Quali sono, secondo voi, le principali sfide e minacce nel campo della Identity Security e quali evoluzioni prevedete per i prossimi cinque anni?

L’identità non è più un’entità singola o rinchiusa in un cassetto. Una definizione più appropriata è che l'identità è il fulcro di ogni azienda moderna, poiché è utilizzata attraverso le reti locali e cloud, SaaS, PaaS, dati, lavoro da remoto e altro e da numerosi dispositivi. Sfortunatamente, consente anche agli aggressori di lanciare i loro attacchi su superfici ibride su scala industriale. Inoltre, basta una sola identità compromessa affinché gli aggressori possano navigare rapidamente in sistemi di rete complessi e rubare dati critici da organizzazioni ovunque, senza nemmeno essere rilevati dalla maggior parte dei team SOC.

La realtà è che tutti gli attacchi ibridi di oggi e domani alla fine diventano attacchi all’identità. Come lo sappiamo? Perché, nonostante siano stati investiti milioni di euro in strumenti di sicurezza per difendere gli ambienti ibridi, il 90% delle aziende ha subito un attacco all’identità. Inoltre, gli aggressori hanno reso disponibili a pagamento tecniche come il phishing-as-a-service e il ransomware-as-service, consentendo loro di replicare attacchi riusciti che coinvolgono identità su larga scala. Inoltre, la rapida adozione e integrazione di strumenti GenAI come Microsoft Copilot negli ambienti aziendali stanno già creando superfici di attacco nuove e altamente accessibili. Gli strumenti basati sull’intelligenza artificiale sono destinati a semplificare le operazioni, ma sono anche gli obiettivi principali degli attacchi all’identità perché i grandi modelli linguistici (LLM) che li alimentano hanno accesso a dati aziendali proprietari. Con una sola violazione, gli aggressori ottengono lo stesso vantaggio basato sull’intelligenza artificiale, utilizzando le capacità di questa tecnologia a livello aziendale contro l’azienda stessa, sfruttando le identità per diffondere i propri attacchi alla velocità e alla portata dell’AI.

Originariamente, l'identità era accessibile solo se un utente malintenzionato era già nella rete: la convinzione era che firewall, EDR e policy fossero sufficienti per proteggere le identità e costituissero la prima linea per la difesa dell’identità. Non è più così. Anche l’introduzione e l’utilizzo massivo dell’autenticazione multi-fattore (MFA) non ha fermato gli aggressori dal trovare modalità con cui bypassarla.

In questo scenario in espansione legato alle minacce alle identità e alla GenAi, mettere efficacemente un’identità in sicurezza richiede capacità di rilevamento e risposta post-compromissione basate sull’intelligenza artificiale per difendersi dagli attacchi in corso, che siano in grado di unificare l’analisi attraverso una superficie ibrida (on-prem, cloud PaaS, SaaS) nella quale l’identità ha vita e viene utilizzata.

Come la vostra soluzione di Identity Security risponde alle attuali esigenze del mercato e in che modo si differenzia da quelle dei competitor?

Vectra Identity Threat Detection and Response (ITDR) è una funzionalità all'interno della piattaforma Vectra AI per individuare attacchi all'identità che altri strumenti non sono in grado di rilevare e protegge tutti gli account con meno sforzo. Vectra ITDR difende dagli aggressori che abusano delle identità, inclusi account di amministrazione e di servizio, e prendono di mira l'infrastruttura delle identità e blocca efficacemente gli attacchi alle identità che si estendono su Network Active Directory, Microsoft Entra ID (in precedenza Azure AD) e identità cloud in tempo reale. La nostra copertura dell'identità è poi correlata all'attività più ampia della rete e del cloud e la visibilità integrata semplifica le investigazioni e consente una risposta automatizzata e personalizzata.

Nel dettaglio Vectra ITDR:

• Blocca la compromissione dell'identità e il furto degli account rilevando e impedendo agli aggressori di accedere a Microsoft Entra ID (Azure AD) e alle applicazioni cloud connesse.
• Rileva l'abuso di account privilegiati/account di servizio utilizzando l'intelligenza artificiale brevettata per apprendere i privilegi degli utenti e comprendere cosa è dannoso. Monitora continuamente tutte le identità, sia umane che di servizio, in modo automatico.
• Blocca i movimenti laterali e i ransomware rilevando gli aggressori prima che abbiano la possibilità di causare danni. Gli avvisi basati sul comportamento coprono vari vettori di attacco, tra cui Active Directory (AD), Microsoft Entra ID (Azure AD), RDP e NTLM.
• Rileva l’abuso di Microsoft Copilot: il rilevamento comportamentale basato sull'intelligenza artificiale identifica gli aggressori che abusano di Copilot per M365 riconoscendo accessi sospetti, raccolta di dati e comportamenti di jailbreak.
• Protegge l'infrastruttura delle identità fornendo una copertura completa per gli aggressori che prendono di mira credenziali e archivi di identità utilizzando tecniche come Kerberoasting, DCSYNC e query rogue LDAP.