Con gli attacchi basati sull'identità in aumento e causa di gravi violazioni, l'autenticazione a più fattori (MFA) è stata ampiamente adottata da aziende, organizzazioni e governi di tutto il mondo. Ma con quasi il 90% delle organizzazioni che subiranno attacchi basati sull'identità nel 2023, l'implementazione dell'MFA non è sufficiente.
Come sappiamo, l'autenticazione a più fattori prevede due e spesso tre fattori di verifica dell'identità prima di concedere a un utente l'accesso ai dati, a una rete, a un account o a un'applicazione.
Tre tipi di autenticazione
L'autenticazione a fattore singolo è molto semplice. L'utente inserisce un codice di tre o quattro cifre, cioè qualcosa che conosce, per accedere ai messaggi telefonici, ai conti bancari online e così via. Tuttavia, affidarsi agli autenticatori a fattore singolo (SFA) si è rivelato una protezione insufficiente. Gli hacker hanno rapidamente trovato il modo di copiare, rubare o indovinare i codici "segreti" e accedere agli account privati.
L'autenticazione a due fattori o a due passaggi prevede l'utilizzo di un elemento conosciuto, come un PIN o un codice segreto, e l'aggiunta di un elemento posseduto, come un dispositivo mobile personale, per ricevere una notifica push o un messaggio di testo. In questo esempio, ci sono due livelli di verifica. L'accesso dell'utente richiede la conoscenza del codice segreto e l' accesso immediato al dispositivo mobile.
L'autenticazione a più fattori che va oltre i due fattori aggiunge un terzo fattore, cioè qualcosa che l'utente è, un attributo fisico unico, come l'impronta digitale, la voce o il riconoscimento facciale. Di solito l'MFA richiede tutti e tre i fattori per consentire all'utente di ottenere l'accesso desiderato.
Il panorama della sicurezza MFA e gli attacchi guidati dall'intelligenza artificiale
La realtà è che i rischi legati all'utilizzo dell'MFA come efficace procedura di sicurezza dell'identità continueranno probabilmente ad aumentare in futuro. Il motivo principale è l'emergere di attacchi informatici guidati dall'intelligenza artificiale o dall'IA, che si sono intensificati nel 2023. L'intelligenza artificiale e l'apprendimento automatico si stanno rivelando formidabili moltiplicatori di forza, consentendo ai criminali informatici di lanciare attacchi altamente complessi e automatizzati che aggirano o superano le normali protezioni MFA.
Ad esempio, gli attacchi basati sull'intelligenza artificiale possono personalizzare gli attacchi di phishing per concentrarsi specificamente su un singolo individuo e ingannare l'utente facendogli credere che l'aggressore sia quella persona. Gli attacchi guidati dall'intelligenza artificiale impersonano un utente fidato ingerendo migliaia di dati provenienti da fonti pubbliche, post sui social media e comportamenti online per valutare i gusti e le caratteristiche specifiche di quella persona e creare messaggi e presenza online falsi ma altamente persuasivi. Questi e altri tipi di attacchi guidati dall'intelligenza artificiale diventeranno sempre più comuni nel 2024.
Gli aggressori della violazione di Okta sono così contenti che abbiate scelto l'MFA
Ma gli attacchi guidati dall'intelligenza artificiale non sono gli unici che stanno alimentando l'aumento degli attacchi all'identità. La realtà è che anche se si fa tutto bene, gli aggressori possono comunque aggirare i controlli preventivi. Infatti, diversi rischi comuni di minacce situazionali stanno portando ad attacchi basati sull'identità di grande successo e molto pubblici.
Ad esempio, la violazione di Okta del novembre 2023 non è stata un attacco guidato dall'intelligenza artificiale, ma semplicemente il risultato di un programma di gestione degli accessi alle identità (IAM) privo di sufficiente visibilità sugli utenti, sui loro accessi agli account e sul monitoraggio delle credenziali. Gli hacker hanno ottenuto l'accesso non autorizzato alla rete tramite le credenziali rubate di un account di servizio memorizzato nel sistema e hanno avuto accesso a tutte le informazioni personali di ogni titolare di account Okta.
La violazione è stata compiuta da un semplice attacco basato sull'identità che l'MFA non è stato in grado di prevenire o rilevare in tempo. La violazione di Okta conferma l'adagio secondo cui le persone sono il nostro bene più prezioso ma, a seconda della situazione, possono anche rappresentare il rischio maggiore anche per le organizzazioni più preparate.
L'attacco di Okta non è stato certamente molto innovativo, ma ha funzionato.
Rischi situazionali
La cosa fondamentale da capire è che la violazione di Okta era dovuta a rischi di minacce situazionali, che sono molto più controllabili rispetto alle minacce guidate dall'intelligenza artificiale , se le capacità di rilevamento sono quelle che dovrebbero essere. L'ironia della sorte ha voluto che Okta fosse il leader del settore dell'autenticazione multifattoriale (MFA), progettata specificamente per prevenire gli attacchi basati sull'identità. Tuttavia, le minacce situazionali rimangono una causa comune di attacchi basati sull'identità.
La buona notizia è che, anche se vengono utilizzate spesso, con la giusta soluzione di rilevamento delle minacce all'identità e di risposta, sono del tutto prevenibili. Sapendo questo, la prima mossa dovrebbe essere quella di valutare i rischi di minaccia situati all'interno del vostro ambiente. I rischi potrebbero non essere così evidenti come si vorrebbe. Tuttavia, se si guarda con attenzione, si troveranno rischi situazionali che potrebbero non essere coperti - né scoperti - dalle pratiche e dalle procedure di gestione degli accessi alle identità (IAM) o di gestione degli accessi privilegiati (PIM).
Di seguito sono riportate le cinque principali minacce controllabili di rischio situazionale che contribuiscono al rapido aumento degli attacchi basati sull'identità e che, con la giusta soluzione, sono facilmente prevenibili.
1. Attività legate alle fusioni e acquisizioni
L'attività di fusioni e acquisizioni (M&A) è in aumento, e si prevede che le operazioni di private equity e corporate aumenteranno del 12%-13% nel 2024. Se la vostra organizzazione è impegnata in un'attività di fusione e acquisizione - o ha in programma di farlo - sappiate che la tolleranza al rischio di un'organizzazione è al minimo durante il processo di fusione e acquisizione.
Le ragioni sono molteplici. Innanzitutto, al massimo livello di analisi, ogni fase dell'attività di fusione e acquisizione porta nella vita quotidiana dell'organizzazione nuovi comportamenti, nuove persone, nuovi processi, nuovi obiettivi e nuovi eventi. Questi cambiamenti avranno un impatto su tutti i livelli dell'organizzazione, dai dipendenti entry-level alla C-suite. In breve, le nuove realtà comportano nuovi rischi.
A livello operativo, il processo di fusione e acquisizione comporta nuove strategie, lo screening di nuove persone, l'armonizzazione di pratiche di due diligence differenziate, l'interruzione delle routine, la condivisione di dati, nuovi processi di integrazione dei sistemi, nuove transazioni e altri cambiamenti situazionali e comportamentali. Ognuno di essi presenta nuove sfide e nuovi rischi. Alcuni rischi saranno evidenti, altri potrebbero non esserlo.
A livello culturale e di risorse umane, conciliare le pratiche aziendali quotidiane, il comportamento dei dipendenti, le aspettative di gestione del rischio e le sfide di integrazione del personale può comportare rischi situazionali nuovi e sconosciuti. Inoltre, per sua stessa natura, le fusioni e le acquisizioni comportano solitamente il taglio di posti di lavoro, il che può significare dipendenti scontenti, conflitti territoriali tra il personale e altri modelli comportamentali che possono comportare rischi legati all'identità.
A tutti questi fattori si aggiunge la spinta a livello di consiglio di amministrazione e di C-suite a concludere l'affare con il minor numero possibile di interruzioni o perdite commerciali. Ciò può significare che alcuni dirigenti prendono scorciatoie sulle migliori pratiche procedurali o di gestione del rischio, come la condivisione di troppi dati troppo presto, la concessione di un accesso di alto livello quando non è necessario e altre scorciatoie per concludere l'affare più rapidamente.
Questi e altri rischi situazionali fanno parte del territorio delle fusioni e acquisizioni.
2. Le organizzazioni che detengono dati sensibili o infrastrutture critiche sono obiettivi di alto valore.
Un'altra forma di rischio situazionale è rappresentata da aziende e organizzazioni che lavorano o possiedono dati e/o infrastrutture di alto valore. Ciò rende più probabile che vengano prese di mira per attacchi di identità.
Ad esempio, Okta, con la sua infrastruttura critica, ha un'elevata probabilità di essere presa di mira da aggressori di identità. Un'azienda di servizi finanziari con un patrimonio di miliardi di dollari sarebbe un altro esempio di azienda con una probabilità elevata di rischio situazionale di attacco alle identità. Anche le società energetiche con infrastrutture nucleari, le aziende sanitarie, le società di telecomunicazioni, gli studi legali e alcuni produttori presentano rischi situazionali elevati di attacchi di identità.
3. Rischio di accesso di terzi
Con l'aumento dell'uso e della dipendenza delle organizzazioni da applicazioni, appaltatori terzi e servizi esterni, aumenta anche il rischio di attacchi basati sull'identità. Il mantenimento di un rigoroso controllo degli accessi alle reti, ai servizi e alle applicazioni sensibili diventa più impegnativo man mano che si ricorre a partner, appaltatori e fornitori terzi.
Ad esempio, gli aggressori possono utilizzare le identità Microsoft per accedere alle applicazioni Microsoft connesse e alle applicazioni SaaS federate. Gli attacchi in questi ambienti non avvengono sfruttando le vulnerabilità in sé, ma abusando delle funzionalità native di Microsoft. È stato documentato che il gruppo di aggressori Nobelium, collegato agli attacchi di SolarWinds, utilizza funzionalità native come la creazione di trust federati per ottenere un accesso ininterrotto a un tenant Microsoft.
Inoltre, le organizzazioni che si affidano a più partner e a terze parti troveranno più dispendioso monitorare i propri partner per garantire che vengano seguite e applicate le corrette procedure di gestione dei rischi e degli accessi. Livelli di competenza diversi, partner commerciali distribuiti geograficamente, nonché abitudini e aspettative comportamentali culturalmente diverse, rappresentano tutti rischi di violazione delle identità per le organizzazioni.
4. Minaccia insider e rischi di riduzione della forza lavoro/licenziamento
I vostri dipendenti possono essere una fonte importante di rischio per l'identità. Anche oggi che il pericolo delle minacce informatiche è ben noto, la maggior parte non segue nemmeno i protocolli di sicurezza più elementari per proteggere la propria identità.
Ad esempio, il 62% dei professionisti utilizza una sola password per più account, rendendo troppo facili gli attacchi basati sull'identità. Questo spiega perché il 31% delle organizzazioni intervistate ha dichiarato di aver subito attacchi di tipo brute force o password spraying nell'ultimo anno. Le VPN possono aiutare a verificare e consentire l'accesso remoto di terzi, ma la loro visibilità è limitata.
Anche le riduzioni di personale e i licenziamenti possono essere una causa significativa di minacce insider basate sull'identità. Ad esempio, quasi un ex dipendente su tre ha ancora accesso al SaaS aziendale. Con piattaforme cloud come Microsoft 365, che hanno molti punti di accesso, i criminali informatici possono accedere alle credenziali dei vostri ex dipendenti attraverso il loro dispositivo personale non protetto, le applicazioni condivise o altri modi.
5. Accesso eccessivo dei dipendenti
Un altro rischio molto comune è che ai dipendenti venga concesso un accesso ai dati, alle applicazioni e alle reti superiore a quello necessario per svolgere il proprio lavoro. L'accesso eccessivo può verificarsi quando ai nuovi dipendenti viene concesso un livello di accesso alla rete, ai sistemi e alle applicazioni aziendali fisso o standardizzato, che va oltre quanto necessario per il loro ruolo.
L'accesso eccessivo apre la porta a dipendenti di basso livello e scarsa responsabilità che potrebbero non custodire i loro fob, laptop o fattori di autenticazione come dovrebbero e diventare vettori inconsapevoli di attacchi basati sull'identità. In questi casi, gli strumenti IAM sono inefficaci perché l'accesso eccessivo è stato concesso e quindi l'abuso non viene riconosciuto.
Questo accade anche quando ai dipendenti viene concesso un livello superiore di accesso autorizzato per un progetto o uno scopo specifico. Una volta completato il compito o il progetto, l'accesso elevato non viene revocato, con conseguente possibilità di abuso dell'identità.
Non sono solo i dipendenti con accesso di basso livello a presentare rischi di accesso che non possono essere mitigati dagli strumenti IAM o PAM. Le identità privilegiate, in particolare gli account di servizio, sono difficili da monitorare e controllare le autorizzazioni di accesso. Di conseguenza, i team di sicurezza hanno spesso poca visibilità su quali dati e/o risorse sensibili i loro dipendenti privilegiati stanno accedendo e perché.
Un altro scenario comune per l'eccesso di accesso è quando un dipendente si trasferisce in un'altra divisione o assume un ruolo diverso all'interno dell'azienda o dell'organizzazione. È possibile che i livelli di accesso precedenti rimangano aperti inutilmente, che il suo laptop non venga ripulito dagli accessi precedenti o che i suoi fob non vengano ritirati o disattivati. Tutti questi sono rischi situazionali comuni che possono aumentare il rischio di un attacco basato sull'identità.
La mancanza di visibilità sull'accesso e sul comportamento degli utenti fa aumentare il rischio basato sull'identità
La mancanza di visibilità sugli accessi, sulle identità e sui comportamenti degli utenti è il filo conduttore della maggior parte dei rischi situazionali, compresi i cinque elencati in questo post. Inoltre, i team SOC dovranno affrontare sfide sempre più difficili per difendere le loro organizzazioni dai rischi basati sulle identità.
I motivi sono molteplici.
L'esplosione delle applicazioni SaaS ha reso molto difficile per i team di sicurezza IT accedere e ottenere visibilità sulle applicazioni SaaS, sull'identità degli utenti e sul loro comportamento all'interno della rete.
L'espansione del lavoro a distanza ha reso più difficile determinare l'identità e la necessità dei dipendenti terzi che accedono alla rete. Questa tendenza è destinata a continuare.
Il rapido aumento del numero di identità fa crescere la minaccia di un rischio basato sull'identità. Le statistiche sono impressionanti. Circa il 98% delle organizzazioni ha registrato un aumento delle identità (ISDA). Inoltre, per ogni identità umana ci sono 45 identità di macchine/servizi e il 62% delle organizzazioni non ha visibilità sui dipendenti o sulle macchine che accedono ai loro dati e beni sensibili.
Questi fattori rendono i programmi IAM meno efficaci del necessario e possono consentire agli utenti non verificati di accedere da indirizzi IP non autorizzati e di accedere a dati riservati, o peggio. Senza visibilità, l'applicazione delle regole per la condivisione degli account da parte dei dipendenti e la determinazione dello status lavorativo di un individuo o del suo comportamento all'interno della rete a livello granulare possono essere difficili, se non impossibili.
Sfruttare l'intelligenza artificiale per ottenere visibilità e un contesto situazionale sull'identità e il comportamento degli utenti.
La chiave per comprendere e bloccare il rischio basato sull'identità è la capacità di ribaltare i principali fattori di rischio situazionali. Questi fattori includono la mancanza di visibilità sull'identità degli utenti, la garanzia che il livello di accesso degli utenti alla rete sia appropriato e la capacità di contestualizzare rapidamente il comportamento degli utenti. Il team SOC deve essere in grado di verificare automaticamente un utente, ottenere immediatamente visibilità sul suo comportamento all'interno della rete e del cloud e correlarlo immediatamente al livello di accesso e alle mansioni dell'utente, indipendentemente da dove si trovi.
Determinare l'identità e la necessità dei dipendenti di terze parti che accedono alla rete e al cloud, ad esempio, è una sfida comune. Tuttavia, è possibile risolverla con la soluzione giusta, che offre una visibilità approfondita sugli ambienti ibridi delle organizzazioni. Ma senza visibilità, applicare le regole per la condivisione degli account da parte dei dipendenti, determinare lo stato di occupazione di un individuo o il suo comportamento all'interno dell'ambiente ibrido a livello granulare, può essere difficile se non impossibile.
Inoltre, per ridurre al minimo il rischio di attacchi basati sull'identità, è necessario proteggere le organizzazioni con risposte appropriate automatizzate. La bonifica istantanea guidata dall'intelligenza artificiale consente al vostro team di bloccare i comportamenti non autorizzati, eliminare gli accessi e prevenire le violazioni, l'abuso delle applicazioni, l'esfiltrazione o altri danni, in pochi minuti, non in mesi.
È una cosa molto importante.
Vectra ITDR sfrutta l'AI Attack Signal IntelligenceIntelligenceTM per segnalare i comportamenti attivi e occulti dell'identità, come amministratori furtivi, account di servizio utilizzati in modo improprio e accessi malevoli su più superfici di attacco. Grazie al contesto completo degli incidenti e alla conoscenza del comportamento degli aggressori, garantisce una visione a 360 gradi degli attacchi basati sull'identità con una riduzione del rumore degli avvisi di oltre l'80% rispetto ad altri strumenti.
Vectra AI offre una chiarezza di segnale, una copertura e un controllo senza pari, consentendo alle organizzazioni di vedere, capire e bloccare immediatamente i sign-in non autorizzati, l'accesso al motore di scripting, l'abuso di applicazioni fidate, le modifiche alla federazione dei domini e l'abuso diffuso dei privilegi della rete e del cloud prima dell'insorgere di ransomware e violazioni dei dati.
Prenotate oggi stesso un'analisi gratuita del gap di esposizione all'identità e valutate il vostro livello di protezione in caso di potenziale violazione dell'identità.