Che cos'è l'Identity Threat Detection Response (ITDR)?

ITDR è la sigla di identity threat detection and response (rilevamento e risposta alle minacce all’identità), una nuova classe di soluzioni di cybersecurity che si concentra sulla protezione delle identità degli utenti e dei sistemi basati sull’identità dalle minacce informatiche. L’ITDR comprende una combinazione di strumenti di sicurezza, processi e best practice per prepararsi, rilevare e rispondere efficacemente alle minacce legate all’identità.

L’identità è stata descritta come il nuovo perimetro di sicurezza, in quanto anche se una rete, un endpoint e tutti gli altri dispositivi sono ben protetti, a un cybercriminale basta accedere a un account privilegiato per compromettere le risorse aziendali. Per questo motivo, Gartner ha inserito l’ITDR tra i principali trend di sicurezza e gestione del rischio per il 2022.

ITDR è una categoria di sicurezza adiacente ad altre soluzioni di sicurezza come: Endpoint Detection and Response (EDR), Extended Detection and Response (XDR), Network Detection and Response (NDR) ed il Privileged Access Management (PAM). Nonostante il loro importante contributo alla sicurezza, molte funzionalità ITDR si discostano ampiamente dalle offerte EDR, XDR e PAM tradizionali.

La necessità di sistemi ITDR richiede una comprensione sfumata del motivo per cui l’identità merita una propria categoria di soluzioni di sicurezza. A sua volta, un sistema ITDR completo comprende una serie completa di funzionalità di rilevamento e risposta alle vulnerabilità e alle minacce, progettate specificamente per proteggere le identità e i sistemi di identità.

In particolare, un sistema ITDR deve supportare i seguenti controlli di sicurezza incentrati sull’identità:

• Analisi della configurazione, dei criteri e dei dati sull’identità per valutare la posizione di sicurezza dell’ambiente Active Directory di un’organizzazione.
• Gestione dei percorsi di attacco e analisi dell’impatto.
• Valutazione dei rischi e prioritizzazione dei rimedi.
• Monitoraggio in tempo reale dei comportamenti di runtime per individuare indicatori di compromissione incentrati sull’identità.
• Machine learning o analisi per rilevare comportamenti o eventi anomali.
• Bonifica e risposta agli incidenti automatizzate.
• Dashboard, avvisi, report, ricerca e gestione degli incidenti.
• Integrazione con strumenti di gestione delle informazioni e degli eventi di sicurezza (SIEM), Extended Detection and Response (XDR) e Security Orchestration Automation and Response (SOAR).
• Integrazione con le soluzioni di autenticazione multifattoriale (MFA) per fornire un’autenticazione aggiuntiva in risposta agli eventi di rischio.
• Integrazione con gli strumenti di gestione degli accessi privilegiati per individuare le lacune nella copertura degli account altamente privilegiati.
• Condivisione dei segnali di rischio con prodotti aggiuntivi (per i fornitori di suite) e strumenti di terze parti per aiutare gli operatori della sicurezza a prendere decisioni più consapevoli sui rischi.

L’emergere dell’ITDR evidenzia che le identità meritano lo stesso livello di gestione e controllo che le organizzazioni hanno tradizionalmente applicato ai loro endpoint, reti, sistemi e applicazioni, se non di più. Questo aspetto è oggi più importante che mai, dal momento che le identità sono diventate il vettore di attacco predominante per i cyber-attacchi. 

Come predecessore dell’ITDR più conosciuto nel panorama della cybersecurity, l’Identity and Access Management (IAM) si riferisce ai processi e alle tecnologie utilizzate per gestire e controllare l’accesso degli utenti ai sistemi informativi e alle applicazioni. Le soluzioni IAM aiutano a garantire che gli utenti abbiano i permessi e i livelli di accesso appropriati in base ai loro ruoli e responsabilità. L’IAM riduce al minimo il rischio di accesso non autorizzato a dati e sistemi sensibili, riducendo così il rischio di data breach e di altri attacchi informatici.

L’ITDR adotta un approccio più approfondito per rilevare, rispondere e prepararsi alle minacce alla sicurezza e alle vulnerabilità legate all’identità e all’accesso degli utenti. L’ITDR è un importante complemento ai sistemi IAM, in quanto estende il quadro IAM per il controllo e il monitoraggio dell’accesso a informazioni e sistemi sensibili. Le strategie di cybersecurity più efficaci includono anche una combinazione dei seguenti controlli di sicurezza orientati all’identità:

• Autenticazione a più fattori: L’MFA richiede agli utenti di fornire più di una forma di verifica dell’identità per accedere a un sistema o a un’applicazione. Ad esempio, a un utente può essere richiesto di fornire una password e un PIN a 6 cifre inviato al suo dispositivo mobile personale per accedere a informazioni sensibili.
• Controllo degli accessi basato sui ruoli: come componente fondamentale dell’IAM, il controllo degli accessi basato sui ruoli prevede l’assegnazione di livelli di accesso agli utenti in base ai loro ruoli e responsabilità nell’organizzazione. Ad esempio, un dipendente junior dovrebbe avere un accesso limitato ai dati sensibili, mentre a un dirigente senior potrebbe essere concessa un’autorizzazione più ampia per accedere a un maggior numero di dati e sistemi associati.
• Gestione degli accessi privilegiati (PAM): simile al controllo degli accessi basato sui ruoli, agli utenti vengono assegnati determinati gradi di privilegio in base ai ruoli e alle mansioni organizzative. Pur essendo un sottoinsieme particolare dell’IAM, presenta delle lacune nell’affrontare le minacce interne in corso.
• Monitoraggio continuo: questa procedura di sicurezza si concentra sul monitoraggio dell’attività degli utenti in tempo reale per rilevare comportamenti anomali. Ad esempio, un utente che tenta di accedere a un sistema in un orario o in un luogo insolito può indicare una minaccia alla sicurezza.
• Pianificazione della risposta alle minacce: questa misura proattiva consiste nel disporre di un piano d’azione per rispondere alle minacce alla sicurezza in modo rapido ed efficace. Questo può aiutare a minimizzare l’impatto di una violazione della sicurezza e a ridurre il rischio di ulteriori danni.

Oltre alle misure descritte sopra, i principi IAM possono essere sfruttati anche per migliorare l’ITDR, fornendo audit trail e registri delle attività degli utenti. Questi registri possono essere utilizzati per rilevare comportamenti anomali che potrebbero essere indicativi di una minaccia alla sicurezza. Ad esempio, se un utente tenta di accedere a una risorsa a cui non è autorizzato ad accedere, l’IAM può registrare questa attività e avvisare gli investigatori affinché indaghino ulteriormente.

Con la crescente frequenza e sofisticazione degli attacchi informatici, l’ITDR sta diventando più critico che mai. Oggi i criminali informatici sono sempre più abili nell’utilizzare tattiche basate sull’identità per violare gli account e ottenere l’accesso non autorizzato a informazioni sensibili. A loro volta, le aziende sono messe alla prova da una miriade di tecniche di minaccia e da ulteriori fattori esterni nel panorama digitale.

• Strumenti di attacco open-source: i cyber-attaccanti sfruttano spesso strumenti di attacco open-source (pen testing) per compromettere le identità, nascondere le loro attività nefaste e passare più rapidamente attraverso le fasi dell’attacco prima di completare l’azione finale.
• Phishing scams: per fare un altro esempio, i cyber-attaccanti utilizzano spesso e-mail di phishing per indurre gli utenti a rivelare le proprie credenziali di accesso o altri dati sensibili.
• Credential stuffing: un tipo di attacco informatico in cui gli aggressori tentano di ottenere un accesso non autorizzato agli account protetti utilizzando nomi utente e password rubati o trapelati, in genere sottratti da una precedente violazione dei dati.
• Tecniche di Social Engineering: I criminali informatici possono anche utilizzare tattiche di social engineering per impersonare utenti autorizzati e indurre le vittime a condividere informazioni e accessi.
• Lavoro a distanza: l’aumento del lavoro da remoto ha ulteriormente aumentato il rischio di attacchi basati sull’identità. Con un numero sempre maggiore di dipendenti che lavorano da casa e utilizzano dispositivi personali per accedere ai sistemi aziendali, le organizzazioni possono avere difficoltà a mantenere una visibilità e un controllo completi sull’accesso degli utenti.
• Conformità normativa: l’ITDR sta diventando sempre più importante anche a causa dei crescenti requisiti normativi in materia di privacy e sicurezza dei dati. Molti settori, come quello sanitario e finanziario, sono soggetti a normative severe in materia di protezione dei dati. Le organizzazioni che non si adeguano possono incorrere in multe significative e danni alla reputazione.

Per affrontare queste sfide, le organizzazioni ricorrono a soluzioni ITDR per proteggere i loro sistemi e affrontare le vulnerabilità specifiche che possono emergere.

Con la pubblicazione del report di Gartner “Enhance Your Cyberattack Preparedness With Identity Threat Detection and Response in 2022”, i professionisti della sicurezza e della gestione del rischio hanno ora accesso a ricerche, approfondimenti e raccomandazioni per affrontare i problemi di sicurezza delle identità. Questi fatti e tendenze evidenziano il crescente interesse e la domanda di ITDR.

L’identità è il vettore principale dei cyberattacchi

Stimolati dal COVID-19, gli aggressori hanno sfruttato l’impatto dell’identità sul passaggio al lavoro remoto. Secondo Gartner, “la dipendenza delle organizzazioni dalla loro infrastruttura di identità per consentire la collaborazione, il lavoro a distanza e l’accesso dei clienti ai servizi ha trasformato i sistemi di identità in obiettivi primari”. I team di sicurezza si sono confrontati con le realtà operative di una forza lavoro che non può venire a lavorare in ufficio.

L’identità è la nuova vulnerabilità

Con l’adozione del cloud computing e la necessità di supportare il lavoro da casa, le soluzioni incentrate sull’identità sono diventate una base ancora più centrale dei programmi di cybersecurity. Gartner afferma che “le minacce all’identità sono molteplici. Possono essere sfruttate configurazioni errate e vulnerabilità dell’infrastruttura di identità”. Inoltre, i dati dell’Identity Theft Resource Center mostrano che gli attacchi legati al ransomware, che di solito dipendono in larga misura dalle identità violate, sono raddoppiati nel 2020 e raddoppiati ancora nel 2021.

Gli aggressori sfruttano le lacune tra i sistemi di identità e sicurezza

L’implementazione di sistemi di identità, come IAM, PAM e MFA, è spesso un progetto articolato in più fasi, che lascia le identità esposte fino a quando l’implementazione non viene completata, se mai lo sarà. Queste implementazioni sono ulteriormente ostacolate dai continui cambiamenti delle identità, che devono essere ripetutamente riscoperte nel tempo per garantire il successo di questi sistemi. Inoltre, il processo di individuazione e verifica degli account è spesso un processo lungo, manuale e soggetto a errori. E quando l’audit viene completato, spesso le identità sono già cambiate in modo sostanziale.

L’ITDR è una delle principali priorità della sicurezza informatica

Secondo Gartner, “le moderne minacce all’identità possono eludere i tradizionali controlli preventivi di gestione dell’identità e dell’accesso (IAM), come l’autenticazione multifattoriale (MFA). Ciò rende la identity threat detection and response una priorità assoluta della cybersecurity per il 2022 e oltre”. Poiché gli aggressori sono ora concentrati sullo sfruttamento delle identità vulnerabili, le organizzazioni devono impegnarsi per rendere la sicurezza delle identità una priorità assoluta.

Nonostante l’utilizzo di sistemi come PAM, MFA e altre soluzioni IAM per proteggere le identità dallo sfruttamento, spesso le vulnerabilità rimangono. Le cause delle vulnerabilità delle identità rientrano in tre (3) categorie: identità non gestite, mal configurate ed esposte.

Identità non gestite

• Account di servizio: le identità delle macchine spesso non vengono gestite dai sistemi PAM perché non sono state scoperte durante l’implementazione e inoltre non tutte le applicazioni sono compatibili con PAM, come ad esempio le “applicazioni legacy” per le quali i costi di modernizzazione sono proibitivi.
• Amministratori locali: i privilegi di amministratore locale consentono di soddisfare una serie di esigenze di assistenza IT, ma spesso non vengono scoperti o dimenticati dopo la loro creazione, lasciandoli non gestiti.
• Account privilegiati: molti altri account privilegiati non vengono gestiti dalle soluzioni PAM o MFA perché rimangono scoperti (quindi sconosciuti) durante la distribuzione.

Identità mal configurate

• Shadow Admins: la complessità dei raggruppamenti di identità annidati rende estremamente difficile vedere e quindi comprendere i diritti e le autorizzazioni complete di tutte le identità. Ciò fa sì che agli utenti vengano concessi privilegi non voluti e quindi eccessivi.
• Crittografia e password deboli: identità configurate per sfruttare una crittografia debole o mancante o per non applicare criteri di password forti.
• Account di servizio: le identità delle macchine con diritti di accesso privilegiati possono essere configurate in modo errato per consentire il login interattivo da parte di persone.

Identità esposte

• Credenziali memorizzate nella cache: informazioni su account e credenziali comunemente memorizzate nel disco, nel registro e nella memoria degli endpoint, dove possono essere facilmente sfruttate da strumenti di attacco comunemente utilizzati.
• Token di accesso al cloud: i token di accesso al cloud memorizzati sugli endpoint sono un modo comune per gli aggressori di accedere ai sistemi basati sul cloud.
• Sessione RDP aperta: le sessioni di applicazioni remote possono essere chiuse in modo improprio, consentendo agli aggressori di sfruttare una sessione aperta e i relativi privilegi, in gran parte senza il rischio di essere rilevati.

È importante notare che qualsiasi identità può essere vulnerabile in più modi e attraverso queste tre categorie di vulnerabilità. Queste identità specifiche spesso espongono le organizzazioni al massimo livello di rischio di identità.

Ad esempio, una singola identità può essere configurata in modo errato per detenere diritti di Shadow Admin non previsti. Ciò, per sua natura, fa sì che questa identità non sia gestita a causa della mancanza di conoscenze IT che di solito innescano un’ulteriore protezione della gestione degli accessi destinata agli account con i diritti che detiene (PAM, MFA, ecc.).

Le soluzioni ITDR complete dovrebbero includere funzionalità preventive che scoprono e correggono le falle nella struttura dell’identità di un’organizzazione, nonché funzionalità investigative che segnalano accuratamente gli indicatori di compromissione nel momento in cui si verificano. Solo con controlli sia prima che dopo una violazione le identità possono essere considerate sicure.

Controlli preventivi ITDR

I controlli preventivi ITDR scoprono, danno priorità e spesso rimediano automaticamente alle vulnerabilità dell’identità prima che gli attori delle minacce tentino di sfruttarle.

Analogamente ai tradizionali programmi di gestione delle vulnerabilità e dei rischi, le funzionalità di scoperta dell’ITDR consentono alle organizzazioni di visualizzare e catalogare i rischi delle loro “risorse” di identità. Le soluzioni di Identity Threat Detection Response più efficaci offrono una scoperta automatizzata, continua e completa delle identità, compresa la visibilità degli account privilegiati non gestiti, mal configurati ed esposti.

Questa visibilità consente di prendere decisioni efficaci in ambito IT e Infosec per mitigare ulteriormente questi rischi sfruttando sistemi come: IGA, PAM, MFA, SSO e altri. In effetti, sappiamo che la scansione continua dei problemi è necessaria per gestire efficacemente qualsiasi sistema complesso e la gestione delle identità non fa eccezione.

Controlli di rilevamento ITDR

I controlli  di rilevamento ITDR avvisano nel momento in cui c’è un’indicazione di un attore di minacce o di un insider che tenta di compromettere o sfruttare un’identità in un modo che indica un rischio per l’organizzazione. I controlli investigativi sono necessari per individuare e mitigare i rischi che non possono essere evitati, in modo che i soccorritori possano essere allertati e rispondere rapidamente in caso di attacco.

Il rilevamento efficace delle minacce all’identità prima del completamento dell’attacco è difficile da ottenere per diversi motivi:

• Meno tempo per rilevare gli attacchi: i tempi di latenza dell’attaccante in molti tipi di attacchi, come il ransomware, sono scesi da mesi a giorni. Concentrandosi sulla compromissione delle identità per le intrusioni nei sistemi, gli aggressori possono procedere molto più rapidamente nel loro attacco.
• Riduzione dell’efficacia dei controlli di sicurezza esistenti: poiché gli aggressori continuano a sfruttare le identità come percorsi chiave per raggiungere gli obiettivi finali, hanno abbandonato molte tecniche precedenti, rendendo meno efficaci gli strumenti di sicurezza che difendono da queste tecniche. Gli aggressori hanno inoltre regolarmente dimostrato che, una volta ottenuta l’escalation dei privilegi, sono in grado di disattivare i controlli di sicurezza, compresi gli agenti EDR (endpoint) responsabili del loro rilevamento.
• Incapacità di rilevare con precisione le attività dannose da quelle accettabili degli account privilegiati: l’analisi degli utenti privilegiati basata su firme e comportamenti si è dimostrata inefficace nel rilevare con precisione gli aggiornamenti dannosi dei privilegi e i movimenti laterali. La mancanza di un numero sufficiente di comportamenti accettabili degli account amministrativi privilegiati (ciò che gli scienziati dei dati chiamano alta entropia dei dati) ha portato a difficoltà nello stabilire linee di base efficaci necessarie per ridurre al minimo i falsi positivi. E, naturalmente, i falsi positivi sono un problema grave se fanno perdere tempo e risorse ai team di sicurezza.

Pertanto, è necessario un rilevamento più accurato degli account privilegiati compromessi. L’inganno e il suo approccio altamente deterministico, che consiste nell’inserire contenuti ingannevoli per attirare gli aggressori, offrono un’alternativa valida e comprovata all’analisi comportamentale per rilevare con precisione l’escalation dei privilegi e il movimento laterale.

Quando viene implementato correttamente, l’approccio basato sull’inganno crea esche con cui solo un attaccante potrebbe interagire, basandosi sulla comprensione delle tecniche e degli strumenti dell’attaccante, senza lasciare indizi che possano fargli credere di essere in trappola.

Per rispondere alle crescenti esigenze di identity threat detection e response, Proofpoint offre una soluzione ITDR completa. La soluzione Proofpoint fornisce controlli preventivi per scoprire e correggere continuamente le vulnerabilità dell’identità prima che vengano sfruttate, oltre a fornire controlli investigativi che impiegano tecniche di inganno per rilevare con precisione le attività di escalation dei privilegi, account takeover e movimento laterale da parte degli attori delle minacce nel momento in cui si verificano. Scopri come Proofpoint può aiutarti a migliorare la tua sicurezza incentrata sull’identità!