Con l'aumento degli attacchi basati sull'identità, causa di gravi violazioni, l'autenticazione a più fattori (MFA) è stata ampiamente adottata da aziende, organizzazioni e governi in tutto il mondo. Tuttavia, con quasi il 90% delle organizzazioni che subirà attacchi basati sull'identità nel 2023, l'implementazione della MFA non è sufficiente.
Come sappiamo, l'autenticazione a più fattori prevede due e spesso tre fattori di verifica dell'identità prima di concedere a un utente l'accesso a dati, una rete, un account o un'applicazione.
Tre tipi di autenticazione
L'autenticazione a fattore singolo è molto semplice. Come utente, si inserisce un codice a tre o quattro cifre, ovvero qualcosa che si conosce, per accedere ai messaggi telefonici, ai conti bancari online, ecc. Tuttavia, affidarsi agli autenticatori a fattore singolo (SFA) si è rivelato poco protettivo. Gli hacker hanno rapidamente trovato il modo di copiare, rubare o indovinare i codici "segreti" e accedere agli account privati.
L'autenticazione a due fattori o in due passaggi prevede qualcosa che conosci, come un PIN o un codice segreto, oltre all'aggiunta di qualcosa che possiedi, come un dispositivo mobile personale, per ricevere una notifica push o un messaggio di testo. In questo esempio, ci sono due livelli di verifica. L'accesso dell'utente richiede la conoscenza del codice segreto e l'accesso immediato al dispositivo mobile.
L'autenticazione multifattoriale che va oltre i due fattori aggiunge un terzo fattore, ovvero qualcosa che sei, un attributo fisico unico che ti contraddistingue, come l'impronta digitale, la voce o il riconoscimento facciale. L'autenticazione multifattoriale richiede solitamente tutti e tre questi fattori affinché l'utente possa ottenere l'accesso desiderato.
Il panorama della sicurezza MFA e gli attacchi basati sull'intelligenza artificiale
La realtà è che i rischi legati all'uso dell'autenticazione a più fattori (MFA) come procedura efficace per la sicurezza dell'identità continueranno probabilmente ad aumentare in futuro. La ragione principale di ciò è l'emergere dell'intelligenza artificiale o degli attacchi informatici basati sull'intelligenza artificiale, che hanno registrato un'impennata nel 2023. L'intelligenza artificiale e l'apprendimento automatico si stanno rivelando formidabili moltiplicatori di forza, consentendo ai criminali informatici di lanciare attacchi altamente complessi e automatizzati che aggirano o sopraffanno le normali protezioni MFA.
Ad esempio, gli attacchi basati sull'intelligenza artificiale possono personalizzarephishing per concentrarsi specificamente su un singolo individuo e indurre l'utente a credere che l'autore dell'attacco sia quella persona. Gli attacchi basati sull'intelligenza artificiale impersonano un utente affidabile acquisendo migliaia di dati da fonti pubbliche, post sui social media e comportamenti online per valutare i gusti e le caratteristiche specifiche di quella persona e creare messaggi e una presenza online profondamente falsi ma altamente persuasivi. Questi e altri tipi di attacchi basati sull'intelligenza artificiale stanno diventando sempre più comuni nel 2024.
La violazione di Okta: gli hacker sono felici che tu abbia scelto l'autenticazione a più fattori (MFA)
Ma gli attacchi basati sull'intelligenza artificiale non sono gli unici a favorire l'aumento degli attacchi all'identità. La realtà è che, anche se si fa tutto nel modo giusto, gli aggressori possono comunque aggirare i controlli preventivi. Infatti, diversi rischi comuni legati alla situazione stanno portando ad attacchi basati sull'identità di grande successo e molto pubblici.
Ad esempio, la violazione di Okta del novembre 2023 non è stata un attacco guidato dall'intelligenza artificiale, ma semplicemente il risultato di un programma di gestione degli accessi basato sull'identità (IAM) senza sufficiente visibilità sugli utenti, sul loro accesso agli account o sul tracciamento delle credenziali. Gli hacker hanno ottenuto l'accesso non autorizzato alla rete tramite credenziali rubate di un account di servizio memorizzato sul loro sistema e hanno avuto accesso a tutte le informazioni personali di ogni titolare di account Okta.
La violazione è stata compiuta tramite un semplice attacco basato sull'identità che l'autenticazione a più fattori (MFA) non è stata in grado di prevenire o rilevare in tempo. La violazione di Okta conferma il detto secondo cui le persone sono la nostra risorsa più preziosa ma, a seconda della situazione, possono anche rappresentare il rischio maggiore anche per le organizzazioni più preparate.
L'attacco a Okta non era certo molto innovativo, ma ha funzionato.
Rischi di minaccia situazionale
La chiave per comprendere la situazione è che la violazione di Okta è stata causata da rischi di minaccia situazionali, che sono molto più controllabili rispetto alle minacce basate sull'intelligenza artificiale , se le capacità di rilevamento sono adeguate. Naturalmente, c'è un certo paradosso nella violazione di Okta, dato che si tratta del leader del settore nell'autenticazione a più fattori (MFA), progettata specificamente per prevenire gli attacchi basati sull'identità. Tuttavia, i rischi di minaccia situazionali rimangono una causa comune degli attacchi basati sull'identità.
La buona notizia è che, nonostante siano utilizzati spesso, con la giusta soluzione di rilevamento e risposta alle minacce all'identità, sono abbastanza prevenibili. Sapendo questo, la prima mossa dovrebbe essere quella di valutare i rischi di minaccia situazionali all'interno del proprio ambiente. I rischi potrebbero non essere così evidenti come si vorrebbe. Tuttavia, se osservi attentamente, troverai rischi situazionali che potrebbero non essere coperti, né individuabili, dalle tue pratiche e procedure di gestione degli accessi basate sull'identità (IAM) o persino di gestione degli accessi privilegiati (PIM).
Di seguito sono riportate le cinque principali minacce di rischio situazionale controllabili che stanno contribuendo al rapido aumento degli attacchi basati sull'identità e che, con la soluzione giusta, sono facilmente prevenibili.
1. Attività relative alle fusioni e acquisizioni
Le attività di fusione e acquisizione (M&A) sono in aumento e si prevede che nel 2024 le operazioni di private equity e societarie cresceranno del 12-13 %. Se la vostra organizzazione è impegnata in attività di M&A, o intende esserlo, tenete presente che la tolleranza al rischio di un'organizzazione è al minimo durante il processo di M&A.
Ci sono diverse ragioni che spiegano questo fenomeno. Innanzitutto, a un livello di analisi più alto, ogni fase dell'attività di fusione e acquisizione introduce nuovi comportamenti, nuove persone, nuovi processi, nuovi obiettivi e nuovi eventi nella vita quotidiana dell'organizzazione. Questi cambiamenti avranno un impatto su tutti i livelli dell'organizzazione, dai dipendenti entry-level ai dirigenti. In breve, le nuove realtà comportano nuovi rischi.
A livello operativo, il processo di fusione e acquisizione comporta nuove strategie, la selezione di nuove persone, l'armonizzazione di pratiche di due diligence differenziate, interruzioni delle routine, condivisione dei dati, nuovi processi di integrazione dei sistemi, nuove transazioni e altri cambiamenti situazionali e comportamentali. Ciascuno di essi presenta nuove sfide e nuovi rischi. Alcuni dei rischi saranno evidenti, altri potrebbero non esserlo.
A livello culturale e delle risorse umane, conciliare le pratiche aziendali quotidiane, il comportamento dei dipendenti, le aspettative in materia di gestione dei rischi e le sfide legate all'integrazione del personale può anche comportare rischi situazionali nuovi e sconosciuti. Inoltre, per sua stessa natura, una fusione o acquisizione comporta solitamente una riduzione dei posti di lavoro, che può tradursi in malcontento tra i dipendenti, conflitti territoriali tra il personale e altri modelli comportamentali che possono comportare rischi legati all'identità.
A tutti questi fattori si aggiunge la volontà del consiglio di amministrazione e dei vertici aziendali di concludere l'accordo con il minor numero possibile di interruzioni o perdite commerciali. Ciò può significare che alcuni dirigenti prendono scorciatoie sulle migliori pratiche procedurali o di gestione del rischio, come condividere troppi dati troppo presto, concedere un accesso di alto livello quando non è necessario e altre scorciatoie per concludere l'accordo più rapidamente.
Questi e altri rischi situazionali sono semplicemente inerenti al settore delle fusioni e acquisizioni.
2. Le organizzazioni che detengono dati sensibili o infrastrutture critiche sono obiettivi di alto valore
Un'altra forma di rischio situazionale è rappresentata dalle aziende e dalle organizzazioni che lavorano con o possiedono dati e/o infrastrutture di alto valore. Ciò le rende più soggette ad attacchi mirati all'identità.
Ad esempio, Okta, con la sua infrastruttura critica, ha un'elevata probabilità di essere presa di mira da chi vuole rubare le identità. Un'altra azienda con un rischio situazionale più alto di attacchi alle identità è una società di servizi finanziari con miliardi di dollari in attività. Anche le aziende energetiche con infrastrutture nucleari, le aziende sanitarie, le società di telecomunicazioni, gli studi legali e alcuni produttori hanno un rischio situazionale più alto di attacchi alle identità.
3. Rischio di accesso da parte di terzi
Con l'aumentare dell'utilizzo e della dipendenza delle organizzazioni da applicazioni, appaltatori terzi e servizi esterni, aumenta anche il rischio di attacchi basati sull'identità. Mantenere un controllo rigoroso dell'accesso a reti, servizi e applicazioni sensibili diventa più difficile con l'aumento del numero di partner, appaltatori e fornitori terzi utilizzati.
Ad esempio, gli aggressori possono utilizzare le identità Microsoft per ottenere l'accesso alle applicazioni Microsoft connesse e alle applicazioni SaaS federate. Gli attacchi in questi ambienti non avvengono sfruttando le vulnerabilità in sé, ma abusando delle funzionalità native di Microsoft. È stato documentato che il gruppo di aggressori Nobelium, collegato agli attacchi SolarWinds, ha utilizzato funzionalità native come la creazione di Federated Trusts per ottenere un accesso ininterrotto a un tenant Microsoft.
Un altro problema è rappresentato dalle organizzazioni che si affidano a più partner e terze parti, che troveranno più dispendioso in termini di tempo monitorare i propri partner per garantire che vengano seguite e applicate adeguate procedure di gestione dei rischi e degli accessi. Livelli diversi di competenza, partner commerciali distribuiti geograficamente, nonché usanze e aspettative comportamentali culturalmente diverse, rappresentano tutti rischi di violazioni basate sull'identità per le organizzazioni.
4. Rischi legati alle minacce interne e alla riduzione del personale/licenziamenti
I vostri dipendenti possono rappresentare una fonte importante di rischio per l'identità. Ancora oggi, nonostante il pericolo delle minacce informatiche sia ben noto, la maggior parte di loro non segue nemmeno i protocolli di sicurezza più elementari per proteggere la propria identità.
Ad esempio, il 62% dei professionisti utilizza una sola password per più account, rendendo gli attacchi basati sull'identità fin troppo facili. Questo spiega perché il 31% delle organizzazioni intervistate dichiara di aver subito attacchi di forza bruta o password spraying nell'ultimo anno. Le VPN possono aiutare a verificare e consentire l'accesso remoto di terze parti, ma hanno una visibilità limitata.
Anche la riduzione del personale e i licenziamenti possono essere una causa significativa di minacce interne basate sull'identità. Ad esempio, quasi 1 ex dipendente su 3 ha ancora accesso al SaaS aziendale. Con piattaforme cloud come Microsoft 365, che hanno molti punti di accesso, i criminali informatici possono accedere alle credenziali dei vostri ex dipendenti attraverso i loro dispositivi personali poco protetti, applicazioni condivise o altri mezzi.
5. Accesso eccessivo per i dipendenti
Un altro rischio situazionale molto comune è che ai dipendenti venga concesso un accesso ai dati, alle applicazioni e alle reti superiore a quello necessario per svolgere il proprio lavoro. Un accesso eccessivo può verificarsi quando ai nuovi dipendenti viene concesso un livello fisso o standardizzato di accesso alla rete, ai sistemi e alle applicazioni aziendali che supera quello necessario per le loro mansioni.
Un accesso eccessivo apre le porte a dipendenti di basso livello e con scarsa responsabilità che potrebbero non custodire i propri badge, laptop o fattori di autenticazione come dovrebbero, diventando inconsapevoli vettori di attacchi basati sull'identità. In questi casi, gli strumenti IAM sono inefficaci perché l'accesso eccessivo è stato concesso, quindi l'abuso non viene riconosciuto.
Ciò accade anche quando ai dipendenti viene concesso un livello più elevato di accesso autorizzato per un progetto o uno scopo specifico. Una volta completata l'attività o il progetto, l'accesso elevato non viene revocato, con il rischio di un potenziale abuso di identità.
Non sono solo i dipendenti con livelli di accesso bassi a rappresentare rischi di accesso che non possono essere mitigati dagli strumenti IAM o PAM. Le identità privilegiate, in particolare gli account di servizio, sono difficili da monitorare e controllare in termini di autorizzazioni di accesso. Di conseguenza, i team di sicurezza spesso hanno poca visibilità sui dati sensibili e/o sulle risorse a cui i loro dipendenti privilegiati hanno accesso e sul motivo per cui lo fanno.
Un altro scenario comune di accesso eccessivo si verifica quando un dipendente viene trasferito a un altro reparto o assume un ruolo diverso all'interno dell'azienda o dell'organizzazione. I livelli di accesso precedenti potrebbero rimanere inutilmente aperti, il laptop potrebbe non essere ripulito dai precedenti accessi o i badge potrebbero non essere ritirati o disattivati. Si tratta di rischi situazionali comuni che possono aumentare il rischio di un attacco basato sull'identità.
La mancanza di visibilità sull'accesso e sul comportamento degli utenti aumenta il rischio legato all'identità
La mancanza di visibilità sull'accesso degli utenti, sulle loro identità e sui loro comportamenti è il filo conduttore della maggior parte dei rischi situazionali, compresi i cinque elencati in questo post. Inoltre, in futuro i team SOC dovranno affrontare sfide sempre più difficili nella difesa delle loro organizzazioni dai rischi legati all'identità.
Ci sono diverse ragioni per questo.
L'esplosione delle applicazioni SaaS ha reso molto difficile per i team di sicurezza IT accedere e ottenere visibilità sulle app SaaS, sull'identità degli utenti e sul loro comportamento all'interno della rete.
L'espansione del lavoro a distanza ha reso più difficile determinare l'identità e la necessità dei dipendenti di terze parti che accedono alla rete. Questa tendenza è destinata a continuare.
Il rapido aumento del numero di identità aumenta il rischio legato all'identità. Le statistiche sono impressionanti. Circa il 98% delle organizzazioni ha registrato un aumento delle identità (ISDA). Inoltre, per ogni identità umana, esistono 45 identità di macchine/servizi e il 62% delle organizzazioni non ha visibilità sui dipendenti o sulle macchine che accedono ai propri dati e risorse sensibili.
Questi fattori rendono i programmi IAM meno efficaci di quanto dovrebbero essere e possono consentire a utenti non verificati di ottenere l'accesso da indirizzi IP non autorizzati e accedere a dati riservati o, peggio ancora, a informazioni sensibili. Senza visibilità, applicare le regole per i dipendenti che condividono account e determinare lo status lavorativo di un individuo o il suo comportamento all'interno della rete a livello granulare può essere difficile, se non impossibile.
Sfrutta l'intelligenza artificiale per ottenere visibilità e contesto situazionale sull'identità e sul comportamento degli utenti
La chiave per comprendere e fermare i rischi legati all'identità è riuscire a ribaltare i principali fattori di rischio situazionali. Questi fattori includono la mancanza di visibilità sull'identità degli utenti, la garanzia che il livello di accesso degli utenti alla rete sia appropriato e la capacità di contestualizzare rapidamente il comportamento degli utenti. Il team SOC deve essere in grado di verificare automaticamente un utente, ottenere immediatamente visibilità sul suo comportamento all'interno della rete e cloud e correlare immediatamente tali informazioni con il livello di accesso e le mansioni dell'utente, indipendentemente dalla sua posizione.
Determinare l'identità e la necessità dei dipendenti di terze parti che accedono alla rete e cloud, ad esempio, è una sfida comune. Tuttavia, è possibile risolverla con la soluzione giusta che offre una visibilità approfondita degli ambienti ibridi delle organizzazioni. Ma senza visibilità, applicare le regole per i dipendenti che condividono account, determinare lo stato lavorativo di un individuo o il suo comportamento all'interno dell'ambiente ibrido a livello granulare può essere difficile, se non impossibile.
Inoltre, è necessario proteggere le organizzazioni con risposte automatizzate adeguate per ridurre al minimo il rischio di attacchi basati sull'identità. La correzione istantanea basata sull'intelligenza artificiale consente al vostro team di bloccare comportamenti non autorizzati, eliminare l'accesso e prevenire violazioni, abusi delle applicazioni, esfiltrazione o altri danni in pochi minuti, anziché in mesi.
È una cosa molto importante.
Vectra ITDR sfrutta la tecnologia AI-driven Attack Signal IntelligenceIntelligenceTM per segnalare comportamenti identitari attivi e occulti come amministratori furtivi, account di servizio utilizzati in modo improprio e accessi dannosi su più superfici di attacco. Grazie al contesto completo degli incidenti e alla conoscenza del comportamento degli aggressori, garantisce una visione a 360 gradi degli attacchi basati sull'identità con oltre l'80% di rumore di allerta in meno rispetto ad altri strumenti.
Vectra AI una chiarezza, una copertura e un controllo dei segnali senza pari, consentendo alle organizzazioni di individuare, comprendere e bloccare immediatamente accessi non autorizzati, accessi al motore di scripting, abusi di applicazioni affidabili, modifiche alla federazione dei domini e abusi diffusi cloud di rete e cloud prima dell'insorgere di ransomware e violazioni dei dati.
Prenota oggi stesso un'analisi gratuita delle lacune nell'esposizione dell'identità e valuta il tuo livello di protezione in caso di potenziale violazione dell'identità.