“L’identità è al centro dell’impresa moderna e dei attuali attacchi ibridi. Gli attaccanti continuano a sfruttare le identità come punto di partenza per distribuire malware o per muoversi lateralmente all’interno di un ambiente in modo da accedere a dati sensibili e diffondere ransomware. Gli attaccanti hanno standardizzato e commercializzato tecniche come il phishing-as-a-service e il ransomware-as-service, consentendo di replicare su larga scala attacchi di successo che coinvolgono le identità. Nonostante gli investimenti milionari in strumenti di sicurezza, il 90% delle organizzazioni ha subito un attacco alle identità.
Oggi la sfida per gli analisti della sicurezza è rappresentata dal fatto che le tecniche di attacco si sono evolute per aggirare gli strumenti di prevenzione tradizionali. I controlli preventivi come la Multi-Factor Authentication (MFA), sebbene restino strumenti importanti di cui le organizzazioni devono dotarsi per proteggere le identità, si rivelano inutili se un attaccante li aggira. L’unico modo per fermare un attaccante una volta che si è infiltrato nell’ambiente aziendale è vedere cosa fa e dove va. I team SOC devono essere perciò in grado di rilevare quando un utente è compromesso in base al comportamento dell’identità all’interno della rete e di correlare immediatamente le azioni tra questi domini. Con un numero sempre maggiore di attaccanti che effettuano il login anziché l’hacking, essere in grado di identificare gli attaccanti attivi che abusano delle identità è un’attività essenziale per qualsiasi team SOC”.
