Critico: attacchi basati sull'identità

26. Agosto 2021
| Non ci sono commenti
Critico: attacchi basati sull'identità

Condividi post

Gli attacchi basati sull'identità sono oggi una delle maggiori minacce alla sicurezza IT, poiché le moderne reti aziendali ibride offrono ai criminali informatici numerosi punti di ingresso. Un commento di Martin Kulendik, Regional Sales Director DACH di Silverfort.

Ad esempio, gli hacker utilizzano gli account compromessi per ottenere l'accesso iniziale tramite app SaaS e IaaS nel cloud pubblico o penetrano nel perimetro aziendale tramite connessioni VPN o Remote Desktop Protocol (RDP) compromesse. Gli hacker possono quindi continuare i loro attacchi da una macchina all'altra utilizzando credenziali compromesse. Il movimento laterale di questo tipo si verifica sia nelle minacce persistenti avanzate (APT) che nella distribuzione automatizzata di malware o ransomware.

Debolezze nelle soluzioni di sicurezza dell'identità

Le elevate percentuali di successo di questi attacchi, sotto forma di acquisizione di account, accesso remoto dannoso o spostamento laterale, rivelano le debolezze intrinseche prevalenti nelle soluzioni e nelle pratiche di sicurezza dell'identità odierne. Questo articolo spiega le ragioni di ciò e presenta un nuovo concetto di sicurezza per la protezione olistica delle identità, con il quale le aziende possono colmare le lacune esistenti nella loro sicurezza dell'identità e riprendere il sopravvento contro gli attacchi basati sull'identità.

Lacune critiche nella sicurezza dell'identità tradizionale

L'odierna sicurezza dell'identità aziendale presenta carenze sia nel rilevare se l'autenticazione dell'utente rappresenta un rischio sia nel prevenire tentativi di autenticazione dannosi. Il divario di rilevamento deriva dal fatto che le organizzazioni stanno ora utilizzando più soluzioni di gestione di identità e accessi (IAM) attraverso la rete ibrida. Un'azienda tipica implementa almeno una directory locale come Active Directory, un provider di identità cloud (IdP) per le applicazioni Web moderne, una VPN per l'accesso remoto alla rete e una soluzione PAM (Privileged Access Management) per la gestione dell'accesso privilegiato.

Ciò che spesso manca, tuttavia, è un'unica soluzione unificata che monitori e analizzi tutte le attività di autenticazione degli utenti in tutte le risorse e gli ambienti. Ciò limita fortemente la capacità di comprendere il contesto completo di ogni tentativo di accesso e rilevare anomalie che indicano comportamenti rischiosi o uso dannoso di credenziali compromesse.

I controlli di sicurezza IAM come MFA non sono sufficienti

Il divario di prevenzione deriva dal fatto che i controlli di sicurezza IAM essenziali come l'autenticazione a più fattori (MFA), l'autenticazione basata sul rischio (RBA) e l'applicazione dell'accesso condizionale non coprono tutte le risorse aziendali, lasciando lacune di sicurezza critiche. Di conseguenza, molti asset e risorse rimangono non protetti: tra cui applicazioni proprietarie e sviluppate internamente, infrastrutture IT, database, condivisioni di file, strumenti a riga di comando, sistemi industriali e molti altri asset sensibili che possono diventare obiettivi primari per gli aggressori. Queste risorse si basano ancora su meccanismi basati su password e protocolli legacy che non possono essere protetti dalle odierne soluzioni basate su agenti o proxy. Questo perché la maggior parte delle soluzioni di sicurezza IAM non è in grado di integrarsi con esse o non supporta i loro protocolli.

Quando si considerano tutte le diverse risorse in una rete aziendale ibrida e tutte le possibili vie di accesso a ciascuna di esse, diventa chiaro che proteggere solo alcune di queste risorse non è sufficiente. Perché ogni sistema non protetto lascia un possibile gateway per gli aggressori. Tuttavia, proteggere singolarmente tutti i sistemi aziendali mediante l'implementazione di agenti software, proxy e kit per sviluppatori software (SDK) non è più realistico. Di conseguenza, le attuali soluzioni di sicurezza IAM non forniscono un modo efficace per prevenire efficacemente l'uso di credenziali compromesse per l'accesso dannoso e il movimento laterale.

Protezione unificata dell'identità

Protezione uniforme dell'identità per colmare le lacune di sicurezza

Al fine di affrontare i vettori di minacce basati sull'identità e colmare le lacune di rilevamento e prevenzione sopra menzionate, l'approccio alla sicurezza per una protezione olistica delle identità (protezione unificata dell'identità) dovrebbe basarsi sui seguenti tre pilastri fondamentali:

1. Monitoraggio continuo e unificato di tutte le richieste di accesso

Il monitoraggio continuo e olistico di tutte le richieste di accesso su tutti i protocolli di autenticazione (accesso da utente a macchina e da macchina a macchina) e su tutte le risorse e gli ambienti è necessario per una visibilità completa e un'accurata analisi dei rischi. Ciò include qualsiasi tentativo di accesso, che si tratti di endpoint, carichi di lavoro cloud, applicazioni SaaS, file server on-premise, applicazioni aziendali legacy o qualsiasi altra risorsa.

Tutti i dati di monitoraggio devono essere aggregati in un repository unificato per consentire ulteriori analisi. Tale repository può aiutare le organizzazioni a superare il problema intrinseco dei silos IAM e consentire il rilevamento e l'analisi delle minacce.

2. Analisi dei rischi in tempo reale per ogni singolo tentativo di accesso

Martin Kulendik, direttore vendite regionale DACH a Silverfort (foto: Silverfort).

Per rilevare e rispondere efficacemente alle minacce, ogni richiesta di accesso deve essere analizzata per comprenderne il contesto, in tempo reale. Ciò richiede la capacità di analizzare l'intero comportamento dell'utente, ovvero tutte le autenticazioni che l'utente esegue su una rete, cloud o risorsa locale, non solo il primo accesso alla rete, ma tutte le ulteriori registrazioni all'interno di questi ambienti. Ciò consente un'analisi dei rischi altamente accurata e in tempo reale che fornisce il contesto necessario per determinare se le credenziali fornite potrebbero essere compromesse.

3. Applicare l'autenticazione adattiva e le policy di accesso a tutti i tentativi di accesso

Per applicare la protezione in tempo reale, i controlli di sicurezza come MFA, autenticazione basata sul rischio e accesso condizionato devono essere estesi a tutte le risorse aziendali in tutti gli ambienti. Come già spiegato, non è pratico implementare misure di protezione sistema per sistema. Da un lato, ciò è dovuto alla natura dinamica degli ambienti moderni, che rende questo un compito senza fine; in secondo luogo, il fatto che molte risorse semplicemente non sono coperte dalle soluzioni di sicurezza IAM esistenti.

Per ottenere una protezione veramente completa e unificata, quindi, è necessaria una tecnologia che imponga questi controlli senza richiedere l'integrazione diretta con ciascuno dei vari dispositivi, server e applicazioni e senza enormi modifiche all'architettura.

Integrazione di Unified Identity Protection nelle soluzioni IAM esistenti

Una soluzione di protezione dell'identità unificata consolida i controlli di sicurezza IAM e li estende a tutti gli utenti, le risorse e gli ambienti dell'organizzazione. Attraverso una nuova architettura senza agente e senza proxy, questa tecnologia può monitorare tutte le richieste di accesso agli account utente e di servizio su tutte le risorse e gli ambienti ed estendere l'analisi ad alta precisione basata sul rischio, l'accesso condizionale e le policy di autenticazione a più fattori a tutte le risorse nell'ibrido coprire l'ambiente aziendale. Le misure di protezione possono essere estese anche a beni che prima non potevano essere tutelati. Questi includono, ad esempio, applicazioni interne e legacy, infrastrutture critiche, file system, database e strumenti di accesso amministrativo come PsExec, che attualmente consentono agli aggressori di aggirare l'MFA basato su agenti.

È importante chiarire che Unified Identity Protection non sostituisce le soluzioni IAM esistenti. Invece, questa tecnologia consolida le loro capacità di sicurezza ed estende la loro copertura a tutte le risorse, incluse quelle non supportate nativamente dalle soluzioni IAM. Ciò garantisce che le organizzazioni possano gestire e proteggere tutte le proprie risorse in tutti gli ambienti con policy e visibilità coerenti per contrastare efficacemente i molteplici vettori di attacco basati sull'identità.

Altro su Silverfort.com

 

A proposito di Silverfort

Silverfort fornisce la prima piattaforma unificata di protezione dell'identità che consolida i controlli di sicurezza IAM nelle reti aziendali e negli ambienti cloud per mitigare gli attacchi basati sull'identità. Utilizzando l'innovativa tecnologia agentless e proxyless, Silverfort si integra perfettamente con tutte le soluzioni IAM, unificando l'analisi dei rischi e i controlli di sicurezza ed estendendo la copertura ad asset che in precedenza non potevano essere protetti, come applicazioni interne e legacy, infrastruttura IT, file system, riga di comando strumenti, accesso da macchina a macchina e altro ancora. L'azienda è stata riconosciuta come "Cool Vendor" da Gartner, "FireStarter" da 451 Research e "Upstart 100" da CNBC.

 

Articoli relativi all'argomento

Piattaforma di sicurezza informatica con protezione per ambienti 5G

Lo specialista della sicurezza informatica Trend Micro svela il suo approccio basato su piattaforma per proteggere la superficie di attacco in continua espansione delle organizzazioni, inclusa la sicurezza ➡ Leggi di più

Manipolazione dei dati, il pericolo sottovalutato

Ogni anno, il 31 marzo, la Giornata mondiale del backup serve a ricordare l'importanza di backup aggiornati e facilmente accessibili ➡ Leggi di più

Le stampanti come rischio per la sicurezza

I parchi stampanti aziendali stanno diventando sempre più un punto cieco e pongono enormi problemi in termini di efficienza e sicurezza. ➡ Leggi di più

La legge sull’AI e le sue conseguenze sulla protezione dei dati

Con la legge sull’AI è stata approvata la prima legge sull’IA che concede ai produttori di applicazioni AI un periodo di sei mesi e mezzo ➡ Leggi di più

Sistemi operativi Windows: quasi due milioni di computer a rischio

Non sono più disponibili aggiornamenti per i sistemi operativi Windows 7 e 8. Ciò significa lacune di sicurezza aperte e quindi utile e ➡ Leggi di più

L'intelligenza artificiale su Enterprise Storage combatte il ransomware in tempo reale

NetApp è uno dei primi a integrare l'intelligenza artificiale (AI) e il machine learning (ML) direttamente nello storage primario per combattere il ransomware ➡ Leggi di più

Suite di prodotti DSPM per la sicurezza dei dati Zero Trust

Il Data Security Posture Management – ​​in breve DSPM – è fondamentale per le aziende per garantire la resilienza informatica contro la moltitudine ➡ Leggi di più

Crittografia dei dati: maggiore sicurezza sulle piattaforme cloud

Le piattaforme online sono spesso bersaglio di attacchi informatici, come recentemente è successo a Trello. 5 suggerimenti per garantire una crittografia dei dati più efficace nel cloud ➡ Leggi di più

Messaggi PR
, , , ,