▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

L'identità digitale: oggetto e vettore di attacco per l'eCrime

La maggior parte delle intrusioni parte da un elemento comune: la violazione di una identità digitale. I dati del CrowdStrike 2023 Threat Hunting Report.

Tecnologie/Scenari

Le tecniche di attacco più usate dall'eCrime mettono al centro dell'attenzione il ruolo chiave delle identità digitali. Con la scomparsa del perimetro di rete da proteggere, sono queste il punto chiave delle strategie di attacco e quindi anche di quelle di difesa. È in sintesi questo uno dei messaggi più importanti che si traggono dal CrowdStrike 2023 Threat Hunting Report: tutto quello che contribuisce alla gestione delle identità digitali e in particolare degli account di rete è un potenziale bersaglio o canale di attacco.

Ne è un esempio il boom degli attacchi Kerberoasting (+583% anno su anno) che cercano di violare il funzionamento del protocollo Kerberos nelle reti Windows. Una forma di attacco ormai ben nota, ma efficace. Il successo del Kerberoasting è sintomo pealtro di un trend importante: violare una identità non è più solamente sottrarre in qualche modo al legittimo proprietario una coppia username/password. Coppie smartcard-PIN, certificati Active Directory, API di autenticazione, identity provider, dati biometrici, token hardware... l'identità digitale ha molti volti, tutti potenzialmente violabili.

E non tutti i sistemi, le piattaforme e i software che sono in qualche modo collegati a identità digitali sono protetti allo stesso modo. CrowdStrike cita ad esempio le applicazioni di produttività, troppo spesso ai margini delle reti e non coperte dalla sicurezza infrastrutturale. Oppure anche i software di identificazione e autenticazione di terze parti, non abbastanza solidi.

Storicamente, d'altronde, CrowdStrike ha sempre sottolineato che per gestire bene la cybersecurity bisogna partire da chi vuole violarla, non solo e non tanto dalle singole minacce. "We told the world they don’t have a malware problem, they have an adversary problem" è la frase con cui CrowdStrike sintetizza spesso buona parte del suo approccio alla gestione della sicurezza: non è una questione di malware ma di avversari.

Un approccio che per CrowdStrike è indispensabile, anche considerato come - e soprattutto quanto velocemente - si muovono coloro che cercano di introdursi nei sistemi e nelle reti delle imprese. Il CrowdStrike 2023 Threat Hunting Report indica, ad esempio, che il tempo medio necessario per una intrusione è sceso a 79 minuti. Questo è il tempo medio, poi ci sono casi in cui violare una rete richiede molto meno, giusto qualche minuto.

In uno scenario così pericolosamente dinamico, la difesa è una attività che richiede strumenti, competenze e risorse che devono essere attivi 24 ore su 24. E anche per questo in CrowdStrike è nata di recente la "defensive unit" Counter Adversary Operations. la quale - nelle parole di Adam Meyers, che lo guida - "non solo riunisce le migliori conoscenze e competenze disponibili sugli avversari a livello globale (...) ma le mette rapidamente a disposizione degli esperti in prima linea nella difesa dalle minacce moderne".

Attacchi in crescita

Lo scenario delineato dal CrowdStrike 2023 Threat Hunting Report è d'altronde abbastanza chiaro: i criminali informatici stanno costantemente cercando nuovi modi per ampliare il loro raggio d'azione, ottimizzare le loro operazioni e avere il maggiore impatto possibile.Fonte: Crowdstrike

CrowdStrike ha rilevato un aumento del 40% nel volume delle intrusioni, tra il 2023 e il 2022. Intrusioni che nella regione EMEA hanno interessato in prevalenza, per la loro frequenza, le realtà dei settori Tecnologia, Finanza, Telecomunicazioni, PA, Retail (CrowdStrike considera in questa sua analisi le intrusioni "interattive", cioè quelle in cui l'attaccante opera direttamente, non quelle portate avanti attraverso bot e attacchi automatici).

Altro elemento da considerare: se è vero che il crimine informatico è un ecosistema in cui threat actor diversi hanno strategie e obiettivi propri, è ormai evidente che l'eCrime è, sensibilmente più degli attori state-sponsored, quello più in grado e più portato ad operare a tutto campo. Non ci sono settori che ignora, anche se preferisce fare caccia grossa - "big game hunting" - colpendo i bersagli più importanti e remunerativi.

Il fatto che tutte le imprese stiano aumentando il numero dei servizi cloud che utilizzano non è certo sfuggito alla criminalità digitale. Anzi, dato che la gran parte delle aziende non gestisce la cloud security altrettanto bene della sicurezza on-premise, il cloud è una opportunità per l'eCrime. Tanto che i "cattivi" stanno diventando esperti delle tecnologie e dei sistemi cloud sensibilmente migliori dei "buoni".

Le analisi di CrowdStrike confermano come i criminali siano ormai "cloud conscious" e ben in grado, ad esempio, di sfruttare configurazioni errate degli ambienti cloud, sottrarre credenziali dei servizi nelle nuvole, usare tool specifici per penetrare nei sistemi cloud. Tutto quello che l'eCrime può fare per l'on-premise si può adattare al cloud, con in più il vantaggio che il personale interno delle aziende è mediamente meno esperto e preparato.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato
Iscriviti alla nostra Newsletter Gratuita. Iscriviti
GoogleNews Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Speciale iperautomazione

Speciale

Speciale Backup e Resilienza 2025

Speciale

Speciale OT Security

Speciale

2025 obiettivo cybersecurity

Speciale

Previsioni per la cybersecurity del 2025

Calendario Tutto

Lug 15
Business Meeting HP | Diventa HP Extended Partner & HP Ecosystem
Lug 15
Networking on OCI: Dietro le Quinte della Rete Cloud
Lug 15
HPE TSC - Le ultime novità HPE per il tuo business a valore aggiunto
Lug 15
Cisco 360 Level Up:la transizione guidata da TD SYNNEX
Lug 16
NetApp Hybrid Cloud Associate Workshop
Lug 17
Ready Informatica Webinar | Cove Data Protection di N-able – Il tuo backup è ancorato al passato?
Lug 18
Ready Informatica Training Online | Cove Data Protection di N-able
Lug 23
Ready Informatica Training Tecnico Avanzato | Parallels RAS
Lug 23
Webinar - Selezione del personale: Un caso pratico HR con DocuWare

Ultime notizie Tutto

Patch Tuesday di luglio 2025: chiuse 137 falle, una Zero Day

Microsoft risolve 137 falle di sicurezza nel Patch Tuesday di luglio, tra cui una Zero Day su SQL Server e gravi vulnerabilità in Windows e SharePoint.

09-07-2025

AI agent e automazione no-code: la nuova era dei SOC

Agentic AI e automazione no-code: i SOC stanno cambiando faccia. Ecco come workflow intelligenti, integrazioni dinamiche e nuovi standard possono ridefinire l’incident response e il ruolo degli analisti.

09-07-2025

Acronis, come semplificare il lavoro di MSP e team IT con il patch management

Umberto Zanatta, Senior Solutions Engineer di Acronis, approfondisce come l’automazione del patch management possa semplificare le attività quotidiane, migliorare l’efficienza e assicurare una maggiore aderenza ai requisiti normativi, anche in ambienti IT complessi e distribuiti

08-07-2025

La rivoluzione quantistica nella cybersecurity: sfide e soluzioni

La rivoluzione del quantum computing mette a rischio la crittografia attuale: Umberto Pirovano di Palo Alto Networks spiega rischi, tempistiche e soluzioni post-quantum.

07-07-2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

www.securityopenlab.it - 8.3.21 - 4.6.1