Il crescente numero di attacchi ransomware basati sulle identità genera la richiesta di un nuovo approccio alla sicurezza, secondo Marco Rottigni, Technical Director di SentinelOne
Negli ultimi anni gli attacchi ransomware sono raddoppiati e rappresentano il 10% delle minacce. Nell’82% dei casi, come sostiene il Verizon Data Breach Investigation Report del 2022 è l’”elemento umano” la causa delle violazioni. Gli hacker tentano costantemente di accedere a credenziali valide e di utilizzarle per muoversi nelle reti aziendali senza essere scoperti. Per questo motivo la sicurezza delle identità è una delle priorità dei CISO.
Le soluzioni tradizionali per la protezione delle identità sono troppo deboli
Le soluzioni tradizionali per la sicurezza delle identità come Identity and Access Management (IAM), Privileged Access Management (PAM) e Identity Governance and Administration (IGA) assicurano che gli utenti autorizzati abbiano gli accessi corretti e utilizzano la verifica continua, principi guida del modello di sicurezza zero-trust.
Tuttavia, concentrarsi esclusivamente sul provisioning, la connessione e il controllo dell’accesso alle identità, è solo il punto di partenza per la sicurezza delle identità. Per una copertura migliore è necessario andare oltre l’autenticazione iniziale e il controllo degli accessi e considerare ulteriori aspetti dell’identità come credenziali, privilegi, diritti e sistemi che li gestiscono, dalla visibilità alle esposizioni, fino al rilevamento degli attacchi.
Dal punto di vista degli hacker, l’Active Directory (AD) è una risorsa chiave: è il luogo in cui si trovano le identità e i relativi elementi principali. Anche le migrazioni del cloud sono un terreno fertile per gli attacchi. Quando le vulnerabilità dell’AD si combinano con la tendenza alla configurazione errata in cloud, la necessità di un ulteriore livello di protezione oltre al provisioning e alla gestione degli accessi diventa più urgente.
La sicurezza dell’identità con una nuova chiave di lettura
Le moderne e innovative soluzioni per la sicurezza delle identità forniscono una visibilità essenziale sulle credenziali memorizzate negli endpoint, sulle errate configurazioni di AD e sulla diffusione dei diritti in cloud. Identity Attack Surface Management (ID ASM) e Identity Threat Detection and Response (ITDR) sono nuove metodologie di sicurezza progettate per proteggere le identità e i sistemi che le gestiscono. Queste soluzioni integrano e funzionano insieme a Endpoint Detection and Response (EDR), Extended Detection and Response (XDR), Network Detection and Response (NDR) e altre simili.
ID ASM cerca di ridurre la superficie di attacco dell’identità per limitare le esposizioni per gli hacker: minori sono le esposizioni, minore è la superficie di attacco per le identità. Per la maggior parte delle aziende, questo implica l’adozione di Active Directory, sia in sede che in ambiente Azure. Mentre l’EDR è una soluzione robusta che cerca gli attacchi sugli endpoint e raccoglie dati per l’analisi, le soluzioni ITDR cercano gli attacchi mirati alle identità. Una volta che una soluzione ITDR rileva un attacco, aggiunge un livello di difesa fornendo dati falsi che reindirizzano l’hacker verso un’esca dall’aspetto autentico e isolano automaticamente il sistema compromesso che sta effettuando la query.
Le soluzioni ITDR forniscono assistenza nella risposta agli incidenti, raccogliendo dati forensi e telemetria sui processi utilizzati negli attacchi. La complementarità di EDR e ITDR consente di raggiungere un obiettivo comune: vanificare gli sforzi degli hacker.
Le soluzioni ID ASM e ITDR permettono di rilevare l’uso improprio delle credenziali, l’escalation dei privilegi e altre tattiche che gli hacker sfruttano o mettono in atto all’interno della rete. Colmano le lacune critiche tra la gestione degli accessi alle identità e le soluzioni di sicurezza degli endpoint, bloccando i tentativi dei cybercriminali di sfruttare le credenziali vulnerabili per muoversi attraverso le reti senza essere scoperti.
Soluzioni di sicurezza contro le minacce all’identità
SentinelOne sopperisce a queste problematiche sfruttando la profonda esperienza nel rilevamento dei ‘lateral movement’ e offrendo soluzioni negli spazi di Identity Threat Detection and Response e ID ASM come:
- Ranger AD per la valutazione continua delle esposizioni e delle attività di Active Directory che potrebbero indicare un attacco.
- Singularity Identity per il rilevamento di attività e attacchi non autorizzati su Active Directory, la protezione contro il furto e l’abuso di credenziali, la prevenzione dello sfruttamento di Active Directory, la visibilità dei percorsi di attacco, la riduzione della superficie di attacco e il rilevamento dei lateral movement.
È tempo di un nuovo approccio alla sicurezza delle identità.
Con l’aumento degli attacchi basati sulle identità, le aziende moderne devono poter rilevare quando gli hacker sfruttano, usano impropriamente o rubano le identità aziendali. Questa esigenza è particolarmente sentita quando le imprese adottano il public cloud mentre le identità personali e non continuano a crescere in modo esponenziale.
Data la tendenza degli hacker a utilizzare in modo improprio le credenziali, a sfruttare AD e a prendere di mira le identità attraverso l’abilitazione al cloud, è fondamentale rilevare le attività basate sulle identità con le moderne soluzioni ID ASM e ITDR.