Colmare il divario di visibilità per Azure AD e le applicazioni SaaS federate
Microsoft Azure AD è leader nella gestione degli accessi e delle identità cloud e fornisce un single sign-on federato per i lavoratori remoti nelle applicazioni SaaS e aziendali più importanti. Azure AD è anche la soluzione integrata per la gestione delle identità in Office 365, motivo per cui ha una così ampia penetrazione nel mercato.
Quando la pandemia ha costretto la forza lavoro di tutto il mondo a passare al lavoro da remoto, l'adozione di Azure AD è esplosa, raggiungendo 425 milioni di utenti attivi entro la fine del 2020. Così come le aziende hanno adottato Azure AD per un sign-on semplificato e un accesso sicuro alle applicazioni cloud e all'intero ecosistema Office 365, anche gli aggressori si sono resi conto del valore che Azure AD offriva alle organizzazioni e vi hanno concentrato i loro sforzi.
Cosa rende Azure AD prezioso?
La compromissione di un singolo account di Azure AD consente a un utente malintenzionato di accedere a un'ampia quantità di dati su più applicazioni SaaS, tra cui Microsoft Office 365. Questo singolo punto di attacco ha reso fondamentale per le organizzazioni essere in grado di rilevare e rispondere agli attacchi da Azure AD per fermare queste compromissioni prima che gli attacchi possano raggiungere altre applicazioni e causare danni.
Le migliori pratiche per proteggere questi account critici di Azure AD sono state l'autenticazione multi-fattore (MFA), l'accesso senza password e le regole di accesso basate sulla posizione. Questi tipi di misure preventive, tuttavia, non sono sufficienti a scoraggiare gli aggressori e a garantire la protezione dei dati. Gli aggressori moderni hanno troppi modi per aggirare i controlli preventivi con tecniche come l'abuso di credenziali stay signed-on, la forzatura brutale delle credenziali laddove non è possibile applicare l'MFA, l'inganno degli utenti nell'installazione di applicazioni OAuth controllate dagli aggressori, lo sfruttamento delle vulnerabilità in WS-Trust e la falsificazione dei propri ticket con unattacco"Golden SAML".
Gli attacchi "Golden SAML" e la capacità degli aggressori di eludere le misure preventive sono stati al centro della violazione di SolarWinds, nota anche come Sunburst o Solorigate. Gli aggressori sono stati in grado di falsificare i propri ticket, eludendo l'MFA e consentendo loro di creare persistenza nell'ambiente Azure AD e di accedere a preziose applicazioni SaaS.
L'enorme impatto che gli aggressori possono avere quando aggirano le misure preventive, come nel caso dell'attacco di SolarWinds, è il motivo per cui Vectra ha creato Detect per O365 e Azure AD.
Rilevare il comportamento degli aggressori con l'intelligenza artificiale
Utilizzando l'intelligenza artificiale per analizzare le modalità di utilizzo degli account, Detect for Office 365 fornisce un rilevamento profondo degli attacchi basato sul comportamento, individua i comportamenti di attacco in Azure AD e consente alle organizzazioni di rilevare e bloccare le acquisizioni di account prima che un aggressore possa accedere alle applicazioni SaaS.
L'approccio basato sul comportamento di Vectra è stato in grado di segnalare tutte le tecniche sfruttate nell' attacco di SolarWinds senza bisogno di firme o aggiornamenti dei modelli esistenti. L'allerta comportamentale su istanze come la creazione di canali di accesso ridondanti e l'abuso di operazioni Azure privilegiate consente a Vectra di avvisare sulle azioni degli aggressori in ogni fase del processo.
Vectra offre una profonda copertura comportamentale di SolarWinds, dei futuri attacchi alla supply chain e delle applicazioni SaaS, con oltre dieci rilevamenti unici di Azure AD e più di 20 modelli di rilevamento specifici per Office 365. Gli eventi non vengono mai considerati in modo isolato, ma vengono correlati contestualmente per garantire una prioritizzazione efficiente ed efficace delle azioni degli aggressori.
Il passaggio a framework zero-trust per l'accesso non farà che accrescere l'importanza di Azure AD e la necessità di avere visibilità su Azure AD per un rilevamento e una risposta efficaci.
Per saperne di più su come Vectra rileva e blocca gli attacchi simili a SolarWinds, leggete la nostra ricerca sull'attacco.
