Le minacce all'identità sono attualmente definite in modo inadeguato e l'approccio difensivo e gli strumenti utilizzati dalla maggior parte dei team SOC sono decisamente insufficienti.
Questo deve cambiare immediatamente.
La maggior parte dei team SOC considera la sicurezza delle identità come una questione di igiene delle identità e di aggiornamento della gestione della postura pre-compromissione. Tuttavia, in questo contesto di espansione delle identità e delle minacce GenAi, una sicurezza completa delle identità richiede anche capacità di rilevamento e risposta post-compromissione basate sull'intelligenza artificiale per difendersi dagli attacchi in corso. Lo sappiamo perché le organizzazioni vengono colte di sorpresa dalle minacce ibride attraverso attacchi basati sulle identità, nonostante dispongano di sistemi di prevenzione degli attacchi alle identità.
Questa sfida è resa ancora più difficile dal fatto che la maggior parte dei team SOC non dispone dello stack tecnologico necessario per ottenere visibilità su tali attacchi all'identità fino a mesi dopo, se mai. In parole povere, se non riesci a vederlo, non puoi fermarlo. È necessaria una nuova comprensione dell'identità, così come un approccio globale al rilevamento e alla risposta.
Una nuova definizione di identità: il centro dell'impresa moderna
L'identità non è più singola o isolata. Una definizione più appropriata è che l'identità è il centro dell'azienda moderna, poiché attraversa cloud locali e cloud , SaaS, PaaS, dati, lavoro remoto e altre superfici e numerosi dispositivi. Sfortunatamente, ciò consente anche ai cybercriminali di lanciare i loro attacchi su superfici ibride su scala industriale. Inoltre, basta una sola identità compromessa perché gli aggressori possano navigare rapidamente in sistemi di rete complessi e rubare dati critici da organizzazioni ovunque, senza nemmeno essere rilevati dalla maggior parte dei team SOC. La realtà è che tutti gli attacchi ibridi alla fine diventano attacchi all'identità.
Tutti gli attacchi ibridi finiscono per diventare attacchi all'identità.
Come facciamo a saperlo?
Perché, nonostante abbiano investito milioni di dollari in strumenti di sicurezza per difendere gli ambienti ibridi, il 90% delle organizzazioni ha subito un attacco all'identità. Inoltre, gli aggressori hanno reso comuni tecniche come phishing e il ransomware-as-a-service, che consentono loro di replicare su larga scala attacchi di successo che coinvolgono le identità.
cloud unificato cloud l'accesso alla rete sono le nuove frontiere della sicurezza delle identità
In passato, l'identità era accessibile solo se un aggressore era già presente nella rete. Si riteneva che firewall, EDR e policy fossero sufficienti a proteggere le identità e costituissero la prima linea di difesa. Oggi non è più così. Le identità sono ormai al di fuori del perimetro e facilmente accessibili al di fuori dell'ambiente di rete tradizionale. Con l'accesso esterno ormai diventato la norma, l'accesso unificato cloud alla rete è diventato la nuova prima linea di difesa.
Gli aggressori hanno bisogno di due cose per avere successo: un'identità e una rete.
In sostanza, agli aggressori bastano due cose per avere successo: un'identità e una rete. Per quanto riguarda l'identità, si tratta di un'opportunità ricca di obiettivi per gli aggressori. Con la rapida espansione del numero di superfici di attacco all'identità, le opportunità di compromissione dell'identità aumentano in modo esponenziale. Ogni utente (clienti, dipendenti, partner e fornitori), dispositivo e account di servizio nel cloud nella rete rappresenta un potenziale vettore di attacco all'identità.
Pertanto, gli aggressori possono abusare di ogni tipo di identità, sia umana che relativa alle macchine, per diffondere i propri attacchi come punto di partenza o per muoversi lateralmente all'interno di un ambiente per accedere a dati sensibili e diffondere ransomware. Inoltre, la miriade di identità delle macchine (come API, bot e account di servizio) pone sfide di difesa uniche. A differenza degli utenti umani, non possono autenticarsi tramite MFA (maggiori informazioni su MFA tra poco).
L'esplosione dell'identità porta con sé enormi punti ciechi nell'identificazione di macchine e servizi
Tuttavia, queste identità macchina hanno accesso a risorse critiche. Secondo Silverfort, il 31% di tutti gli utenti sono account di servizio con privilegi di accesso elevati e bassa visibilità. Inoltre, in media, una singola configurazione errata dell'AD introduce 109 nuovi amministratori ombra, consentendo agli aggressori di reimpostare la password di un amministratore reale.*Rapporto Silverfort Identity Underground
Il 31% di tutti gli utenti sono account di servizio con elevati privilegi di accesso e bassa visibilità.
Inoltre, le aziende hanno più identità da proteggere di quanto il loro team SOC possa immaginare. Secondo il Vectra Identity Calculator, le aziende hanno 3 volte più identità (account macchina/servizio) per ogni dipendente. Ciò significa che le aziende con 1.000 dipendenti hanno almeno 3.000 identità da proteggere. Inoltre, secondo Okta, solo il 64% di questi utenti abilita effettivamente l'autenticazione a più fattori (MFA), il che significa che almeno 1.080 identità (3.000 x (100%-64%)) non sono protette dalla MFA né la utilizzano. È chiaro che il modo in cui concepiamo l'identità e affrontiamo la sicurezza delle identità deve essere più elastico e prevedere una copertura completa.
Inoltre, mentre i gruppi di hacker passano cloud dalle superfici di attacco nella rete a cloud , troppo spesso i team SOC si affidano a strumenti isolati per ciascuna superficie di attacco, aggiungendo ulteriore rumore, una cascata di avvisi e una minore visibilità. Con il rapido aumento delle identità aziendali e la mancanza di visibilità, gli aggressori hanno a disposizione più modi per violare una rete e portare avanti i loro attacchi, mentre i difensori non sono adeguatamente attrezzati per affrontare queste nuove sfide. Di conseguenza, nella stragrande maggioranza dei casi, i team SOC non riescono a prevenire, individuare o bloccare gli attacchi alle identità che penetrano nelle loro reti o rubano i loro dati.
Una superficie di attacco identitaria in espansione aumenta il rischio di minacce
Allo stesso modo, con il progressivo passaggio delle organizzazioni al Cloud, i loro ambienti si estendono su infrastrutture locali, cloud e spazi di lavoro remoti, creando un tessuto sempre più complesso di sistemi interconnessi. Questa espansione offre agli aggressori molteplici nuovi punti di accesso da cui sferrare un attacco. Questo fatto da solo aumenta notevolmente le loro probabilità di successo. Anche un solo punto di accesso compromesso può portare a violazioni significative, poiché gli aggressori passano cloud locale a cloud e viceversa.
L'MFA non è affatto sufficiente, se mai lo è stato.
Per una parte significativa dei team SOC, l'opinione prevalente sulla sicurezza delle identità è: "Abbiamo l'autenticazione a più fattori (MFA), quindi siamo a posto". Come abbiamo visto con le recenti violazioni di alto profilo, l'autenticazione a più fattori non è sufficiente. Il fatto che il 90% delle aziende che hanno subito attacchi alle identità disponesse dell'autenticazione a più fattori lo dimostra in modo inequivocabile.
Il 90% delle aziende che hanno subito attacchi all'identità aveva MFA.
Questo dato è confermato dalla rivelazione di Microsoft all'Ignite nel 2023, secondo cui il 62% di tutti gli utenti attivi mensili non aveva attivato l'autenticazione a più fattori (MFA). Ciò significa che quasi due terzi delle identità di un'organizzazione sono esposte a un rischio molto più elevato di violazione dell'account. Infine, la violazione della catena di fornitura di OKTA alla fine del 2023 ha dimostrato l'insufficienza dell'autenticazione a più fattori (MFA) nella protezione delle identità. Gli aggressori possono facilmente aggirare l'autenticazione a più fattori (MFA) attraverso tecniche di ingegneria sociale o dispositivi compromessi, tra le altre modalità.
Non si tratta tanto di una critica al MFA quanto piuttosto di una constatazione realistica del comportamento umano.
Allo stesso modo, nemmeno le soluzioni EDR sono infallibili. Sono necessarie ma insufficienti, poiché possono trascurare vari e sottili segnali di compromissione dell'identità. Anche gli strumenti di prevenzione delle intrusioni sono utili, ma non perfetti. In breve, in un modo o nell'altro, gli aggressori riusciranno a violare le vostre difese. Secondo una ricerca Vectra AI, il 71% dei professionisti della sicurezza ritiene che la propria organizzazione sia stata violata, ma non sa dove. I team SOC devono potenziare la prevenzione con solide capacità di rilevamento e risposta post-compromissione dell'identità.
Gli aggressori aggireranno l'autenticazione a più fattori (MFA) o l'EDR e violeranno le vostre difese, in un modo o nell'altro.
Il fattore umano e la stanchezza nella sicurezza dell'identità
C'è anche un elemento umano nella sicurezza dell'identità che si riflette nelle statistiche MFA degli utenti di Azure Active Directory menzionate sopra. Si tratta della consapevolezza che, anche quando gli strumenti di sicurezza sono a disposizione dei dipendenti o delle aziende, non sempre vengono utilizzati o implementati in modo corretto o coerente, se non addirittura ignorati. Ciò si manifesta in vari modi, dalla semplice stanchezza delle password alla mancata implementazione o applicazione delle politiche a livello organizzativo. phishing spear phishing ad avere successo in parte a causa della semplice stanchezza umana, della distrazione dovuta al multitasking, dei falsi generati dall'intelligenza artificiale o semplicemente della "vecchia curiosità".
Ma la stanchezza legata alla sicurezza delle identità è anche una strada a doppio senso, che ha un impatto anche sui team SOC. La stanchezza e il burnout degli analisti sono fattori reali e formidabili che ne riducono l'efficacia. Gestire un numero enorme di avvisi, quasi 5.000 al giorno, insieme a noiose attività manuali e troppe ore di straordinario, rende i team sovraccarichi di lavoro, sopraffatti e a corto di personale. Il risultato è un calo di fiducia e competenza nello svolgimento del proprio lavoro e alti tassi di abbandono. Mentre gli aggressori diventano sempre più efficienti nei loro attacchi, i difensori restano sempre più indietro rispetto alla curva delle minacce.
Superficie di attacco GenAI: esposizione dell'identità in aumento esponenziale
Infine, la rapida adozione e integrazione di strumenti GenAI come Microsoft Copilot negli ambienti aziendali sta già creando nuove superfici di attacco altamente accessibili. Anche se gli strumenti basati sull'intelligenza artificiale hanno lo scopo di semplificare le operazioni, sono obiettivi primari per gli attacchi all'identità perché i modelli linguistici di grandi dimensioni (LLM) che li alimentano hanno accesso ai dati aziendali proprietari. Con una sola violazione, gli aggressori ottengono lo stesso vantaggio basato sull'IA, utilizzando le capacità di IA di livello aziendale contro l'azienda stessa, sfruttando le identità per diffondere i loro attacchi alla velocità e su scala dell'IA.
A complicare ulteriormente le cose, senza una soluzione di rilevamento e risposta delle identità post-compromissione che applichi l'analisi comportamentale alla velocità dell'IA, i team SOC hanno poca o nessuna visibilità sulle informazioni che uno strumento basato su IA-Chat come Copilot restituisce all'autore dell'attacco. Ciò aggiunge ulteriore latenza al rilevamento e alla risposta rispetto a quella già esistente. I team SOC devono essere in grado di sfruttare soluzioni di rilevamento e monitoraggio con velocità e capacità basate sull'intelligenza artificiale per impedire e bloccare gli aggressori dall'abusare delle identità attraverso strumenti GenAI e dall'accedere a dati e informazioni sensibili.
La definizione convenzionale di sicurezza dell'identità, che consiste nell'utilizzo di credenziali e MFA, non è più valida né utilizzabile, poiché è in ritardo rispetto alla realtà dell'espansione della superficie ibrida, dell'insufficienza dell'MFA, della produzione di massa di identità macchina e della ripida curva delle minacce guidata dall'intelligenza artificiale.
Il risultato finale è che le capacità di attacco basate sulla GenAI di una violazione Copilot aumentano l'esposizione della tua identità in modo esponenziale.
Quanto è grave il rischio che la compromissione dell'identità comporta per le organizzazioni?
Circa il 98% delle organizzazioni sta assistendo a una rapida espansione del numero di identità che deve proteggere, ma non è in grado di farlo, quindi è difficile sopravvalutare la sfida. Inoltre, secondo l'ISDA, l'84% delle organizzazioni ha subito un impatto diretto sul proprio business a causa di una violazione dell'identità. La proliferazione delle identità è un fenomeno in atto e destinato a durare. Non c'è da stupirsi che il 90% delle organizzazioni subisca una violazione dell'identità. La compromissione dell'identità sta diventando sempre più facile e fornisce agli aggressori le chiavi del vostro regno di dati.
Ecco perché è sorprendente che il 62% dei team SOC non abbia alcuna visibilità sulle identità umane o macchine che hanno accesso a dati o risorse sensibili delle loro organizzazioni. In altre parole, la stragrande maggioranza delle organizzazioni non è in grado di proteggere le proprie risorse critiche dagli attacchi basati sull'identità e non è nemmeno in grado di vedere quando un'identità viene o è stata oggetto di abuso.
Cosa è più importante: l'aggressore che potrebbe entrare... o quello che è già dentro?
Come già detto, il 71% degli analisti SOC ritiene che i propri sistemi siano già stati compromessi, solo che ancora non lo sanno. Certamente, un approccio preventivo e una buona igiene informatica sono fondamentali per una sicurezza basata sull'identità. Tuttavia, con l'arrivo di nuovi utenti, dispositivi, sistemi e carichi di lavoro, è una lotta senza fine per colmare nuove lacune e modificare ulteriori configurazioni. Per non parlare delle configurazioni errate che derivano dall'automazione o dai cambiamenti di sistema dovuti ad attività di fusione e acquisizione.
Nonostante i vostri migliori sforzi, agli aggressori basta una sola apertura per avanzare in un ambiente. Poiché gli aggressori continuano ad accelerare la velocità dei loro attacchi, i team di sicurezza dovrebbero dare priorità agli investimenti nella rilevazione delle minacce post-compromissione per fermare il prima possibile gli aggressori che si sono già infiltrati nel vostro ambiente, prima che si verifichino danni.
Tutte le organizzazioni devono mantenere il controllo sulla sicurezza delle identità, il che inizia con il riconoscimento delle nuove realtà della sicurezza delle identità in un ambiente caratterizzato dall'espansione delle identità e dalle minacce GenAI. Richiede inoltre un approccio equilibrato che includa l'ottimizzazione dell'igiene delle identità e della gestione della postura, nonché il rilevamento e la risposta alle identità compromesse. Si raccomanda inoltre un'analisi del divario di esposizione.
Vectra Identity Threat Detection and Response (ITDR) rileva i cambiamenti nella postura di sicurezza e fornisce rilevamento e risposta alle violazioni dell'identità alla velocità e su scala dell'intelligenza artificiale, in modo che il vostro team possa individuare e bloccare le violazioni dell'identità prima che si verifichino danni.