Negli ultimi anni gli attacchi ransomware sono raddoppiati e rappresentano il 10% delle minacce. Nell’82% dei casi, come sostiene il Verizon Data Breach Investigation Report del 2022, è l’”elemento umano” la causa delle violazioni. Gli attaccanti tentano costantemente di accedere a credenziali valide e di utilizzarle per muoversi nelle reti aziendali senza essere scoperti. Per questo motivo la sicurezza delle identità è una delle priorità dei CISO.

Le soluzioni tradizionali per la protezione delle identità sono troppo deboli

Le soluzioni tradizionali per la sicurezza delle identità come Identity and Access Management (IAM), Privileged Access Management (PAM) e Identity Governance and Administration (IGA) assicurano che gli utenti autorizzati abbiano gli accessi corretti e utilizzano la verifica continua, principi guida del modello di sicurezza zero trust.

Tuttavia, concentrarsi esclusivamente sul provisioning, la connessione e il controllo dell'accesso alle identità, è solo il punto di partenza per la sicurezza delle identità. Per una copertura migliore è necessario andare oltre l'autenticazione iniziale e il controllo degli accessi e considerare ulteriori aspetti dell'identità come credenziali, privilegi, diritti e sistemi che li gestiscono, dalla visibilità alle esposizioni, fino al rilevamento degli attacchi.

Marco Rottigni, Technical Director di SentinelOne

Dal punto di vista degli hacker, l’Active Directory (AD) è una risorsa chiave: è il luogo in cui si trovano le identità e i relativi elementi principali. Anche le migrazioni del cloud sono un terreno fertile per gli attacchi. Quando le vulnerabilità dell'AD si combinano con la tendenza alla configurazione errata in cloud, la necessità di un ulteriore livello di protezione oltre al provisioning e alla gestione degli accessi diventa più urgente.

La sicurezza dell'identità con una nuova chiave di lettura

Le moderne e innovative soluzioni per la sicurezza delle identità forniscono una visibilità essenziale sulle credenziali memorizzate negli endpoint, sulle errate configurazioni di AD e sulla diffusione dei diritti in cloud. Identity Attack Surface Management (ID ASM) e Identity Threat Detection and Response (ITDR) sono nuove metodologie di sicurezza progettate per proteggere le identità e i sistemi che le gestiscono. Queste soluzioni integrano e funzionano insieme a Endpoint Detection and Response (EDR), Extended Detection and Response (XDR), Network Detection and Response (NDR) e altre simili.

ID ASM cerca di ridurre la superficie di attacco dell'identità per limitare le esposizioni per gli attaccanti: minori sono le esposizioni, minore è la superficie di attacco per le identità. Per la maggior parte delle aziende, questo implica l’adozione di Active Directory, sia in sede che in ambiente Azure. Mentre l'EDR è una soluzione robusta che cerca gli attacchi sugli endpoint e raccoglie dati per l'analisi, le soluzioni ITDR cercano gli attacchi mirati alle identità. Una volta che una soluzione ITDR rileva un attacco, aggiunge un livello di difesa fornendo dati falsi che reindirizzano l'attaccante verso un'esca dall'aspetto autentico e isolano automaticamente il sistema compromesso che sta effettuando la query.

Le soluzioni ITDR forniscono assistenza nella risposta agli incidenti, raccogliendo dati forensi e telemetria sui processi utilizzati negli attacchi. La complementarità di EDR e ITDR consente di raggiungere un obiettivo comune: vanificare gli sforzi degli avversari.

Le soluzioni ID ASM e ITDR permettono di rilevare l'uso improprio delle credenziali, l'escalation dei privilegi e altre tattiche che gli attaccanti sfruttano o mettono in atto all'interno della rete. Colmano le lacune critiche tra la gestione degli accessi alle identità e le soluzioni di sicurezza degli endpoint, bloccando i tentativi dei cybercriminali di sfruttare le credenziali vulnerabili per muoversi attraverso le reti senza essere scoperti.

Soluzioni di sicurezza contro le minacce all'identità

SentinelOne sopperisce a queste problematiche sfruttando la profonda esperienza nel rilevamento dei ‘lateral movement’ e offrendo soluzioni negli spazi di Identity Threat Detection and Response e ID ASM come:

• Ranger AD per la valutazione continua delle esposizioni e delle attività di Active Directory che potrebbero indicare un attacco.
• Singularity Identity per il rilevamento di attività e attacchi non autorizzati su Active Directory, la protezione contro il furto e l'abuso di credenziali, la prevenzione dello sfruttamento di Active Directory, la visibilità dei percorsi di attacco, la riduzione della superficie di attacco e il rilevamento dei lateral movement.

Con l'aumento degli attacchi basati sulle identità, le aziende moderne devono poter rilevare quando gli attaccanti sfruttano, usano impropriamente o rubano le identità aziendali. Questa esigenza è particolarmente sentita quando le imprese adottano il public cloud mentre le identità personali e non continuano a crescere in modo esponenziale.

Data la tendenza degli attaccanti a utilizzare in modo improprio le credenziali, a sfruttare AD e a prendere di mira le identità attraverso l'abilitazione al cloud, è fondamentale rilevare le attività basate sulle identità con le moderne soluzioni ID ASM e ITDR.

Marco Rottigni è Technical Director di SentinelOne