Il modo in cui vengono attualmente definite le minacce all'identità e l'approccio e gli strumenti di difesa utilizzati dalla maggior parte dei team SOC sono tristemente insufficienti.
Questo deve cambiare immediatamente.
La maggior parte dei team SOC considera la sicurezza dell'identità come la correzione dell'igiene dell'identità e l'aggiornamento della gestione della postura pre-compromissione. Ma in questo ambiente in espansione di identità e minacce GenAi, una sicurezza delle identità completa richiede anche capacità di rilevamento e risposta post-compromissione guidate dall'intelligenza artificiale per difendersi dagli attacchi in corso. Lo sappiamo perché le organizzazioni vengono colpite alla sprovvista da attacchi basati sull'identità in tutte le loro superfici di minaccia ibride, nonostante la prevenzione degli attacchi all'identità.
Questa sfida è resa ancora più difficile dal fatto che la maggior parte dei team SOC non dispone dello stack tecnologico per ottenere visibilità su tali attacchi di identità fino a mesi dopo, se non addirittura mai. In parole povere, se non lo si vede, non lo si può fermare. È necessaria una nuova comprensione dell'identità e un approccio completo al rilevamento e alla risposta.
Una nuova definizione di identità: il centro dell'impresa moderna
L'identità non è più un concetto singolare o chiuso. Una definizione più appropriata è che l'identità è il centro dell'azienda moderna, in quanto attraversa le reti on-premises e cloud , SaaS, PaaS, i dati, il lavoro remoto e altre superfici e numerosi dispositivi. Sfortunatamente, consente anche ai cyber-attaccanti di sferrare i loro attacchi attraverso superfici ibride su scala industriale. Inoltre, basta un'identità compromessa perché gli aggressori possano navigare rapidamente in sistemi di rete complessi e rubare dati critici da organizzazioni di tutto il mondo, senza essere rilevati dalla maggior parte dei team SOC. La realtà è che tutti gli attacchi ibridi finiscono per diventare attacchi di identità.
Tutti gli attacchi ibridi finiscono per diventare attacchi di identità.
Come lo sappiamo?
Infatti, nonostante l'investimento di milioni di dollari in strumenti di sicurezza per la difesa degli ambienti ibridi, il 90% delle organizzazioni ha subito un attacco alle identità. Inoltre, gli aggressori hanno reso comuni tecniche come il phishing e il ransomware-as-service, consentendo loro di replicare attacchi di successo che coinvolgono le identità su larga scala.
L'accesso unificato cloud e alla rete sono i nuovi fronti della sicurezza delle identità
In passato l'identità era accessibile solo se un attaccante era già presente nella rete. Si pensava che firewall, EDR e policy fossero sufficienti a proteggere le identità e che fossero in prima linea per la difesa delle identità. Oggi non è più così. Oggi le identità si trovano oltre il perimetro e sono facilmente accessibili al di fuori dell'ambiente di rete tradizionale. Con l'accesso esterno divenuto ormai la norma, il cloud unificato e l'accesso alla rete sono diventati i nuovi fronti di difesa.
Gli aggressori hanno bisogno di due cose per avere successo: un'identità e una rete.
In sostanza, gli aggressori hanno bisogno di due sole cose per avere successo: un'identità e una rete. Per quanto riguarda l'identità, si tratta di un'opportunità ricca di bersagli per gli aggressori. Con la rapida espansione del numero di superfici di attacco all'identità, le opportunità di compromissione dell'identità aumentano in modo esponenziale. Ogni utente (clienti, dipendenti, partner e fornitori), dispositivo e account di servizio nel cloud e nella rete rappresenta un potenziale vettore di attacco all'identità.
Pertanto, gli aggressori possono abusare di ogni tipo di identità, sia umana che di macchina, per diffondere i loro attacchi come punto di partenza o per muoversi lateralmente all'interno di un ambiente per accedere a dati sensibili e diffondere ransomware. Inoltre, la miriade di identità delle macchine (come API, bot e account di servizio) pone sfide di difesa uniche. A differenza degli utenti umani, non possono autenticarsi tramite MFA (per maggiori informazioni sull'MFA, si veda tra poco).
L'esplosione dell'identità porta con sé enormi punti ciechi per l'identità delle macchine e dei servizi
Eppure, queste identità macchina hanno accesso a risorse critiche. Secondo Silverfort, il 31% di tutti gli utenti sono account di servizio con privilegi di accesso elevati e scarsa visibilità. Inoltre, in media, 109 nuovi amministratori ombra vengono introdotti da una singola configurazione errata dell'AD, consentendo agli aggressori di resettare la password di un vero amministratore. *Rapporto SilverfortIdentity Underground
31% di tutti gli utenti sono account di servizio con privilegi di accesso elevati e scarsa visibilità.
Inoltre, le aziende hanno più identità da proteggere di quanto il loro team SOC possa immaginare. Secondo il Vectra Identity Calculator, le aziende hanno 3X identità (account di macchine/servizi) per ogni dipendente. Ciò significa che le aziende con 1.000 dipendenti hanno almeno 3.000 identità da proteggere. Inoltre, secondo Okta, solo il 64% di questi utenti abilita effettivamente l'MFA, con il risultato che almeno 1.080 identità (3.000 x (100%-64%) non sono protette dall'MFA o non lo utilizzano. È chiaro che il modo in cui pensiamo all'identità e affrontiamo la sicurezza dell'identità deve essere più elastico e prevedere una copertura completa.
Inoltre, mentre i gruppi di aggressori si spostano a piacimento tra le superfici di attacco nella rete e nel cloud , troppo spesso i team SOC si affidano a strumenti isolati per ciascuna superficie di attacco, aggiungendo ulteriore rumore, una cascata di avvisi e una minore visibilità. Con il rapido aumento delle identità aziendali e la mancanza di visibilità, gli aggressori ottengono più modi per violare una rete e portare avanti i loro attacchi, mentre i difensori non sono attrezzati per affrontare queste nuove sfide. Di conseguenza, nella stragrande maggioranza dei casi, i team SOC non riescono a prevenire, vedere o impedire che gli attacchi alle identità entrino nelle loro reti o rubino i loro dati.
Una superficie di attacco dell'identità in espansione aumenta il rischio di minacce
Allo stesso modo, mentre le organizzazioni continuano a migrare verso il Cloud, i loro ambienti comprendono infrastrutture on-premise, servizi cloud e spazi di lavoro remoti, creando un tessuto sempre più complesso di sistemi interconnessi. Questa espansione offre agli aggressori molteplici nuovi punti di ingresso per iniziare un attacco. Questo fatto da solo aumenta notevolmente le probabilità di successo. Anche un solo punto di accesso compromesso può portare a violazioni significative, poiché gli aggressori si muovono tra ambienti on-premise e cloud .
Il master non è abbastanza, se mai lo è stato.
Per una parte significativa dei team SOC, la visione prevalente della sicurezza delle identità è quella di "Abbiamo l'MFA, quindi siamo a posto". Come abbiamo visto con le recenti violazioni di alto profilo, l'MFA non è sufficiente. Il fatto che il 90% delle aziende che hanno subito attacchi all'identità disponeva dell'MFA lo dimostra senza mezzi termini.
Il 90% delle imprese che subiscono attacchi all'identità aveva MFA in atto.
Questo fatto è confermato dalla rivelazione di Microsoft all'Ignite del 2023, che ha rivelato che il 62% di tutti gli utenti attivi mensili non ha attivato l'MFA. Ciò significa che quasi due terzi delle identità di un'organizzazione sono a rischio molto più elevato di violazione degli account. Infine, la violazione della catena di fornitura OKTA alla fine del 2023 ha dimostrato l'insufficienza dell'MFA nella protezione delle identità. Gli aggressori possono facilmente aggirare l'MFA attraverso l'ingegneria sociale o dispositivi compromessi, tra gli altri modi.
Non si tratta tanto di una critica all'AMF quanto di una verifica della realtà del comportamento umano.
Allo stesso modo, nemmeno le soluzioni EDR sono a prova di bomba. Sono necessarie ma insufficienti, poiché possono non cogliere vari e sottili segnali di compromissione dell'identità. Anche gli strumenti di prevenzione delle intrusioni sono utili, ma non perfetti. In breve, in un modo o nell'altro, gli aggressori violeranno le vostre difese. Secondo una ricerca di Vectra AI, il 71% dei professionisti della sicurezza ritiene che la propria organizzazione sia stata violata, ma non sa dove. I team SOC devono integrare la prevenzione con solide capacità di rilevamento e risposta delle identità post-compromissione.
Gli aggressori riusciranno a bypassare l'MFA o l'EDR e a violare le vostre difese, in un modo o nell'altro.
L'elemento umano e la fatica della sicurezza dell'identità
C'è anche un elemento umano nella sicurezza delle identità, che si riflette nelle statistiche sugli utenti di Azure Active Directory con MFA di cui sopra. È la consapevolezza che anche quando gli strumenti di sicurezza sono a disposizione dei dipendenti o delle aziende, non sempre vengono utilizzati o implementati in modo corretto o coerente, se non del tutto. Questo si manifesta in tutti i modi, dalla semplice stanchezza da password all'incapacità di implementare o applicare le policy a livello organizzativo. Il successo dello spear phishing è dovuto in parte alla semplice stanchezza dell'uomo per gli allarmi, alla distrazione dell'attenzione dovuta al multitasking, ai falsi generati dall'intelligenza artificiale o alla semplice "curiosità".
Ma la stanchezza per la sicurezza delle identità è anche una strada a doppio senso, che ha un impatto anche sui team SOC. La stanchezza e il burnout degli analisti sono fattori reali e temibili che ne riducono l'efficacia. La gestione di un numero spropositato di avvisi (quasi 5.000 al giorno), insieme a noiose attività manuali e a un numero eccessivo di ore di straordinario, rende i team sovraccarichi di lavoro e di personale. Il risultato è una diminuzione della fiducia e della competenza nello svolgere il proprio lavoro e un alto tasso di abbandono. Mentre gli aggressori diventano sempre più efficienti nei loro attacchi, i difensori rimangono sempre più indietro rispetto alla curva delle minacce.
Superficie di attacco GenAI - aumento esponenziale dell'esposizione delle identità
Infine, la rapida adozione e integrazione di strumenti GenAI come Microsoft Copilot negli ambienti aziendali sta già creando nuove superfici di attacco altamente accessibili. Anche se gli strumenti basati sull'IA sono destinati a semplificare le operazioni, sono bersagli privilegiati per gli attacchi all'identità perché i modelli linguistici di grandi dimensioni (LLM) che li alimentano hanno accesso a dati aziendali proprietari. Con una sola violazione, gli aggressori ottengono lo stesso vantaggio guidato dall'intelligenza artificiale, utilizzando capacità di intelligenza artificiale di livello aziendale contro l'azienda stessa, sfruttando le identità per diffondere i loro attacchi alla velocità e alla scala dell'intelligenza artificiale.
Come se non bastasse, senza una soluzione di rilevamento e risposta delle identità post-compromissione che applichi l'analisi comportamentale alla velocità dell'IA, i team SOC hanno poca o nessuna visibilità sulle informazioni che uno strumento alimentato dall'IA-Chat come Copilot restituisce all'attaccante. Questo aggiunge ancora più latenza al rilevamento e alla risposta rispetto a quella già esistente. I team SOC devono essere in grado di sfruttare le soluzioni di rilevamento e monitoraggio con velocità e capacità guidate dall'intelligenza artificiale per prevenire e impedire agli aggressori di abusare delle identità attraverso strumenti GenAI e accedere a dati e informazioni sensibili.
La definizione convenzionale di sicurezza dell'identità che consiste nell'uso delle credenziali e dell'MFA non è più vera o utilizzabile, poiché è in ritardo rispetto alla realtà della superficie ibrida in espansione, all'insufficienza dell'MFA, alla produzione di massa di identità automatiche e alla curva ripida delle minacce guidate dall'intelligenza artificiale.
Il risultato è che le capacità di attacco di GenAI di una violazione di Copilot aumentano l'esposizione della vostra identità su scala esponenziale.
Quanto è grande il rischio di compromissione dell'identità per le organizzazioni?
Circa il 98% delle organizzazioni sta assistendo a una rapida espansione del numero di identità che deve proteggere, ma che non può proteggere, quindi è difficile sopravvalutare la sfida. Inoltre, secondo l'ISDA, l'84% delle organizzazioni ha subito un impatto commerciale diretto da una violazione dell'identità. La proliferazione delle identità è in atto ed è destinata a rimanere. Non c'è da stupirsi se il 90% delle organizzazioni subisce una violazione dell'identità. La compromissione dell'identità sta diventando sempre più facile e offre agli aggressori le chiavi del vostro regno dei dati.
Ecco perché è sorprendente che il 62% dei team SOC non abbia alcuna visibilità sulle identità umane o meccaniche che hanno accesso a dati o risorse sensibili delle loro organizzazioni. In altre parole, una maggioranza significativa di organizzazioni non è in grado di proteggere le proprie risorse critiche dagli attacchi basati sull'identità e non riesce nemmeno a capire quando un'identità viene o è stata abusata.
Che cosa è più importante: l'attaccante che potrebbe entrare... o quello che è già entrato?
Come già detto, il 71% degli analisti SOC ritiene di essere già compromesso, solo che non lo sa ancora. Certo, la postura e l'igiene preventive sono fondamentali per la sicurezza identity-first. Tuttavia, con nuovi utenti, dispositivi, sistemi e carichi di lavoro, è una lotta senza fine per colmare nuove lacune e modificare altre configurazioni. Per non parlare delle configurazioni errate che derivano dall'automazione o dai cambiamenti di sistema dovuti alle attività di fusione e acquisizione.
Nonostante i vostri sforzi, agli aggressori basta un solo varco per avanzare in un ambiente. Poiché gli aggressori continuano ad accelerare la velocità degli attacchi, i team di sicurezza dovrebbero dare priorità agli investimenti nel rilevamento delle minacce post-compromissione per bloccare gli aggressori che si sono già infiltrati nell'ambiente il più presto possibile, prima che si verifichino danni.
Tutte le organizzazioni devono tenere sotto controllo la sicurezza delle identità, iniziando a riconoscere le nuove realtà della sicurezza delle identità nell'ambiente in espansione delle identità e delle minacce GenAI. È inoltre necessario un approccio equilibrato che comprenda l'ottimizzazione dell'igiene dell'identità e della gestione della postura, nonché il rilevamento e la risposta alle identità post-compromissione. Si raccomanda anche un' analisi del gap di esposizione.
VectraIdentity Threat Detection and Response (ITDR) rileva i cambiamenti nella postura di sicurezza e fornisce un rilevamento e una risposta post-compromissione dell'identità alla velocità e alla scala dell'intelligenza artificiale, in modo che il vostro team possa vedere e fermare la compromissione dell'identità prima che si verifichino danni.