Man mano che aumenta il numero di remote worker e che le applicazioni e i carichi di lavoro finiscono nel cloud, l’identità diventa definitivamente l’ultimo perimetro. Ed è un perimetro che va rafforzato.
Credenziali rubate, account compromessi e attività fraudolente portano a violazioni dei dati, poiché quelli critici sono sempre più accessibili anche al di fuori del perimetro di rete tradizionale.
Il “2023 ForgeRock Identity Breach Report” ha rilevato che l’accesso non autorizzato è alla base del 49% di tutte le violazioni di dati. Per proteggere un perimetro basato sull’identità, le organizzazioni possono prendere in considerazione il rilevamento e la risposta alle minacce all’identità (Identity Threat Detection and Response – ITDR). Questa soluzione si aggiunge all’elenco sempre più ampio di prodotti e servizi di rilevamento e risposta.
Che cos’è l’ITDR
L’ITDR mira a migliorare la sicurezza delle infrastrutture incentrate sull’identità. I prodotti e le strategie ITDR identificano, analizzano, mettono in quarantena ed eliminano o rimediano le attività sospette che hanno come obiettivo i sistemi di identità. Inoltre, identificano le vulnerabilità sulla superficie di attacco prima che gli attacchi si verifichino.
L’ITDR si riferisce a uno strumento implementabile o, addirittura, a una strategia globale di cybersecurity che include best practice e processi da adottare per proteggere le infrastrutture basate sull’identità. L’ITDR è diventato un segmento formalizzato della sicurezza informatica nel 2022, coniato da Gartner. Il modo in cui un’organizzazione adotta l’ITDR dipende dalla maturità e dalle dimensioni del suo team di sicurezza. Un ITDR dovrebbe effettuare le seguenti attività:
- Analizzare e correggere le autorizzazioni e le configurazioni attuali.
- Implementare l’autenticazione a più fattori (MFA).
- Implementare la gestione degli accessi privilegiati (PAM).
- Monitorare Microsoft Active Directory (AD) e piattaforme simili.
- Rilevare in tempo reale le potenziali minacce all’identità, sia esterne che interne.
- Rimediare alle lacune di sicurezza e alle configurazioni errate.
Perché adottare l’ITDR
Molte organizzazioni dispongono di strutture di gestione delle identità e degli accessi (Identity Access Management- IAM) che controllano l’accesso degli utenti alle applicazioni e ai dati. Tuttavia, le policy e le procedure IAM non risolvono completamente i problemi di identità. Adottando l’ITDR, si aggiungono funzionalità di rilevamento delle minacce e di risposta agli incidenti alla propria strategia IAM complessiva.
I sistemi IAM e PAM (Privileged Access Management) forniscono funzionalità di autorizzazione e autenticazione in modo che gli utenti possano accedere solo alle risorse necessarie per svolgere il proprio lavoro. Il rilevamento e la risposta alle minacce all’identità si estendono a IAM e PAM, fornendo visibilità su eventuali usi impropri delle credenziali, come l’acquisizione di account e le attività di escalation dei privilegi. Sempre IAM e PAM possono anche introdurre lacune nella sicurezza che l’ITDR ha lo scopo di identificare e prevenire o correggere.
I prodotti e i servizi ITDR devono eseguire indagini e analisi rigorose basate sull’identità. Facilitano la correzione necessaria, migliorano l’accesso con il minimo privilegio e, quando è il caso, possono chiudere le sessioni di Remote Desktop Protocol.
L’ITDR può integrare le implementazioni di rilevamento e risposta degli endpoint (Endpoint Detection and Response – EDR). Mentre gli strumenti EDR monitorano gli endpoint alla ricerca di minacce informatiche, gli strumenti ITDR monitorano le attività degli utenti e i registri di gestione degli accessi. L’ITDR esamina i sistemi di identità alla ricerca di possibili attacchi, inganna gli aggressori e li indirizza verso esche, isola i sistemi colpiti da ulteriori attacchi e raccoglie dati sugli eventi per l’analisi.
Sfide nell’adozione dell’ITDR
Gli strumenti e le strategie ITDR potrebbero gravare sul budget IT. Ciò influisce sulle modalità di implementazione dell’ITDR, sia che si tratti di adottare uno strumento di un fornitore, sia che si tratti di utilizzare l’ITDR come strategia. Alcune organizzazioni ritengono che il loro attuale set di strumenti sia in grado di monitorare l’attività di attacco, mentre introducono gradualmente funzionalità ITDR che integrano le procedure esistenti.
L’aggiunta di uno strumento ITDR richiede un processo completo di valutazione e selezione del fornitore. I fornitori spesso affrontano in modo diverso la formazione, l’installazione, la manutenzione, la documentazione e il servizio clienti. L’implementazione richiede anche fasi di test e accettazione prima che un’organizzazione possa fare affidamento su uno strumento ITDR in produzione. È importante esaminare regolarmente i registri del sistema e altri dati relativi alle prestazioni per assicurarsi che funzioni.
Necessario sarà anche strappare il consenso del management sulla possibilità di aggiungere funzionalità ITDR e stabilire programmi formali. I membri del team di cybersecurity devono guidare i requisiti e l’adozione, nonché l’ottimizzazione continua.
Come stabilire una strategia e un programma ITDR
L’adozione dipende dall’attuale maturità del programma di cybersecurity dell’organizzazione. Le policy e le procedure IAM sono un buon precursore del rilevamento e della risposta alle minacce all’identità, per esempio richiedendo MFA (Multi factor Authentication), PAM e controlli di accesso basati sui ruoli.
In primo luogo, con i protocolli e i processi IAM in atto, le organizzazioni possono implementare strumenti e strategie per l’ITDR. Per esempio, uno strumento può rilevare configurazioni errate o autorizzazioni troppo ampie negli account AD, rendendo più efficace l’applicazione dell’IAM. Inoltre, possono aiutare le organizzazioni a rivedere e aggiornare firewall, sistemi di rilevamento e prevenzione delle intrusioni e altri dispositivi. Gli ITDR possono anche modificare le applicazioni antiphishing, antivirus, antimalware e altre applicazioni di sicurezza, collaborare con i fornitori di strumenti esistenti per implementare funzionalità incentrate sull’identità, oltre a valutare nuovi strumenti.
Il passo successivo è il monitoraggio continuo delle minacce per rilevare attività sospette sugli account. Questo potrebbe includere l’integrazione dell’ITDR con una distribuzione SIEM (Security Information and Event Management) esistente. Se uno strumento ITDR o un sistema host rileva una minaccia, un sistema SIEM può avvisare i team di sicurezza o attivare una risposta automatica per mitigare la minaccia. Per esempio, l’ITDR potrebbe attivare un processo di revoca temporanea delle credenziali in attesa che un operatore umano esamini l’avviso o implementare automaticamente misure di autenticazione graduale per l’utente.
A questo punto, diventa necessario predisporre un piano di risposta agli incidenti che tenga conto in modo specifico delle minacce basate sull’identità. Questo piano deve spiegare come gestire le credenziali rubate, l’acquisizione di account e l’escalation dei privilegi. Una strategia ITDR dovrebbe includere sempre anche una base di conoscenze e una formazione e sensibilizzazione dei dipendenti, in modo che gli utenti sappiano come individuare e rispondere alle attività sospette legate all’identità.
