Risponde Marco Rottigni, Technical Director di SentinelOne
Il campo della Identity Security è ultimamente una delle aree di attenzione principali per gli attaccanti e di conseguenza una delle aree più critiche per la sicurezza informatica aziendale. Le principali sfide in questo ambito sono caratterizzate da un volume ed una varianza elevate. Una prima problematica riguarda la gestione delle identità in ambienti ibridi e multi-cloud: con l'adozione crescente di servizi cloud, le organizzazioni faticano a mantenere una visione unificata e sicura delle identità attraverso ambienti on-premise e cloud diversi.
Una seconda sfida è relativa alla protezione da attacchi di credential stuffing e password spraying: questo tipo di attacchi sfruttano credenziali rubate o deboli e rimangono una minaccia costante. L'attacco "Solarwinds" del 2020 ha dimostrato quanto possano essere devastanti questi tipi di intrusioni. Una terza sfida riguarda la gestione dei privilegi e principio del minimo privilegio: limitare correttamente gli accessi privilegiati senza ostacolare la produttività rimane una problematica diffusa e una fonte di preoccupazione significativa.
Un altro tema oggetto di minaccia è il contrasto agli attacchi di phishing avanzato e social engineering; con la costante evoluzione delle tecniche di ingegneria sociale, proteggere gli utenti da manipolazioni sofisticate diventa un obiettivo sempre più difficile.
A tutto questo si aggiunge Active Directory (sia on-prem che esteso al cloud con Entra), utilizzato dalla quasi totalità delle aziende per gestire le identità. Secondo un report di Varonis del 2021, il 50% degli account utente in AD sono inattivi, creando potenziali vulnerabilità. Secondo un report di CyberArk del 2022, il 44% delle organizzazioni ha subito un attacco mirato ad Active Directory negli ultimi 12 mesi. L'attacco "DCSync", che sfrutta le vulnerabilità di AD per rubare credenziali, è diventato tristemente noto dopo essere stato utilizzato in diversi attacchi ad alto profilo.
Active Directory è infatti paragonabile al "cervello" della rete aziendale. Contiene informazioni su tutti gli utenti, computer e risorse, e controlla chi può accedere a cosa. Quando un attaccante riesce a compromettere AD, è come se avesse le chiavi del regno. I principali rischi degli attacchi ad AD includono:
Un esempio concreto di attacco ad AD è il "Kerberoasting". Questo attacco sfrutta il modo in cui AD autentica i servizi. L'attaccante richiede un ticket speciale (TGS) per un servizio, e poi tenta di decifrarlo offline per ottenere la password del servizio. Se ci riesce, può impersonare quel servizio e accedere a risorse sensibili.
Un altro attacco noto è il "DCSync", menzionato prima. In questo caso, l'attaccante si finge un controller di dominio e richiede le password di tutti gli utenti ad un vero controller di dominio. Questo può portare al furto di migliaia di credenziali in pochi secondi. Come reagire a questa situazione drammatica? Tutto parte dalla consapevolezza continua della superficie esposta, supportata da un sistema di allarme in tempo reale sui tentativi di attacco. Quindi, dall’organizzazione di una strategia di difesa adatta alle particolarità della superficie Identity.
La soluzione Singularity Identity di SentinelOne è strutturata in tre elementi, che adottati progressivamente forniscono una difesa particolarmente efficace per questa superficie di attacco. L’Identity è infatti un ambito la cui difesa non può e non deve essere organizzata come la protezione – ad esempio – degli endpoint o del cloud.
La sua compromissione ne richiede l’immediata dismissione e distruzione, per evitare che i privilegi guadagnati dall’attaccante permettano una progressione troppo avanzata nella catena di compromissione – con danni devastanti per l’intera organizzazione aziendale. Il primo pilastro di questa strategia si chiama Identity Security Posture Management: permette di effettuare un assessment continuo e costante dell’esposizione – per configurazioni errate e per vulnerabilità – dell’intero ambiente Active Directory, incluse le estensioni cloud come Entra ID. La soluzione permette anche di essere allertati in tempo reale su anomalie massive, quali ad esempio disabilitazione account, password spray, ecc.
Il secondo pilastro della strategia si chiama Singularity Identity per IdP, che offre presidio e protezione di Domain Controller e Application Server contro attacchi basati su elevazione dei privilegi, protocollo Kerberos e molti altri. Le reazioni vanno dall’allarme, ad una challenge MFA, al conditional access e fino al blocco.
Il terzo pilastro riguarda la strategia di difesa tramite deception, cioè inganno dell’attaccante. Qualora l’aggressore conquistasse una workstation a dominio ed iniziasse un’attività di enumerazione risorse o reconnaissance, riceverebbe risposte plausibili ma fittizie – mentre le Security Operations sono allertate in tempo reale. Questa difesa multilivello, combinata con le altre capacità offerte dalla SentinelOne Singularity Platform, garantisce una difesa efficace ed il mantenimento di una postura di sicurezza elevata e conforme alla dimensione e alla velocità raggiunta dalla minaccia.