Campagne di alto profilo (come le massicce botnet che hanno preso di mira Microsoft 365 e l'attacco Mango Sandstorm ) dimostrano la portata e la sofisticatezza delle moderne minacce basate sulle credenziali. Questi incidenti evidenziano come gli aggressori non si affidino più all'hacking di forza bruta, ma stiano invece orchestrando sforzi coordinati che sfruttano le credenziali rubate per ottenere l'accesso.
Una tendenza degna di nota è l'uso di accessi non interattivi per aggirare gli avvisi di sicurezza convenzionali. Prendendo di mira i processi di autenticazione automatizzati, comunemente utilizzati per gli account di servizio, gli aggressori possono evitare i trigger attivati dall'autenticazione a più fattori e dalle politiche di accesso condizionale. Questo metodo sottile consente l'accesso non autorizzato senza i consueti segnali di allarme che avvisano i team di sicurezza.
Gli aggressori utilizzano sempre più spesso dispositivi compromessi per eseguire questi accessi non interattivi. La natura distribuita delle grandi botnet consente agli autori delle minacce di condurre attacchi di password spraying su larga scala, in cui ogni dispositivo compromesso svolge un ruolo nel testare le credenziali rubate. Questa strategia riduce al minimo il rischio di rilevamento e mette in difficoltà i controlli di sicurezza tradizionali a causa dell'enorme volume di tentativi di accesso.
Inoltre, le informazioni raccolte sull'infrastruttura rivelano che queste operazioni si basano su solide configurazioni di comando e controllo (che spesso sfruttano reti distribuite a livello globale, come i server C2 con sede negli Stati Uniti). Ciò migliora la resilienza operativa degli aggressori e sottolinea la necessità di monitorare sia i percorsi di autenticazione che l'infrastruttura sottostante che supporta questi attacchi furtivi.
Perché le protezioni di autenticazione tradizionali sono insufficienti
Le password rimangono un punto di accesso comune per gli hacker, ma i meccanismi progettati per proteggerle possono essere aggirati quando funzionano in modi inaspettati. Gli hacker ora sfruttano gli accessi non interattivi (processi di autenticazione automatizzati utilizzati per gli account di servizio) per aggirare i tradizionali controlli di autenticazione a più fattori. Questo metodo consente alle attività dannose di continuare senza essere rilevate, anche in sistemi che sembrano sicuri.
Per contrastare queste vulnerabilità emergenti, è essenziale comprendere come si sono evolute le tecniche di password spraying, perché concentrarsi esclusivamente sulla protezione dell'accesso interattivo non è sufficiente e quali misure tecniche possono garantire la sicurezza di ogni aspetto dell'autenticazione dell'identità.
Le vulnerabilità dell'autenticazione a più fattori (MFA) in ambienti non interattivi
Lacune nell'efficacia dell'MFA
L'autenticazione multifattoriale (MFA) è molto efficace per proteggere gli accessi interattivi, in cui gli utenti inseriscono attivamente le credenziali e superano ulteriori passaggi di verifica. Tuttavia, l'autenticazione MFA risulta insufficiente quando si tratta di autenticazione non interattiva, da servizio a servizio.
I protocolli legacy, come l'autenticazione di base, rimangono particolarmente vulnerabili in questo contesto, poiché spesso non supportano né attivano le verifiche MFA. Ciò crea una lacuna significativa in ambienti che altrimenti potrebbero sembrare sicuri, consentendo ai processi automatizzati e agli account di servizio di operare con una supervisione minima.
Conseguenze dei sign-in trascurati
I rischi associati agli accessi non interattivi vanno oltre il semplice accesso non autorizzato. Una volta ottenuto l'accesso, gli aggressori possono muoversi lateralmente all'interno della rete, rubare credenziali e mantenere una presenza persistente senza essere rilevati. Queste violazioni spesso passano inosservate perché aggirano gli avvisi tradizionali progettati per le sessioni interattive.
Esempi recenti nel settore, come il massiccio attacco botnet a Microsoft 365, sottolineano l'inadeguatezza di affidarsi esclusivamente a misure preventive.
È invece essenziale un approccio globale che includa un monitoraggio e un rilevamento efficaci di tutti i percorsi di autenticazione per mitigare queste minacce in continua evoluzione.
Rafforzare la sicurezza dell'identità con un sistema ibrido di rilevamento e risposta
Approccio Una solida strategia ibrida di rilevamento e risposta delle identità combina controlli preventivi e monitoraggio proattivo. Attraverso la revisione continua dei registri di accesso non interattivi, la rotazione regolare delle credenziali e la disabilitazione dei protocolli legacy vulnerabili, le organizzazioni possono stabilire più livelli di difesa. Questo approccio non solo blocca i tentativi di accesso non autorizzati, ma garantisce anche il rilevamento e la risposta in tempo reale alle anomalie, proteggendo ogni percorso di autenticazione.
Colmare il divario nella rilevazione con l'IA
Le analisi avanzate basate sull'intelligenza artificiale svolgono un ruolo fondamentale nell'individuare sottili irregolarità che spesso sfuggono agli strumenti di sicurezza tradizionali. Il nostro recente ebook, Colmare le lacune di Microsoft in materia di rilevamento, indagine e risposta alle minacce con Vectra AI, illustra come le simulazioni di attacchi reali rivelino che gli aggressori si limitano ad accedere con credenziali rubate invece di "hackerare" il sistema.
Queste simulazioni evidenziano i rischi posti dagli accessi non interattivi, in cui si verificano movimenti laterali, furti di credenziali e violazioni non rilevate. Le informazioni raccolte sottolineano che, senza un monitoraggio continuo e informazioni sulle minacce, le organizzazioni rimangono vulnerabili nonostante l'uso di un sistema MFA robusto per gli accessi interattivi.
Colmare le lacune con la Vectra AI
Vectra AI è stata appositamente progettata per mitigare le vulnerabilità unendo il rilevamento basato sull'intelligenza artificiale alla ricerca proattiva delle minacce. Monitora continuamente i registri di autenticazione, individuando anomalie sottili e attivando avvisi in tempo reale che consentono ai team di sicurezza di intervenire prima che il movimento laterale o l'uso improprio delle credenziali si aggravino. Anche gli ambienti protetti con MFA per le sessioni interattive possono rimanere esposti a causa delle vulnerabilità degli account di servizio.
Ad esempio, in uno scenario di attacco Midnight Blizzard (come illustrato nel grafico sottostante), Vectra rileva comportamenti dannosi in ogni fase della kill chain, dallo spraying delle password con credenziali compromesse all'escalation dei privilegi non autorizzata. Vectra monitora attentamente e innova continuamente per stare al passo con queste tecniche di attacco in continua evoluzione in segni non interattivi.
Chiudere il cerchio sulle vulnerabilità
Gli aggressori stanno sfruttando gli accessi non interattivi per aggirare le difese convenzionali, rendendo molti sistemi vulnerabili nonostante l'autenticazione a più fattori (MFA). L'adozione di una strategia ibrida di rilevamento e risposta che sfrutta analisi avanzate e ricerca proattiva delle minacce è fondamentale per proteggere ogni canale di autenticazione.
Vectra AI nel rilevare gli attacchi basati sull'identità, anche dopo che gli aggressori sono riusciti a eludere i controlli preventivi come l'autenticazione a più fattori (MFA). Questo punto di forza è stato riconosciuto nel GigaOm Radar per l'identificazione e la risposta alle minacce all'identità (ITDR), dove Vectra AI nominata sia Leader che Outperformer per la sua capacità di bloccare gli attacchi basati sull'identità dopo la compromissione, con una copertura completa sia delle identità umane che non umane.
Scopri come la Vectra AI può rafforzare le tue difese. Prenota oggi stesso una demo per saperne di più sulla protezione completa Vectra AI.