Articolo a firma Darren Mar-Elia, VP of Products, Semperis
La sicurezza incentrata sulle identità sarà sulla bocca di tutti nel 2023.
Negli ultimi anni le aziende sono passate a modelli più flessibili per adattarsi alla così detta epoca della “nuova normalità”. Il risultato? Gli ambienti cloud ibridi sono sempre più diffusi. Il mondo del lavoro, quindi, ha continuato la strada verso la digitalizzazione, come dimostra l’ampia gamma di tecnologie, soluzioni, applicazioni e dispositivi innovativi che offrono diversi vantaggi operativi e produttivi.
D’altro canto, però, le valutazioni in termini di sicurezza di questa transizione sono state un po’ complesse.
Il passaggio al cloud implica infatti la scomparsa del perimetro di rete tradizionale e le aziende si trovano a dover gestire ambienti con identità ibride e caratterizzati da una serie infinita di potenziali punti di accesso da difendere. È emersa una preoccupazione chiave tra molte aziende: come impedire agli utenti malintenzionati di spostarsi liberamente tra gli ambienti on-premise basati su Active Directory (AD) e quelli cloud incentrati su Azure AD.
Il motivo principale per cui molte realtà hanno sviluppato gli ambienti ibridi non era rappresentato dalla sicurezza, ma piuttosto da un’esigenza operativa in risposta alla pandemia. Il risultato è che ora molte di quelle aziende stanno cercando di colmare a posteriori i gap nella sicurezza, anche se purtroppo non è un obiettivo semplice. Quando si parla di minacce che puntano ad AD, che si tratti di prevenire, rilevare, risolvere o ripristinare, le sfide riguardano l’intero ciclo di vita di un attacco ad AD.
Per questo molte aziende temono di non avere le competenze per rispondere a tali sfide nell’attuale scenario delle minacce. Grazie a un sondaggio effettuato da Semperis, che ha coinvolto i responsabili IT e della sicurezza di oltre 50 aziende, abbiamo scoperto che solo un terzo (33%) di queste era fiducioso sulla sua capacità di prevenire gli attacchi ad AD on-premise, mentre poco più di un quarto (27%) si è detto sicuro di poter contrastare gli attacchi ad Azure AD.
Il ruolo chiave delle soluzioni ITDR (Identity Threat Detection and Response)
Questi dati sono preoccupanti, soprattutto visto che i sistemi di gestione delle identità rappresentano ormai un obiettivo chiave degli utenti malintenzionati.
Si stima che AD venga sfruttato in 9 attacchi informatici su 10. Persino Gartner evidenzia come l’uso dannoso delle credenziali sia la tecnica principale scelta per le violazioni. Non è un caso se gli utenti malintenzionati sostenuti da governi nazionali che scelgono come target AD e l’infrastruttura delle identità raggiungano risultati pazzeschi.
È da specificare che gli ambienti ibridi non spariranno, in quanto, non solo AD è il principale strumento di archiviazione per il 90% delle aziende al mondo, ma secondo Gartner solo il 3% delle organizzazioni eseguirà una migrazione completa da AD on-premise a un servizio basato su cloud entro il 2025.
Per tali ragioni, oltre ad aver indicato la difesa dei sistemi di gestione delle identità come uno dei trend chiave per la sicurezza informatica del 2022, Gartner ha ideato anche una categoria del tutto nuova: le soluzioni ITDR (Identity Threat Detection and Response).
È ovvio che le aziende sanno di dover proteggere meglio i propri sistemi di gestione delle identità.
Purtroppo, più di tre quarti degli intervistati (77%) hanno ammesso che le conseguenze probabilmente sarebbero gravi o critiche se un attacco mettesse fuori uso AD. Solo il 32% si è detto “molto fiducioso” rispetto alla capacità di ripristino dopo un attacco ad AD.
In una fase in cui le aziende cercano di dare una svolta rispetto alle minacce ad AD, le soluzioni ITDR ideate appositamente per proteggere i sistemi di gestione delle identità sono quindi diventate una priorità. Del resto, le organizzazioni sono in cerca di diversi metodi per difendere e ripristinare i propri ambienti ibridi.
Ecco alcuni dei requisiti più importanti di una soluzione ITDR secondo i partecipanti al sondaggio.
- Ripristino di AD rapido e automatico
Il sondaggio mostra come, in caso di un attacco informatico che metta fuori gioco AD, una netta maggioranza (77%) delle aziende subirebbe conseguenze serie (dispone di una soluzione di ripristino di emergenza generale ma non di una specifica per AD) o critiche (dovrebbe procedere a un ripristino manuale tramite backup che richiederebbe giorni o settimane). Perciò, la possibilità di un ripristino automatico e rapido, nel giro di ore, anziché di giorni o settimane, è una delle priorità chiave per chi cerca una soluzione ITDR.
- Rilevamento degli attacchi che aggirano gli strumenti tradizionali
Tra le preoccupazioni principali legate alla protezione di AD, gli intervistati hanno indicato anche il mancato rilevamento degli attacchi da parte degli strumenti di monitoraggio tradizionali. Le organizzazioni sono alla ricerca di soluzioni che ricorrono a diverse fonti di dati, incluso il flusso di replica di AD, per individuare e limitare gli effetti degli attacchi avanzati.
- Maggiore trasparenza in AD e Azure AD
Rilevare gli attacchi che passano da AD on-premise ad Azure AD, e viceversa, è emerso come uno dei maggiori timori delle aziende che gestiscono ambienti ibridi. Infatti, solo un terzo dei partecipanti al sondaggio ha detto di sentirsi molto fiducioso rispetto alla capacità di prevenire o risolvere un attacco ad AD on-premise. Quando si parla di Azure AD, tale percezione è solo del 27%. Le aziende hanno bisogno di soluzioni che forniscano maggiore trasparenza sulle attività relative agli ambienti sia AD che Azure AD.
- Individuazione di vulnerabilità e configurazioni errate già esistenti
Dato il numero di attacchi che sfruttano le vulnerabilità di AD pressoché ogni giorno, le aziende sono comprensibilmente preoccupate rispetto alla valutazione dei propri ambienti alla ricerca di falle che gli utenti malintenzionati potrebbero sfruttare. Del resto, identificarle è il primo passo per migliorare la sicurezza. Un programma di manutenzione a lungo termine implica la verifica costante del livello di protezione delle identità per isolare i punti deboli, un aspetto che le aziende ricercano nelle soluzioni ITDR.
- Correzione automatica
Spesso, non appena gli utenti malintenzionati hanno infettato il sistema con il malware, gli attacchi informatici avvengono alla velocità della luce. Pertanto la correzione automatica è fondamentale per evitare che un exploit ottenga privilegi avanzati o addirittura prenda il controllo della rete. Nel celebre attacco NotPetya del 2017 al gigante delle spedizioni marittime Maersk, l’intera rete dell’azienda è stata compromessa in pochi minuti. Gli intervistati hanno indicato la capacità di correzione automatica delle modifiche dannose, al fine di impedire la rapida diffusione degli attacchi, come funzionalità più importante. Seguono poi il monitoraggio e la correlazione delle modifiche tra AD on-premise e Azure AD.
Risposta ai diversi requisiti con una strategia multilivello
È evidente come le aziende vogliano soluzioni in grado di gestire le minacce prima, durante e dopo un attacco che sfrutta le identità.
Il ripristino rapido da un evento di questo genere è essenziale. Anche la possibilità di reagire alle minacce è altrettanto importante perché le aziende vogliono risolvere le loro vulnerabilità e bloccare immediatamente gli utenti malintenzionati. Sono necessarie una serie di capacità che includono le valutazioni del livello di sicurezza, il monitoraggio in tempo reale, la correzione automatica delle minacce rilevate e un backup e un ripristino rapidi di una foresta AD.
Quando valutano le soluzioni ITDR, le aziende dovrebbero quindi scegliere quelle che forniscono una difesa stratificata e completa, in grado di offrire una protezione ottimale dei loro ambienti ibridi.
È possibile scaricare il sondaggio di Semperis Evaluating Identity Threat Detection & Response (ITDR) Solutions per saperne di più sull’emergente categoria delle soluzioni ITDR e su come quelle più avanzate possono contribuire alla difesa della tua infrastruttura per la gestione delle identità.