Proteggere l'azienda AI: il punto di vista del nostro CEO su come abilitare l'AI senza perdere il controllo.
Leggi il blog

Proteggere l'azienda AI: il punto di vista del nostro CEO sull'implementazione dell'AI senza perdere il controllo. Leggi il blog →

Vectra AI, una delle aziende leader nel Magic Quadrant 2025 di Gartner per il rilevamento e la risposta di rete (NDR)
Icona hamburger nella riga superiore
Icona hamburger linea centrale
Icona hamburger in basso
  1. Fondamenti di sicurezza informatica
    >
  2. Analisi dell'identità

Spiegazione dell'analisi dell'identità

Approfondimenti chiave

  • I segnali di minaccia correlati tra i diversi ambienti aiutano a ridurre l'incertezza nella definizione delle priorità delle identità.
  • Il punteggio di urgenza tiene conto dell'importanza aziendale insieme alla velocità e alla sofisticatezza delle tattiche di attacco osservate.
  • Il comportamento osservato consente l'analisi delle identità sia umane che non umane.

Fondamentalmente, l'analisi dell'identità utilizza l'apprendimento automatico per correlare i segnali di minaccia tra rete, cloud, SaaS e sistemi di identità al fine di stabilire le priorità delle identità in base al rischio osservato.

Nelle operazioni di sicurezza, l'attività relativa alle identità è distribuita su molti sistemi, mentre i record statici delle identità raramente mostrano come vengono esercitati i privilegi in tempo reale. Anziché basarsi esclusivamente sui ruoli assegnati, questo approccio pone l'accento sui privilegi osservati e sulla correlazione tra i diversi ambienti.

Che cos'è l'analisi dell'identità?

L'analisi delle identità valuta il rischio legato alle identità sulla base dei comportamenti osservati piuttosto che su attributi statici come i ruoli assegnati o le voci di directory. Questa distinzione è importante perché, durante gli attacchi reali, il modo in cui l'accesso viene effettivamente utilizzato spesso differisce da come appare sulla carta. Trattando le identità come entità attive, l'analisi delle identità valuta il rischio su cloud, rete, SaaS e sistemi di identità invece che all'interno di silos isolati.

Anche i confini chiari sono importanti. Quando l'analisi dell'identità viene confusa con pratiche di identità adiacenti, i team possono basarsi su segnali incompleti o interpretare erroneamente l'attività dell'identità. 

L'analisi dell'identità viene spesso confusa con:

  • Revisioni della governance delle identità e degli accessi, incentrate sull'assegnazione dei diritti piuttosto che sul comportamento in tempo reale
  • Monitoraggio dell'autenticazione, che pone l'accento sul successo o sul fallimento dell'accesso senza un contesto di attività più ampio.
  • Analisi statica delle directory, che riflette i privilegi assegnati piuttosto che quelli osservati
  • Ricerca manuale delle minacce, che in genere non può essere estesa all'analisi continua di migliaia di identità

Quando il rischio legato all'identità viene valutato principalmente attraverso autorizzazioni, revisioni o risultati di accesso, è possibile che alcuni segnali comportamentali critici vengano trascurati. 

Scopri perché la gestione delle identità e degli accessi da sola non è in grado di fermare gli attacchi moderni.

Perché le visualizzazioni dell'identità basate su directory non riescono a rappresentare i privilegi osservati

I ruoli assegnati e l'appartenenza al gruppo descrivono l'accesso previsto, non il comportamento effettivo. Questa discrepanza è importante perché gli aggressori possono abusare delle credenziali legittime senza provocare modifiche nei dati della directory. Ecco perché è importante spostare la valutazione del rischio verso i privilegi osservati e le attività correlate invece che verso i record statici.

I record statici, gli eventi isolati e la valutazione dell'identità basata su directory spesso falliscono nei seguenti modi:

  • Trattare i privilegi assegnati come equivalenti ai privilegi effettivi, anche quando il comportamento indica un accesso più ampio
  • Valutare gli eventi relativi all'identità in modo isolato invece di correlare i segnali in una narrazione incentrata sull'identità
  • Utilizzo del volume degli eventi come indicatore della gravità, aumento della stanchezza da allarmi e errata definizione delle priorità
  • Costringere gli analisti a passare da uno strumento all'altro e da una query all'altra per ricostruire manualmente il contesto dell'identità

I livelli analitici chiave alla base della prioritizzazione dei rischi legati all'identità

La combinazione di privilegi osservati, correlazioni tra domini e punteggi di urgenza produce una visione del rischio incentrata sull'identità. Questa struttura è importante perché la compromissione dell'identità spesso coinvolge provider di identità, cloud , applicazioni SaaS e reti. Trattare questi ambienti separatamente frammenta il contesto e oscura la progressione.

Per unificare la telemetria e migliorare la definizione delle priorità, l'analisi delle identità si basa su una serie definita di livelli analitici. Ciascun livello affronta una limitazione specifica del monitoraggio tradizionale delle identità e la rimozione di uno qualsiasi di essi indebolisce l'interpretazione del rischio.

L'analisi dell'identità si basa sui seguenti livelli:

  • Privilegio osservato, che tiene traccia del comportamento in tempo reale e dei modelli di accesso piuttosto che dei ruoli assegnati.
  • Correlazione tra domini, che collega le attività relative alle identità su rete, cloud, SaaS e sistemi di identità
  • Punteggio di urgenza, che combina l'importanza aziendale con la velocità e la sofisticatezza delle tattiche di attacco osservate
  • Contesto di indagine incentrato sull'entità, che mantiene l'analisi focalizzata sulle identità e sulle risorse con cui queste interagiscono.

Sostituire il presupposto statico della fiducia con il privilegio osservato

Il comportamento in tempo reale fornisce una visione più accurata del rischio legato all'identità rispetto alle definizioni statiche dei ruoli. Questo è importante perché gli attributi della directory possono rimanere invariati anche quando i privilegi vengono attivamente abusati. Il monitoraggio dei privilegi osservati supporta una prospettiva dinamica e Zero Trust.

Per individuare deviazioni significative, l'analisi dell'identità si concentra su specifici indicatori basati sul comportamento. Questi indicatori sono importanti perché spesso piccoli cambiamenti nell'accesso precedono azioni più urgenti da parte degli aggressori e includono:

  • Sottili cambiamenti nell'uso dei privilegi che vanno oltre i limiti previsti
  • Identità che operano con autorizzazioni eccessive rispetto alle aspettative di accesso definite
  • Modelli di accesso in tempo reale che contraddicono i ruoli assegnati alla directory

Creazione di una narrazione unica attraverso la correlazione tra domini diversi

I segnali sparsi tra i vari sistemi raramente appaiono conclusivi di per sé. Collegare l'attività tra rete, cloud, SaaS e sistemi di identità riduce l'ambiguità su ciò che sta facendo un'identità, trasformando indicatori parziali in modelli di comportamento coerenti.

A tal fine, le soluzioni di analisi dell'identità collegano in modo coerente le attività su diversi domini, quali:

Come l'analisi dell'identità mappa il comportamento dell'identità rispetto alla progressione dell'attacco

Considerare la compromissione dell'identità come un processo progressivo può chiarire le decisioni relative alla risposta. L'uso improprio nella fase iniziale appare diverso dallo sfruttamento nella fase avanzata e la correlazione dei comportamenti aiuta a differenziare i due casi. Ciò contribuisce a ridurre l'incertezza relativa alla gravità e alla tempistica.

Per valutare la progressione, gli analisti esaminano i comportamenti ricorrenti che segnalano un avanzamento, dall'accesso al controllo, in tutti gli ambienti:

Per colmare questa lacuna sono necessarie analisi incentrate sull'identità che rivelino tempestivamente i comportamenti di attacco reali e riducano il carico di lavoro investigativo su team già sottoposti a vincoli.

Scopri come Vectra AI offre una visibilità sulle minacce 3 volte superiore con un carico di lavoro inferiore del 50% →

Come valutare gli approcci di analisi dell'identità 

La valutazione dipende dal fatto che un approccio riduca realmente l'incertezza e migliori la definizione delle priorità. I registri statici e gli avvisi isolati non soddisfano questo requisito. Un'analisi efficace dell'identità si concentra quindi sul comportamento, sulla correlazione e sull'urgenza.

Una valutazione efficace dovrebbe concentrarsi sul fatto che un approccio riduca effettivamente l'incertezza e migliori la definizione delle priorità. I registri statici e gli avvisi isolati non sono sufficienti per raggiungere questo obiettivo. Un'analisi approfondita dell'identità si concentra sul comportamento osservato, sulla correlazione tra ambienti diversi e sull'urgenza.

Criteri di valutazione chiari aiutano a prevenire errori di classificazione e attriti operativi. Inoltre, determinano se l'analisi dell'identità può sostituire l'assemblaggio manuale degli eventi con informazioni coerenti e incentrate sull'identità.

Gli approcci di analisi dell'identità possono essere valutati utilizzando i seguenti criteri:

  • L'approccio si basa sui privilegi osservati, piuttosto che sui ruoli statici delle directory, come fondamento per la valutazione del rischio?
  • Correlazione dei segnali di identità tra rete, cloud, SaaS e sistemi di identità, anziché analizzarli separatamente?
  • La definizione delle priorità è determinata dall'urgenza e dal rischio piuttosto che dal numero di avvisi o eventi?

Come la Vectra AI applica l'analisi delle identità per dare priorità al rischio legato alle identità in tutti gli ambienti

Vectra AI applica l'analisi delle identità correlando i segnali di minaccia all'identità in tutti gli ambienti per stabilire quali identità sono più urgenti. Questo è importante perché la compromissione dell'identità può estendersi alla rete, cloud, al SaaS e ai sistemi di identità, e gli avvisi isolati non forniscono una visione unificata dei privilegi osservati e della progressione del rischio.

In sostanza, la Vectra AI inquadra il problema come una questione di prioritizzazione incentrata sull'identità piuttosto che di monitoraggio incentrato sugli eventi.

Grazie all'analisi dell'identità, la Vectra AI offre visibilità su:

  • Quali identità mostrano un comportamento correlato tra rete, cloud, SaaS e sistemi di identità.
  • Quali identità dimostrano cambiamenti nei privilegi osservati associati alla progressione del rischio.
  • Quali identità sono coinvolte in comportamenti quali il movimento laterale o l'escalation dei privilegi.

Scopri come la Vectra AI assegna priorità ai rischi legati all'identità su rete, cloud e SaaS →

Altri fondamenti della sicurezza informatica

Che cos'è l'indicatore di compromissione?

Gli indicatori di compromissione dei domini (IOC) sono un forte segnale di compromissione, poiché questi domini sono stati registrati da un malintenzionato e il traffico per questo espresso ...

Per saperne di più
Servizi di sicurezza IT gestiti: guida completa a MSSP, MDR e SOC

Guida completa ai servizi di sicurezza IT gestiti. Scopri MSSP vs MDR, prezzi, selezione dei fornitori e come l'IA sta trasformando i SOC. Basato sui dati di mercato del 2025.

Per saperne di più
Attacchi informatici: 6 tipi comuni e come prevenirli

Scopri i diversi tipi di attacchi informatici, tra cui malware, phishing, DoS e MITM, e il loro impatto su individui, aziende e governi.

Per saperne di più
Comprendere gli attori delle minacce nella sicurezza informatica

Le minacce informatiche non provengono più da singoli individui isolati, ma sono il prodotto di una serie di entità sofisticate e ben organizzate con obiettivi e capacità diversi.

Per saperne di più
Che cos'è Cloud ?

Principali minacce cloud · 1. Gestione insufficiente di identità, credenziali e accessi · 2. Interfacce e API non sicure · 3. Dirottamento di account · 4. Malicious ...

Per saperne di più
Cosa sono le tecniche di attacco?

Questo articolo offre una panoramica completa delle tecniche di attacco informatico più comuni e avanzate, fornendo approfondimenti tecnici ed esempi.

Per saperne di più
Che cos'è la triade della visibilità del team di sicurezza?

Questo approccio su tre fronti offre ai SOC una maggiore visibilità delle minacce, capacità di rilevamento, risposta, indagine e risoluzione.

Per saperne di più
Soluzioni per la sicurezza informatica | Strumenti di sicurezza basati su agenti e senza agenti

Scopri le soluzioni di sicurezza informatica per le minacce moderne. Confronta gli approcci basati su agenti e senza agenti, esplora le moderne opzioni NDR e crea una sicurezza efficace.

Per saperne di più
Comprendere il comportamento degli aggressori nei moderni ambienti di sicurezza

Comprendere il comportamento degli aggressori, come gli attacchi moderni si sviluppano attraverso identità, rete e cloud e come i team SOC dovrebbero interpretare azioni e segnali.

Per saperne di più
Vedi tutti i fondamenti della sicurezza informatica

Domande frequenti

In che modo l'analisi dell'identità differisce dall'utilizzo dei soli dati delle directory?

L'analisi dell'identità sostituisce i controlli preventivi dell'identità come l'autenticazione a più fattori (MFA)?

Come viene determinato il punteggio di urgenza nell'analisi dell'identità?

Come vengono valutate le identità non umane nell'analisi delle identità?

Quali sono i segnali più rilevanti per rilevare una compromissione dell'identità?