Se la storia delle minacce informatiche ci ha insegnato qualcosa, è che le regole del gioco sono sempre in evoluzione. I criminali informatici utilizzano una tecnica d’attacco. Noi la contrastiamo. Loro cambiano strategia.
Oggi questa nuova strategia consiste nello sfruttare la vulnerabilità delle identità. I criminali informatici si rendono conto che, anche se la rete e tutti gli endpoint e i dispositivi sono protetti, possono comunque compromettere le risorse di un’azienda ottenendo l’accesso a un account con privilegi.
E i mezzi per farlo non mancano di certo. Nelle aziende, un endpoint su sei presenta dei rischi legati alle identità, come ha evidenziato le ricerche condotte da Proofpoint per il suo report sull’analisi dei rischi legati alle identità.
La situazione è rapidamente peggiorata
L’ultimo report sulle violazioni dei dati di Verizon evidenzia i rischi associati agli attacchi complessi che comportano l’intrusione nei sistemi. Sottolinea inoltre la necessità di bloccare i criminali informatici una volta che si sono infiltrati nel tuo ambiente. Una volta ottenuto l’accesso, cercano un modo per elevare i privilegi e mantenere la loro persistenza. Cercheranno anche percorsi di spostarsi all’interno dell’azienda per raggiungere i loro obiettivi, qualunque essi siano.
Questo problema si aggrava perché la gestione delle identità aziendali e i sistemi per proteggerle sono complessi. Le continue modifiche apportate agli account e alle loro configurazioni non migliorano la situazione.
I criminali informatici ricorrono sempre di più agli attacchi di takeover degli account con privilegi, che consentono loro di violare le aziende con facilità e rapidità. In ogni caso, questa tecnica è più semplice, veloce e conveniente rispetto allo sfruttamento di una vulnerabilità software (CVE).
Questa tendenza non accenna a diminuire, dato che gli attacchi di takeover degli account hanno ridotto i tempi di permanenza dei criminali informatici da mesi a qualche giorno. Inoltre, il rischio che i criminali informatici vengano individuati prima che riescano a portare a termine i loro crimini è minimo.
I responsabili IT e della sicurezza e i loro team come possono affrontare una tale situazione? Un approccio basilare può essere d’aiuto.
Priorità alla protezione delle identità
I team della sicurezza lavorano per proteggere le reti, i sistemi e gli endpoint della loro infrastruttura e continuano a rafforzare lo stack tecnologico per proteggere le applicazioni. Ora dobbiamo concentrarci maggiormente sui modi per migliorare la protezione delle identità. Ecco perché una strategia di rilevamento e neutralizzazione delle minacce legate alle identità (ITDR) è fondamentale in questo momento.
Tendiamo a pensare alla sicurezza come a una guerra, in cui l’identità è la nostra nuova battaglia. Come abbiamo fatto in passato con rete, endpoint e applicazioni, dobbiamo applicare le regole di base della sicurezza informatica per prevenire i rischi legati alle identità.
Sebbene controlli preventivi e di rilevamento siano entrambi utili, i primi sono preferibili (la loro implementazione è anche meno costosa). In altre parole, nella nostra battagli per la protezione delle identità, prevenire è meglio che curare.
L’identità come tipo di risorsa per la gestione delle vulnerabilità
Le aziende dovrebbero considerare di garantire la correzione delle vulnerabilità legate alle identità che vengono attaccate più spesso nello stesso modo o in un modo simile a come gestiscono i milioni di altre vulnerabilità negli altri tipi di risorse (rete, host, applicazioni, ecc.).
Dobbiamo considerare le identità come un tipo di risorsa. La gestione delle loro vulnerabilità deve essere integrata nel processo di definizione delle priorità delle vulnerabilità da correggere. A tal fine, bisogna essere in grado di analizzare costantemente l’ambiente per identificare le identità vulnerabili e comprendere perché sono a rischio.
Proofpoint Spotlight™ offre una soluzione grazie alle seguenti funzionalità:
- Identificazione continua delle minacce legate alle identità e gestione delle vulnerabilità
- Assegnazione automatica delle priorità di queste minacce in base al rischio posto
- Visibilità sul contesto di ogni vulnerabilità
Proofpoint Spotlight permette inoltre una correzione completamente automatica delle vulnerabilità che non comporta alcun rischio di interruzione delle attività.
Prioritizzazione delle attività di correzione per tutti i tipi di risorse
La maggior parte delle aziende ha milioni di vulnerabilità su diversi tipi di risorse. È quindi fondamentale dare priorità alle attività di gestione delle minacce e delle vulnerabilità, Poiché la maggior parte delle vulnerabilità rappresenta un rischio minimo. I fattori chiave per stabilire le priorità dovrebbero includere:
- L’importanza della risorsa vulnerabile per l’azienda
- La probabilità che la vulnerabilità venga sfruttata
- La forza e l’efficacia dei controlli compensativi che riducono il rischio associato alla vulnerabilità
Una volta considerati questi fattori, i rischi legati alle identità e le vulnerabilità associate alle identità con privilegi si trovano spesso in cima all’elenco delle priorità.
I criminali informatici possono utilizzare gli account con privilegi per danneggiare i sistemi più importanti di un’azienda. La probabilità che questi account vengano sfruttati è aumentata, perché sono un obiettivo primario per molti criminali informatici. E poiché la maggior parte degli attacchi di takeover degli account non viene rilevata, è chiaro che controlli compensativi sufficienti non permettono di ridurre il rischio di queste vulnerabilità.
La buona notizia è che molte vulnerabilità legate alle identità con privilegi possono essere facilmente corrette. Un possibile approccio consiste nel rimuovere le credenziali d’accesso non protette dagli endpoint, un’operazione molto più semplice rispetto alla correzione delle vulnerabilità software (CVE), che può richiedere costose modifiche al codice e test di regressione completi.
La gestione delle minacce e delle vulnerabilità legate alle identità è un controllo compensativo per molte CVE non corrette, poiché i criminali informatici spesso utilizzano le vulnerabilità software per lanciare un attacco. Quindi, i criminali informatici devono ancora elevare i privilegi.
Per questo motivo, la correzione delle vulnerabilità legate alle identità offre un controllo di compensazione per molte CVE non corrette, impedendo al criminale informatico di elevare i privilegi e progredire ulteriormente.
Webinar: Identity Is the New Attack Surface (L’identità è la nuova superficie d’attacco)
Guarda la registrazione del nostro webinar per saperne di più su questo argomento e ascoltare i nostri esperti di sicurezza informatica spiegare come l’IDTR può aiutare la tua azienda a tenere testa alle vulnerabilità legate alle identità.
Scarica gratuitamente la tua copia di New Perimeters
Scopri come la visibilità sulle tue identità vulnerabili e a rischio può aiutarti a interrompere la catena d’attacco nel numero New Perimeters–L’identità è la nuova superficie d’attacco.