Rilevamento e risposta alle minacce all'identità

Il rilevamento e la risposta alle minacce all'identità (ITDR) rappresentano un progresso fondamentale nella sicurezza informatica, concentrandosi sulla protezione delle identità e delle credenziali, che sono spesso gli obiettivi primari degli attacchi informatici. Rilevando e rispondendo alle minacce contro le identità degli utenti, l'ITDR contribuisce a proteggere l'accesso alle risorse aziendali, garantendo che solo gli utenti legittimi possano accedervi.

Che cos'è l'identità e qual è la sfida nella difesa dagli attacchi all'identità?

L'identità è il fulcro delle aziende moderne. Esistono identità cloud di rete, nonché identità di macchine e persone, che spaziano dalle applicazioni SaaS ai cloud pubblici, dai gateway web sicuri ai servizi AD e ai servizi locali. Nell'ultimo anno, il 98% delle aziende ha registrato un aumento delle^identità1. Per ogni identità umana esistono 45^identità di macchine o^servizi2. Ciò rappresenta una sfida significativa per i difensori, poiché il 62% di essi non ha visibilità sulle persone o sulle macchine che accedono a dati e^{risorse sensibili2}.

Perché la mia organizzazione ha bisogno dell'ITDR?

L'identità è diventata il fulcro degli attacchi moderni, poiché diversi tipi di aggressori, come le bande di ransomware, gli aggressori statali e i criminali informatici professionisti, abusano tutti dell'identità nei loro attacchi. Pertanto, il 90% delle organizzazioni ha subito un attacco all'identità nell'ultimo^anno1.

Inoltre, gli attacchi di identità riusciti comportano costi enormi per le organizzazioni. Ad esempio, Okta ha subito una perdita di 2 miliardi di dollari in capitalizzazione di mercato e ha perso i dati di tutti gli utenti dell'assistenza clienti; MGM ha subito perdite fino a 8,4 milioni di dollari al giorno; Caesars Palace ha pagato 15 milioni di dollari di riscatto. Infatti, il 68% delle aziende ha subito un impatto diretto sul proprio business a causa di una^violazione dell'identità1.

Le organizzazioni che dispongono di sistemi di prevenzione e gestione delle identità sono ancora vulnerabili agli attacchi alle identità, poiché gli aggressori riescono sempre più spesso a eludere l'autenticazione a più fattori (MFA) e i sistemi di prevenzione. Secondo Gartner, l'ITDR funge da secondo e terzo livello di difesa dopo il fallimento dei sistemi di prevenzione.

Il rilevamento e la risposta alle minacce all'identità (ITDR) è fondamentale per le organizzazioni al fine di proteggere le risorse di valore e bloccare le minacce all'identità prima che causino danni e ripercussioni sull'attività aziendale.

La visione di Gartner dell'ITDR

Il Gartner Hype Cycle for Security Operations 2023 evidenzia che l'ITDR ha un elevato indice di utilità. Si afferma che la protezione dell'infrastruttura di identità organizzativa è fondamentale per le operazioni di sicurezza.

Se gli account aziendali vengono compromessi, le autorizzazioni sono impostate in modo errato o l'infrastruttura di identità stessa viene compromessa, gli aggressori possono assumere il controllo dei sistemi.

Pertanto, proteggere l'infrastruttura dell'identità e difendersi dagli attacchi all'identità deve essere una priorità assoluta.

Come funziona il rilevamento e la risposta alle minacce all'identità?

Le soluzioni ITDR altamente efficienti utilizzano algoritmi di machine learning e modelli di intelligenza artificiale all'avanguardia per analizzare il comportamento delle identità (identità di rete, cloud, umane, macchine e servizi) all'interno della rete e cloud di un'organizzazione.

Queste soluzioni tracciano le attività degli utenti, le autorizzazioni e i modelli di accesso per identificare eventuali deviazioni dalle norme stabilite. Mappando questi comportamenti su modelli di minaccia noti, le soluzioni ITDR sono in grado di individuare potenziali minacce con un elevato grado di accuratezza.  

Le soluzioni ITDR forniscono avvisi e approfondimenti in tempo reale, consentendo ai team di sicurezza di rispondere prontamente alle potenziali minacce. Si integrano inoltre perfettamente con altri strumenti e soluzioni di sicurezza informatica, come i sistemi di gestione delle identità e degli accessi (IAM) e le piattaforme di gestione delle informazioni e degli eventi di sicurezza (SIEM), per fornire un approccio completo al rilevamento e alla risposta alle minacce.

Quali sono i vantaggi del rilevamento e della risposta alle minacce all'identità?  

1. Monitoraggio continuo delle identità su tutta la superficie di attacco ibrida
   Le soluzioni ITDR offrono visibilità continua su tutte le identità, inclusi account di rete, cloud, umani e macchine, autorizzazioni di accesso e attività correlate, cloud di rete e cloud di un'organizzazione. Questa visibilità si estende dal data center al cloud, coprendo vari tipi di utenti, posizioni e tipi di dispositivi, inclusi dispositivi IoT e stampanti.    
2. Protegge gli account di servizio e di amministrazione
   Le principali soluzioni ITDR utilizzano attivamente l'intelligenza artificiale per individuare e monitorare gli account di servizio e di amministrazione , fornendo protezione a questi account anche quando non sono chiaramente definiti o etichettati.      
3. Analisi comportamentale e IA per il rilevamento avanzato delle minacce
   Le soluzioni ITDR leader sfruttano l'analisi comportamentale e l'apprendimento automatico per modellare e rilevare attività insolite e minacce associate alle identità. Anziché affidarsi al rilevamento basato sulle firme, queste soluzioni si concentrano sull'identificazione degli attacchi attivi, tra cui persistenza, escalation dei privilegi, elusione delle difese, accesso alle credenziali, scoperta, movimento laterale, raccolta di dati, attività di comando e controllo (C2) ed esfiltrazione dei dati.    
4. L'intelligenza artificiale migliora l'efficienza dei centri operativi di sicurezza (SOC)
   riducendo il rumore Le soluzioni ITDR basate sull'intelligenza artificiale comprendono i privilegi e forniscono una chiarezza di segnale che le semplici anomalie UEBA non sono in grado di garantire. Automatizzano molti aspetti del rilevamento e della risposta alle minacce, migliorando significativamente l'efficienza dei centri operativi di sicurezza (SOC) riducendo il rumore. Nonostante la continua carenza di esperti di sicurezza informatica, queste soluzioni forniscono ricostruzioni dettagliate degli attacchi in linguaggio naturale, fornendo agli analisti le informazioni necessarie per rispondere agli allarmi in modo rapido e completo.    
5. Risposta automatizzata in tempo reale
   Oltre a rilevare attacchi sofisticati e comportamenti sospetti, le soluzioni ITDR offrono la capacità di rispondere automaticamente e bloccare gli attacchi in tempo reale. Si integrano inoltre perfettamente con altri prodotti di sicurezza informatica, come Endpoint and Response (EDR), per misure di sicurezza avanzate.  

Qual è il valore di una soluzione efficace per il rilevamento e la risposta alle minacce all'identità?

Una soluzione ITDR efficace è correlata al cloud della rete e cloud e opera nell'ambito degli altri strumenti disponibili, non in modo isolato. La soluzione dovrebbe consentire alla vostra organizzazione di:  

• Blocca il ransomware sul nascere
• Blocca le violazioni phishing
• Controllo della proliferazione degli account di servizio  
• Difendi le identità privilegiate  
• Difendi l'infrastruttura dell'identità  
• Blocca i movimenti laterali basati sull'identità  
• Connessioni ZScaler sicure  
• Monitoraggio delle minacce interne  
• Monitorare l'utilizzo delle identità in modo proattivo

L'evoluzione del rilevamento e della risposta alle minacce all'identità  

Secondo Gartner, l'ITDR richiede il coordinamento tra i team IAM e di sicurezza. Si consiglia alle organizzazioni di combinare l'igiene dell'infrastruttura IAM di base, come PAM e IGA, con l'ITDR e di integrarla nel programma IAM. È importante dare priorità alla protezione dell'infrastruttura di identità con strumenti che consentano di monitorare le tecniche di attacco all'identità, proteggere i controlli di identità e accesso, rilevare quando si verificano attacchi e consentire una rapida risoluzione. MITRE ATT&CK dovrebbe essere utilizzato anche per correlare le tecniche ITDR con gli scenari di attacco, al fine di garantire che almeno i vettori di attacco più noti vengano affrontati.

Le identità sono sempre più spesso oggetto di attacchi da parte di malintenzionati e l'implementazione dell'ITDR non è solo un'opzione, ma una necessità. Vectra AI all'avanguardia nella fornitura di soluzioni ITDR avanzate che consentono ai team di sicurezza di rilevare e rispondere in modo proattivo alle minacce alle identità. Contattateci per scoprire come possiamo aiutarvi a proteggere le risorse più critiche della vostra organizzazione: le sue identità.

Scopri di più su Vectra AI >