Le minacce alla sicurezza delle identità sono in aumento sia per per numero che per complessità: chi è a rischio, che cosa cercano gli attaccanti e come abbassare la soglia di rischio.
Autore: Redazione SecurityOpenLab
Con gli attacchi basati sull’identità in aumento e sempre più spesso causa di gravi violazioni, la Multi-Factor Authentication (MFA) è stata ampiamente adottata in tutto il mondo. Tuttavia, considerando che quasi il 90% delle organizzazioni ha subito attacchi basati sull’identità nel 2023, l’implementazione della MFA non è sufficiente.
La realtà è che i rischi legati all’utilizzo della MFA come efficace procedura di sicurezza dell’identità continueranno probabilmente ad aumentare in futuro. Il motivo principale è legato all’emergere di attacchi informatici basati sull’Intelligenza Artificiale, che si sono intensificati nel 2023. L’AI e il machine learning si stanno rivelando formidabili moltiplicatori di forza, consentendo ai criminali informatici di lanciare attacchi altamente complessi e automatizzati che aggirano o superano le normali protezioni MFA. Tuttavia, gli attacchi guidati dall’AI non sono gli unici che alimentano la crescita degli attacchi diretti all’identità. Infatti, diversi rischi comuni legati alle cosiddette “situational threat” o minacce situazionali stanno portando ad attacchi basati sull’identità di grande successo.
La violazione di Okta del novembre 2023, per esempio, non è stata conseguenza di un attacco guidato dall’AI, ma semplicemente il risultato di un programma di identity access management (IAM) privo di sufficiente visibilità sugli utenti, sui loro accessi agli account e sul monitoraggio delle credenziali. Gli hacker hanno ottenuto l’accesso non autorizzato alla rete tramite il furto delle credenziali di un account di servizio memorizzato nel sistema e hanno avuto accesso a tutte le informazioni personali di ogni titolare di account Okta.
I rischi di minacce situazionali sono molto più controllabili rispetto alle minacce guidate dall’AI, a patto che l’organizzazione si doti delle migliori capacità di rilevamento. Con la giusta soluzione di rilevamento e risposta alle minacce all’identità questi attacchi si possono prevenire. Il primo passo è valutare i rischi di minaccia all’interno del proprio ambiente, che potrebbero non essere coperti - né rilevabili- dalle procedure di identity access management (IAM) o persino da quelle di privileged access management (PIM). Ecco le cinque principali minacce situazionali che contribuiscono al rapido aumento degli attacchi basati sull’identità e che, con la giusta soluzione, sono facilmente prevenibili.
La tolleranza al rischio di un’organizzazione è al minimo durante il processo di fusione o acquisizione (M&A). Innanzitutto, ogni fase dell’attività porta nella vita quotidiana dell’organizzazione nuovi comportamenti, nuove persone, nuovi processi, nuovi obiettivi e nuovi eventi. Questi cambiamenti avranno un impatto su tutti i livelli dell’organizzazione.
Inoltre, per sua stessa natura, le fusioni e acquisizioni comportano di solito il taglio di posti di lavoro, il che può significare dipendenti scontenti e conflitti territoriali tra il personale che possono comportare rischi legati all'identità. A tutti questi fattori si aggiunge la spinta del consiglio di amministrazione a concludere l'affare con il minor numero possibile di interruzioni. Questo può portare alcuni dirigenti a prendere delle scorciatoie sulle best practice procedurali o di gestione del rischio.
Un’altra forma di rischio situazionale è rappresentata da aziende e organizzazioni che lavorano o possiedono dati e/o infrastrutture di alto valore. Ciò rende più probabile che vengano prese di mira per attacchi all’identità. Un’azienda di servizi finanziari con un patrimonio di miliardi di dollari è un esempio di azienda con una probabilità più elevata di rischio situazionale di attacco alle identità. Anche le società energetiche con infrastrutture nucleari, le aziende sanitarie, le società di telecomunicazioni, gli studi legali e alcuni produttori presentano rischi situazionali elevati.
Con l’aumento del ricorso ad applicazioni, appaltatori e servizi esterni, aumenta anche il rischio di attacchi basati sull’identità. Il mantenimento di un rigoroso controllo degli accessi alle reti, ai servizi e alle applicazioni sensibili diventa più impegnativo con l’aumentare del numero di partner e fornitori terzi. Livelli di competenza diversi, partner commerciali distribuiti geograficamente, nonché abitudini e aspettative comportamentali culturalmente diverse, rappresentano tutti rischi di violazione delle identità per le organizzazioni.
I dipendenti possono essere una fonte importante di rischio per l’identità. Anche oggi che il pericolo delle minacce informatiche è ben noto, la maggior parte dei dipendenti spesso non segue neppure i protocolli di sicurezza più elementari. Il 62% dei professionisti utilizza una sola password per più account e il 31% delle organizzazioni dichiara di aver subito attacchi di tipo brute force o password spraying nell'ultimo anno. Le VPN possono aiutare a verificare e consentire l’accesso remoto di terzi, ma la loro visibilità è limitata. Anche le riduzioni di personale e i licenziamenti possono essere una causa significativa di minacce basate sull'identità. Si calcola che quasi un ex dipendente su tre abbia ancora accesso al SaaS aziendale.
Un altro rischio molto comune è che ai dipendenti venga concesso un accesso ai dati, alle applicazioni e alle reti superiore a quello necessario per svolgere il proprio lavoro. Questo può verificarsi quando ai nuovi dipendenti viene concesso un livello di accesso fisso o standardizzato che supera quello utile per ciascun ruolo.
Garantire un accesso troppo ampio apre la porta a dipendenti che potrebbero diventare vettori inconsapevoli di attacchi. In questi casi, gli strumenti IAM sono inefficaci perché l’accesso è stato concesso e quindi l’abuso non viene rilevato. Anche le identità privilegiate, in particolare gli account di servizio, sono difficili da monitorare.
La mancanza di visibilità sugli accessi, sulle identità e sui comportamenti degli utenti è il filo conduttore della maggior parte dei rischi situazionali. L’esplosione delle applicazioni SaaS ha reso molto difficile per i team di sicurezza IT accedere e ottenere visibilità sulle applicazioni SaaS, sull’identità degli utenti e sul loro comportamento all’interno della rete. L’espansione del lavoro a distanza ha reso più difficile determinare l’identità dei dipendenti di terze parti che accedono alla rete.
Inoltre, il rapido aumento del numero di identità aumenta la minaccia del rischio. Le statistiche sono impressionanti: circa il 98% delle organizzazioni ha registrato un aumento delle identità (ISDA). Inoltre, per ogni identità umana ci sono 45 identità di macchine/servizi e il 62% delle organizzazioni non ha visibilità sui dipendenti o sulle macchine che accedono ai propri dati e risorse sensibili.
La chiave per comprendere e bloccare il rischio basato sull’identità è la capacità di ribaltare i principali fattori di rischio situazionali. Questi fattori includono la mancanza di visibilità sull’identità degli utenti, la garanzia che il livello di accesso degli utenti alla rete sia appropriato e la capacità di contestualizzare rapidamente il comportamento degli utenti.
Il team SOC deve essere in grado di verificare automaticamente un utente, ottenere immediatamente visibilità sul suo comportamento all’interno della rete e del cloud e correlarlo immediatamente al livello di accesso e alle mansioni dell’utente, indipendentemente da dove si trovi. Inoltre, per ridurre al minimo il rischio di attacchi basati sull’identità, è necessario proteggere le organizzazioni con risposte appropriate e automatizzate. La bonifica immediata guidata dall’AI consente al team di bloccare i comportamenti non autorizzati, eliminare gli accessi e prevenire le violazioni, l’abuso delle applicazioni, l’esfiltrazione o altri danni. Tutto in pochi minuti, non in diversi mesi.
Massimiliano Galvagna è Country Manager per l’Italia di Vectra AI