Le credenziali d’accesso compromesse e gli account violati possono consentire di accedere a reti e sistemi aziendali. Data la ricompensa potenzialmente redditizia, i criminali informatici concentrano sempre più i loro attacchi sulle tue identità per esfiltrare i dati, prendere il controllo degli ambienti IT e lanciare attacchi ransomware.
Per comprendere meglio come i leader del settore stanno affrontando quest’evoluzione nel panorama delle minacce, ho partecipato di recente a un webinar presentato da due dirigenti di Proofpoint: Tim Choi, Group Vice President of Product Marketing, e Ofer Israeli, Group Vice President and General Manager, Identity Threat Defense.
Abbiamo discusso del perché gli attacchi contro le identità sono un problema sempre più preoccupante, delle sfide associate all’identificazione degli utenti vulnerabili e di come proteggere le persone e i dati dagli attacchi che sfruttano account compromessi.
Le identità compromesse danno libero accesso ai criminali informatici
Il nostro settore utilizza spesso il termine “incentrato sulle persone”. Sappiamo che i criminali informatici prendono di mira le persone per lanciare campagne ransomware o esfiltrare dati. Ma per i criminali informatici di oggi, quel capitolo è chiuso.
I criminali informatici ora prendono di mira le persone per violare le identità. Utilizzano poi tali identità per elevare ulteriormente i loro privilegi e il loro accesso. Quindi si spostano lateralmente all’interno delle aziende per ottenere informazioni, sferrare ulteriori attacchi e rubare sempre più dati.
Grazie a strumenti come Mimikatz e Bloodhound, in grado di identificare le relazioni nascoste, le autorizzazioni utente e i percorsi d’attacco, l’intero processo di individuazione delle identità, furto delle credenziali ed escalation dei privilegi è ora estremamente semplice.
Identificare le identità ad alto rischio
I criminali informatici devono sapere due cose per aumentare le loro possibilità di successo: dove si trovano i dati di loro interesse e quale identità consente loro di accedervi.
La maggior parte delle volte, questo secondo elemento è un account di servizio. Questi account non sono sempre protetti da una soluzione di gestione degli accessi con privilegi. Spesso hanno accesso a molti file e sistemi diversi con password statiche che non sono di alcuna utilità.
Anche gli utenti medi che sono amministratori shadow sono identità ad alto rischio. Solitamente non sono considerati account con privilegi, ma spesso hanno ereditato ogni tipo di accesso attraverso complicati collegamenti di appartenenza a gruppi Active Directory, molto difficili da monitorare.
Quali elementi di un’azienda sono più vulnerabili agli attacchi contro le identità?
La maggior parte delle aziende è alle prese con problemi di gestione delle identità e degli accessi (IAM) da molti anni. L’importanza di tale accesso è così importante che i i team della sicurezza devono essere certi di comprenderlo al meglio. Tre aree sono particolarmente problematiche:
- Le credenziali d’accesso condivise
- Le credenziali d’accesso archiviate
- I segreti condivisi
La maggior parte degli utenti ha decine, se non centinaia, di nomi utente e password per numerosi account. Probabilmente riutilizzano le stesse credenziali d’accesso per almeno alcuni di questi account. Basta che un solo sito subisca un attacco e le credenziali d’accesso possono essere utilizzare per accedere a molti altri account e sistemi.
Per quanto riguarda l’archiviazione delle password, le aziende devono fare molta attenzione. Per cominciare, devono essere rimosse dall’ambiente in cui vengono utilizzate.
Purtroppo, molti attacchi all’identità hanno origine da violazioni opportunistiche, in cui i criminali informatici ottengono le credenziali d’accesso da divulgazioni di massa di password o da violazioni dei dati e tentano la fortuna con attacchi password spray sugli account aziendali.
Protezione delle tue identità
La sicurezza informatica è come una guerra asincrona. Quando mettiamo in atto un nuovo meccanismo di controllo o di difesa, i criminali informatici hanno già trovato un nuovo modo per aggirarlo. Questo è ciò che si sta verificando attualmente.
Numerose statistiche confermano che anche nelle violazioni più grandi i criminali informatici entrano dalla porta principale. Come? Ottenendo l’accesso a credenziali d’accesso condivise e a un’identità con un livello di accesso più elevato a quello di cui è a conoscenza l’azienda presa di mira.
Fondamentalmente, si tratta di un problema di pratiche errate. Sbagliamo tutti a lasciarci entusiasmare da nuove e rivoluzionarie funzionalità di sicurezza, ma ci mancano alcune nozioni di base: Semplici buone pratiche di sicurezza informatica, migliorare visibilità e comprensione del proprio ambiente.
Come Proofpoint Spotlight e Proofpoint Shadow possono aiutare
Le soluzioni Proofpoint Spotlight e Proofpoint Shadow rispondono a entrambi gli aspetti del problema degli attacchi alle identità:
- Proofpoint Spotlight gestisce le buone pratiche della sicurezza informatica, ovvero il rilevamento e la bonifica delle identità vulnerabili all’interno del tuo ambiente.
- In parallelo, Proofpoint Shadow crea un ambiente ostile per i criminali informatici spargendo delle esche per spingerli a spostarsi lateralmente, in modo da allertare i team della sicurezza della loro presenza.
In questo modo ottieni una migliorare visibilità per identificare e correggere le identità a rischio, adottando misure per rilevare e impedire l’escalation dei privilegi e ulteriori danni ai tuoi dati, sistemi e reti.
Le identità sono una risorsa strategica per un’azienda
I criminali informatici hanno iniziato a concentrarsi sulla violazione delle identità per esfiltrare i dati, prendere il controllo degli ambienti IT e lanciare attacchi ransomware. Guarda il webinar “Identity Is the New Attack Surface” (L’identità è la nuova superficie d’attacco) per saperne di più.
Scarica gratuitamente una copia di New Perimeters
Consulta altri articoli e scopri come interrompere la catena di attacco con Proofpoint Identity Threat Defense nel numero New Perimeters – L’identità è la nuova superficie d’attacco.