Spesso gli attacchi alle identità restano invisibili negli ambienti ibridi multicloud a causa di troppa frammentazione, troppo silenzio, troppa fiducia nei controlli. Un’analisi spiega come rimediare.
Autore: Redazione SecurityOpenLab
Un account aziendale in vendita sul dark web per 6 dollari, frutto di una raccolta industriale di credenziali, vale più di qualunque keynote sulla fragilità dell’identità digitale nelle aziende moderne. È un dettaglio che sintetizza la tesi della nuova ricerca di Vectra AI in cui evidenzia che, anziché fermare gli attacchi che sfruttano le identità, oggi il problema maggiore è accorgersi che sono già avvenuti, in ambienti dove l’unico segnale di compromissione è spesso il silenzio, come quelli ibridi e multicloud moderni.
L’analisi parte da una convinzione molto diffusa tra i team di sicurezza: se un’identità viene compromessa, gli strumenti lo renderanno evidente, scatterà un alert, fallirà un controllo, qualcosa lampeggerà di rosso nelle console di controllo. L’80 per cento degli analisti SOC intervistati si dichiara convinto che i tool in uso offrano una protezione adeguata nei contesti ibridi multi‑cloud. Vectra descrive una realtà più scomoda: all’atto pratico, raramente la catena ideale di allarmi funziona come ci si aspetta, perché gli attaccanti hanno imparato a muoversi in quello spazio grigio dove tutto appare legittimo.
Uno dei punti centrali della ricerca è che tutti gli attacchi ibridi, prima o poi, diventano attacchi alle identità. Non parliamo di un banale furto di password, ma di un abuso sistematico di qualunque meccanismo che consenta di impersonare un utente o un servizio, incluse credenziali, token, sessioni, chiavi usate da applicazioni e automazioni interne. Diversi report recenti indicano che gli attacchi basati sulle identità sono ormai la norma.
Il quadro si complica ulteriormente se si guarda a chi, o meglio a che cosa, costituisce oggi un’identità all’interno delle infrastrutture aziendali. Secondo i dati riportati da Vectra, almeno un terzo degli utenti è composto da account di servizio con privilegi elevati e visibilità molto bassa, spesso gestiti al di fuori dei normali processi di controllo e monitoraggio. Basta una sola configurazione errata in Active Directory per creare in media 109 shadow admin, amministratori di fatto che non compaiono nelle liste ufficiali di privilegi e che possono essere sfruttati per movimenti laterali. In parallelo, nonostante l’adozione pervasiva di MFA, la stragrande maggioranza delle imprese ha subìto comunque attacchi alle identità.
Da qui parte una riflessione sul perché, nelle reti moderne, la compromissione delle credenziali non fa rumore. Le aziende sono ambienti distribuiti che mescolano cloud, SaaS, rete on‑premise e accessi remoti, con identità che si muovono fluidamente tra tutti questi domini mentre i controlli restano frammentati. L’assenza di allarmi viene spesso letta come prova implicita di sicurezza, quando in realtà può significare semplicemente mancanza di visibilità su ciò che sta accadendo nei punti di intersezione fra sistemi diversi. In questo scenario, il silenzio dev’essere letto come una zona cieca da indagare.
La ricerca introduce un elemento ulteriore che interessa direttamente le realtà più avanzate sul fronte della trasformazione digitale: la crescita esponenziale di identità legate ad AI agent, pipeline di automazione e servizi machine‑to‑machine. Ogni agente che accede autonomamente a sistemi e dati aggiunge rumore alla baseline di comportamento, ostacolando la distinzione fra ciò che è fisiologico da ciò che è malevolo. A velocità di macchina, osserva Vectra, anche i punti ciechi scalano: più automazione significa più attività di accesso, più log, più segnali da correlare in tempi che gli analisti umani non possono realisticamente gestire.
In questo rumore di fondo, gli attaccanti non hackerano un sistema, entrano facendo il login. La ricerca cita recenti incidenti SaaS in cui i cyber criminali hanno sottratto token di autenticazione di integrazioni di terze parti e li hanno usati per creare sessioni valide senza passare da alcun prompt di autenticazione o MFA. Dal punto di vista del sistema tutto appare normale perché le sessioni sono legittime, i permessi sono coerenti con il profilo, i percorsi di accesso sono in linea con quanto consentito dalla configurazione.
Il problema riguarda in modo particolare le identità non umane, ossia gli account usati da applicazioni, servizi di integrazione, script, workload automatizzati e ora anche componenti di AI che agiscono per conto dell’azienda. Questi account godono spesso di privilegi ampi, funzionano senza MFA, operano in modo continuo e raramente vengono sottoposti a monitoraggio comportamentale approfondito. Di conseguenza, rappresentano un bersaglio ideale: se compromessi, offrono agli attaccanti un passaggio privilegiato per spostarsi nell’ambiente senza attivare i tradizionali meccanismi di allerta legati a utenti umani e postazioni endpoint.
Inoltre Vectra mette in luce la natura frammentata dei segnali che potrebbero indicare una compromissione dell’identità. I dati necessari per ricostruire il quadro ci sono, ma sono sparsi tra strumenti e domini diversi: un’anomalia di autenticazione rilevata da una piattaforma, un traffico di rete sospetto intercettato da un’altra, un percorso inconsueto di accesso al cloud registrato da un terzo sistema. Presi singolarmente, questi indizi appaiono a basso rischio e restano sotto la soglia di allarme, soprattutto in assenza di una correlazione capace di aggregare i segnali attraverso i confini tra identità, rete e cloud, che è l’unico modo per riconoscere un attacco in corso.
Vectra sottolinea che la frammentazione è organizzativa, oltre che tecnologica: team diversi gestiscono porzioni differenti della superficie d’attacco, con strumenti e metriche proprie, e raramente dispongono di un linguaggio comune per descrivere i comportamenti anomali che osservano. In questa situazione è facile che un incidente venga interpretato come una serie di deviazioni minori.
Il messaggio finale è che le organizzazioni sono chiamate a ripensare il modo in cui rilevano le compromissioni, mediante un approccio alle identità come entità comportamentali, da osservare nel loro insieme e nel loro movimento.