La vulnerabilità più grande e il vettore di attacco più sfruttato: come gestire i rischi legati all’identità

redazione

Nel panorama attuale delle minacce l’identità è ormai diventata il nuovo perimetro di sicurezza. Non si tratta certo di una sorpresa per chi segue i trend che mostrano come la stragrande maggioranza delle violazioni di sicurezza ormai derivi da attacchi basati sull’identità. Proofpoint ha rilevato che oltre il 90% delle violazioni coinvolge una componente di identità nella catena dell’attacco.

I professionisti della cybersecurity hanno compreso da tempo che una delle principali vulnerabilità  di sicurezza è il comportamento umano. Secondo il più recente Verizon Data Breach Investigations Report il 74% delle violazioni confermate coinvolge l’elemento umano, un dato ormai costante da anni.

Quindi, cosa sta cambiando? Il modo in cui i cybercriminali stanno sfruttando gli esseri umani come anello debole della catena di attacco.

Basti pensare agli attacchi Scattered Spider e all’aumento del numero di quelli rivolti ai fornitori di servizi di identità negli ultimi mesi. Questi eventi indicano che gli attori delle minacce stiano ampliando tattiche collaudate come il phishing e il furto di credenziali e prendendo di mira la supply chain. Compromettere la supply chain può potenzialmente produrre un ritorno sull’investimento molto elevato. Per questo i cybercriminali stanno puntando sulle tattiche di maggior successo – l’attacco all’identità – per massimizzare i profitti.

Secondo il report State of the Phish 2023 di Proofpoint, il 79% delle aziende italiane ha subito attacchi di phishing andati a buon fine, che spesso hanno portato al furto di credenziali o alla compromissione di account, consentendo ai malintenzionati di accedere agli account o alle identità aziendali. Una volta compromessa anche una sola identità, i cybercriminali possono muoversi lateralmente con facilità all’interno dell’azienda. A questo punto, hanno quasi vinto la battaglia. L’escalation dei privilegi, la raccolta di informazioni, la distribuzione di payload e la realizzazione di altri obiettivi diventano un esercizio relativamente semplice. Possono ottenere tutto questo senza sfiorare alcune delle difese perimetrali tradizionali e senza particolari sforzi o conoscenze tecniche approfondite.

Secondo il Rapporto “Censis-DeepCyber” sulla sicurezza informatica in Italia, pubblicato nell’aprile 2022, l’81,7% della popolazione italiana teme di risultare facile preda di furti e violazioni dei propri dati personali sul web, con una preoccupazione che si estende anche alle aziende, che devono assolutamente adattarsi a questa nuova realtà e far evolvere le proprie difese.

Le tre principali tipologie di rischio legate all’identità

Molte aziende hanno investito in modo significativo per rafforzare la loro infrastruttura di identità, ma non hanno considerato i componenti più vulnerabili, come credenziali archiviate e nella cache, cookie di sessione, chiavi di accesso, shadow account privilegiati e configurazioni errate associate ad account e identità.

Capire come i criminali informatici stanno colpendo l’identità all’interno di un’azienda è il primo passo per proteggere la nuova superficie di attacco e interromperne la catena.

Per prima cosa, è necessario sapere quali sono i punti di accesso umano più vulnerabili e bersagliati in azienda. Non è possibile mitigare tutti i rischi, ma si devono stabilire delle priorità.

Gli attori delle minacce prendono di solito di mira tre aree di identità:

  • Identità non gestite: includono le identità utilizzate dalle applicazioni – account di servizio – e i local admin. Il team di threat research di Proofpoint ha rilevato che l’87% di questi ultimi non è registrato in una soluzione di gestione degli account privilegiati. Tuttavia, queste tipologie di identità spesso non vengono scoperte durante l’implementazione o vengono dimenticate dopo aver raggiunto il loro scopo. Molti di questi account utilizzano password predefinite o obsolete, elemento che aumenta ulteriormente il rischio.
  • Identità mal configurate: “shadow” admin, identità configurate con crittografia debole o assente e account con credenziali poco forti sono esempi di questo tipo di identità. Secondo il report Human Factor 2023 di Proofpoint ben il 40% delle identità configurate in modo errato o shadow admin possono essere sfruttate con un unico passaggio, ad esempio resettando la password di un dominio per aumentare i privilegi. Il report ha inoltre rilevato che il 13% degli shadow admin dispone già di privilegi di amministratore di dominio, consentendo ad attori malintenzionati di raccogliere le credenziali e infiltrarsi in azienda.
  • Identità esposte: questa categoria comprende credenziali memorizzate nella cache su vari sistemi, token di accesso al cloud archiviati sugli endpoint e sessioni di accesso remoto aperte. Un endpoint su sei contiene password di account privilegiati esposte, come le credenziali nella cache. Questa pratica è altrettanto rischiosa come quella di permettere ai dipendenti di lasciare sui loro dispositivi post-it adesivi con nomi utente e password, eppure viene comunemente trascurata.

Qualunque sia il tipo di identità compromessa, ai malintenzionati basta un solo account vulnerabile per ottenere accesso illimitato in azienda e più a lungo non vengono scoperti, più devastanti sono le potenziali conseguenze.

Gestire i rischi con identity threat detection and response

La lotta a qualsiasi tipo di minaccia passa per diverse attività fondamentali: rilevare e identificare le minacce in tempo reale, assegnare loro una priorità e porre tempestivamente rimedio alla situazione automatizzando il più possibile le risposte. È qui che entrano in gioco le migliori pratiche di detection and response alle minacce.

Tuttavia, le aziende di solito la implementano solo per la loro tecnologia e questo non è sufficiente nell’attuale panorama di minacce incentrato sulle persone.

Poiché il perimetro umano è diventato il componente più vulnerabile, l’identity threat detection and response (ITDR) è emersa come elemento critico per identificare e mitigare le lacune nell’esposizione all’identità.

Per essere efficace, l’ITDR richiede una combinazione tra processi di sicurezza, strumenti e best practice, poiché tratta le identità come qualsiasi altro tipo di asset, ad esempio la rete e gli endpoint.

È consigliabile iniziare con controlli proattivi e preventivi in modo da scoprire e ridurre le vulnerabilità dell’identità prima che i criminali informatici possano sfruttarle. La ricerca continua e la correzione automatica sono il modo migliore per tenere lontani i malintenzionati.

Poi, bisogna essere in grado di neutralizzare rapidamente le minacce che dovessero sfuggire alle difese. Poiché nessun controllo è infallibile, va considerata l’intera catena di attacco. Bloccare rapidamente l’escalation dei privilegi è fondamentale, perché gli attori delle minacce tenteranno questo passo non appena avranno ottenuto l’accesso iniziale. Se non riescono a raggiungere alcun obiettivo,, dovranno rinunciare e passare oltre.

Strumenti avanzati che offrono funzionalità come machine learning o analytics per rilevare eventi e comportamenti insoliti o sospetti, insieme a risposta automatizzate, aumentano il grado di successo.

Analogamente a strumenti come endpoint detection and response e rilevamento e risposta estesi, soluzioni ITDR robuste forniscono un approccio approfondito alla mitigazione dell’esposizione. I criminali informatici si muovono troppo velocemente perché i team di sicurezza possano tenere il passo con le minacce all’identità senza gli strumenti giusti.

Infine, un ITDR efficace si basa su best practice come la garanzia di una buona educazione e consapevolezza informatica. Dopo tutto, le persone possono rappresentare la più grande falla di sicurezza. Le difese incentrate sugli individui non funzionano se ai dipendenti non viene concessa la possibilità di interrompere la catena di attacchi modificando i loro comportamenti e abitudini.

 

Ferdinando Mancini, Director, Southern Europe Sales Engineering, Proofpoint

ARTICOLI CORRELATIMORE FROM AUTHOR