comunque bisogno di un secondo metodo per accedere.
L'autenticazione a più fattori riduce significativamente il rischio di violazioni perché gli hacker devono violare più di una credenziale indipendente rispetto a una sola password. Le organizzazioni che utilizzano l'autenticazione a più fattori sono significativamente meno vulnerabili agli attacchi basati sull'identità perché introducono ulteriori barriere che molti hacker non sono in grado di superare facilmente.
