I team della sicurezza che desiderano proteggere in modo proattivo le identità della loro azienda non hanno che l’imbarazzo della scelta in termini di strumenti di sicurezza. Ne esistono così tanti che sembra che ogni pochi mesi venga inventata una nuova categoria di strumenti solo per aiutare a tenerli tutti in ordine.
Poiché per la maggior parte dei team di sicurezza è sempre più difficile bloccare i criminali informatici che sfruttano le vulnerabilità legate alle identità per elevare i privilegi e spostarsi lateralmente nell’ambiente IT dell’azienda, alcuni degli strumenti più recenti si concentrano su questa parte centrale della catena di attacco. Il rilevamento e la risposta agli incidenti per gli endpoint (EDR, Endpoint Detection and Response) e il rilevamento e la risposta avanzati agli incidenti (XDR, eXtended Detection and Response) sono due strumenti che dovrebbero coprire questa specifica area di difesa. Purtroppo, a causa della loro architettura di base e delle loro funzionalità principali, non è proprio in quest’ambito che svolgono al meglio il loro compito. Per questo motivo è nata una nuova categoria di strumenti, il rilevamento e la neutralizzazione delle minacce legate alle identità (ITDR, l’Identity Threat Detection and Response), per colmare queste lacune.
In questo articolo del blog spiegheremo la differenza tra EDR, XDR e ITDR, in modo che tu possa comprendere come questi strumenti si completino e si rafforzino a vicenda. Ciascuna di queste soluzioni ha dei punti di forza che, se combinati, forniscono una sicurezza ancora più completa. Ma prima, riavvolgiamo la linea temporale dell’evoluzione della sicurezza informatica fino agli anni ’80 per comprendere perché l’ITDR è emerso come misura di difesa essenziale nell’attuale panorama delle minacce.
L’incremento di antivirus e firewall
Partiamo dagli anni ’80 perché è il decennio che ha visto l’avvento delle reti informatiche e la proliferazione dei personal computer. Abbiamo anche assistito al rapido aumento di nuove minacce poiché i criminali informatici hanno approfittato di entrambe le tendenze.
Naturalmente, già prima di questo decennio esistevano minacce informatiche degne di nota Come il programma autoreplicante “Creeper” nel 1971 e il Trojan ANIMAL nel 1975. Ma la velocità dello sviluppo si è notevolmente accelerata negli anni ’80, con la diffusione del personal computing e delle reti informatiche, e criminali informatici e altri malfattori hanno cercato di trarre profitto da dispositivi e sistemi o semplicemente di violarli.
Nel 1987, l’esperto di sicurezza informatica tedesco Bernd Robert Fix ha sviluppato un programma software per bloccare un virus noto come Vienna. Il virus distruggeva file a caso sui computer infettati. Il programma di Fix funzionò dando vita all’industria dei software antivirus. Tuttavia, sebbene i primi antivirus fossero utili, potevano rilevare e neutralizzare solo i virus noti sui sistemi infetti.
I firewall, che monitorano e controllano il traffico di rete, fanno parte delle innovazione nell’ambito della sicurezza degli anni ‘80. I primi firewall “a livello di rete” erano progettati per valutare i “pacchetti” (piccoli insiemi di dati) in base a semplici informazioni come la fonte, la destinazione e il tipo di connessione. Se i pacchetti erano approvati, venivano inviati al sistema che richiedeva i dati; in caso contrario, venivano scartati.
L’esplosione di Internet e l’intensificarsi del crimine informatico
La fine degli anni Novanta e l’inizio degli anni Duemila hanno visto la crescita esplosiva di Internet come piattaforma commerciale essenziale, dando il via a un’era di profonda trasformazione. Questa esplosione ha portato nuove opportunità ma anche molti nuovi rischi e minacce per la sicurezza.
In questo periodo, la criminalità informatica si è sviluppata ed è diventata un’industria più formalizzata e globale. I criminali informatici si sono concentrati sullo sviluppo di malware e altre minacce. Le email contenenti allegati dannosi e le argute strategie di social engineering sono diventate rapidamente gli strumenti preferiti dai criminali informatici per distribuire le loro innovazioni e sfruttare utenti ignari per attivare le loro campagne.
Man mano che le minacce informatiche diventavano più sofisticate, i team della sicurezza hanno fatto evolvere i tradizionali strumenti basati sul rilevamento per dotarli delle seguenti funzionalità:
- Rilevamento basato su firme per identificare il malware noto
- Analisi euristica per rilevare minacce precedentemente difficili da rilevare sulla base di modelli comportamentali sospetti
Tutti questi metodi erano relativamente efficaci, ma ancora una volta, non riuscivano a tenere il passo con l’innovazione dei criminali informatici e tendevano a generare molti falsi positivi e falsi negativi.
L’avvento degli strumenti SIEM
Intorno al 2005, hanno fatto il loro ingresso in scena gli strumenti di gestione degli eventi e delle informazioni di sicurezza (SIEM, Security Information and Event Management) per migliorare la capacità di rilevamento e risposta agli incidenti di sicurezza dei team di sicurezza. Uno strumento SIEM combina la gestione degli eventi di sicurezza (SEM, Security Event Management) e la gestione delle informazioni di sicurezza (SIM, Security Information Management). Può aggregare e analizzare i dati di log provenienti da varie fonti su una rete per identificare potenziali incidenti di sicurezza.
Gli strumenti SIEM possono fornire un livello essenziale di protezione per l’ecosistema digitale di un’azienda, offrendo visibilità in tempo reale, rilevamento e neutralizzazione delle minacce avanzate, gestione della conformità e altro ancora. Tuttavia, hanno anche i loro limiti, in particolare quando si tratta di gestire il volume e la complessità delle minacce informatiche moderne.
Questo ci porta a parlare di EDR e XDR, due approcci alla sicurezza informatica che offrono un rilevamento e una neutralizzazione più completi rispetto ai sistemi SIEM e ad altri metodi.
Cos’è l’EDR?
Anton Chuvakin, ex analista di Gartner, ha coniato il termine EDR nel 2013 per descrivere gli strumenti utilizzati per rilevare e indagare le attività sui singoli endpoint, come i desktop e i server.
L’obiettivo principale della tecnologia EDR è quello di fornire visibilità in tempo reale sulle attività di sicurezza rilevanti per gli endpoint, offrendo al contempo un monitoraggio continuo delle potenziali minacce. I sistemi EDR analizzano i dati raccolti da varie fonti per identificare comportamenti sospetti o indicatori di violazione. Una volta rilevato il problema, questi sistemi possono intraprendere rapidamente azioni di risposta. Per esempio, possono isolare gli endpoint interessati prima che il criminale informatico si sposti lateralmente.
La tecnologia EDR offre strumenti di risposta alle minacce che aiutano i team della sicurezza a:
- Monitorare le attività degli endpoint, per esempio raccogliendo dati sui processi, le connessioni di rete e le modifiche ai file
- Rilevare le minacce utilizzando diverse tecniche di analisi
- Indagare in modo più efficiente sugli incidenti
- Neutralizzare i problemi rilevati fornendo dati di analisi forense e attivando il contenimento e l’isolamento degli endpoint interessati
Gli strumenti EDR si sono evoluti nell’ultimo decennio per aiutare le aziende a mantenere le loro reti al sicuro da un’ampia gamma di minacce. Tuttavia, questi strumenti sono limitati in quanto il rilevamento delle minacce generalmente si basa su firme e comportamenti.
Cos’è l’XDR?
XDR è l’acronimo di Extended Detection and Response. Concetto emerso solo pochi anni fa, XDR si riferisce a strumenti in grado di integrare più set di dati sulla sicurezza in un’unica piattaforma. XDR integra e correla i dati provenienti da vari componenti della sicurezza, come endpoint, reti, servizi cloud e applicazioni. In questo modo, l’XDR può migliorare la visibilità di rilevamento e risposta in un intero ambiente.
L’obiettivo dell’utilizzo di XDR per la sicurezza informatica è ottenere una visione più completa e unificata delle minacce alla sicurezza. Ciò garantisce attività di rilevamento, indagine e risposta alle minacce più efficaci. L’XDR consente inoltre di identificare più rapidamente gli attacchi informatici complessi che possono colpire più livelli di un ambiente informatico.
Tuttavia, come l’EDR, gli strumenti XDR faticano a tenere il passo con le tattiche e le tecniche in rapida evoluzione dei criminali informatici. In particolare, EDR e XDR possono lavorare insieme e alcuni affermano che l’XDR è un’evoluzione dell’EDR. Se si integrano l’EDR e l’XDR con l’ITDR, le difese migliorano notevolmente.
Cos’è l’ ITDR
Il rilevamento e neutralizzazione delle minacce legate alle identità (ITDR, Identity Threat Detection and Response) è una nuova categoria di sicurezza creata da Gartner che può essere considerata adiacente e complementare agli strumenti di sicurezza come i seguenti:
- EDR
- XDR
- Rilevamento e neutralizzazione delle minacce di rete (NDR, Network Detection and Response)
- Directory, come Active Directory
- Gestione degli accessi con privilegi (PAM, Privileged Access Management)
Le soluzioni ITDR non sostituiscono i sistemi di rilevamento e neutralizzazione delle minacce esistenti, come EDR e XDR, ma ne colmano le lacune.
Un sistema ITDR analizza continuamente gli endpoint, sia client che server, i repository delle identità e i sistemi PAM per rilevare le identità non gestite, configurate in modo errato, con privilegi eccessivi o vulnerabili. Grazie a questi dati puoi ottenere una visione dal basso verso l’alto e dall’alto verso il basso sui rischi legati alle identità. Puoi quindi utilizzarli per rimuovere i principali percorsi di attacco alle tue risorse più preziose che i criminali informatici possono utilizzare per installare ransomware e rubare dati.
L’ITDR offre anche un modo comprovato per cogliere sul fatto i criminali informatici che tentano di elevare i privilegi e di spostarsi lateralmente. I sistemi ITDR collocano in tutto l’ambiente numerosi tipi di esche con cui solo un criminale informatico potrebbe interagire. Non appena si verifica un’interazione, riceverai un avviso con i principali dati forensi, in modo da sapere esattamente dove si trova il criminale informatico e quali azioni intraprendere.
L’importanza dell’ITDR
Un approccio ITDR alla sicurezza delle identità è fondamentale in un mondo in cui l’identità rappresenta il nuovo perimetro di sicurezza. Perché l’identità è il nuovo perimetro? Riflettiamo: anche se le reti, gli endpoint e tutti gli altri dispositivi e applicazioni sono protetti in modo adeguato, è sufficiente che un criminale informatico ottenga l’accesso a un solo account con privilegi per compromettere le risorse IT di un’azienda. Gli attacchi basati sulle identità sono estremamente diffusi. Secondo uno studio, l’84% delle aziende ha subito una violazione legata alle identità nell’ultimo anno.
Con l’ITDR, i team di sicurezza sono in grado di prevenire e rilevare meglio gli attacchi basati sull’identità nel mezzo della catena di attacco, dove predominano l’escalation dei privilegi e gli spostamenti laterali.
Vantaggi dell’ITDR
I criminali informatici lanciano le loro campagne prendendo di mira i tuoi collaboratori attraverso attacchi come il phishing delle credenziali d’accesso. E una volta che hanno compromesso un account - un’identità - possono infiltrarsi nel tuo ambiente e utilizzare tale identità per spostarsi lateralmente e raggiungere i loro obiettivi.
Il vantaggio principale dell’ITDR è che può aiutarti a interrompere la parte centrale della catena di attacco. Come spiega questo articolo, i solidi controlli offerti da una soluzione ITDR possono aiutarti a bloccare gli attacchi prima che si trasformino in incidenti gravi.
L’ITDR offre una serie di controlli di sicurezza efficaci che aiutano a proteggere la parte centrale della catena di attacco. In questo modo puoi:
- Rilevare, analizzare e neutralizzare rapidamente il takeover degli account
- Bloccare l’elevazione dei privilegi
- Identificare e bloccare gli spostamenti laterali
- Ridurre la superficie di attacco prima dell’arrivo del criminale informatico
Adottare un approccio ITDR
Se disponi già di misure efficaci di gestione delle identità e degli accessi, come la gestione degli accessi con privilegi (PAM) e l’autenticazione a due fattori 2FA (MFA, Multifactor Authentication), sei nella posizione ideale per utilizzare gli strumenti ITDR.
Se stai pensando di adottare l’ITDR, devi riflettere sulla tua attuale strategia di protezione delle identità. Chiediti anche come gli strumenti ITDR potranno aiutarti a migliorare i tuoi processi. Ecco alcuni suggerimenti per adottare un approccio ITDR:
- Identifica le identità vulnerabili. Devi identificare le potenziali vulnerabilità legate alle identità in queste tre categorie: non gestite, mal configurate ed esposte.
- Monitora le minacce legate alle identità. Devi monitorare costantemente le attività sospette degli utenti. Puoi farlo integrando gli strumenti ITDR nel tuo sistema SIEM esistente.
- Crea un piano. Assicurati che il tuo piano di risposta agli incidenti includa un piano di risposta alle minacce legate alle identità. Ad esempio, quali sono le azioni da intraprendere in caso di furto delle credenziali di accesso degli utenti?
- Forma gli utenti. È importante che il tuo programma di sensibilizzazione alla sicurezza informatica insegni agli utenti come identificare e neutralizzare le minacce legate alle identità, come il phishing per le credenziali di accesso.
E poi?
Controllare la legittimità degli utenti che hanno accesso ai tuoi sistemi e dati non è più sufficiente. La difesa proattiva contro le minacce legate all’identità è una componente chiave del futuro della sicurezza informatica. È qui che entra in gioco l’ITDR. L’ITDR introduce una nuova categoria di strumenti e best practice per la protezione e la difesa delle identità. Inoltre, amplia l’ambito delle possibilità per le aziende che desiderano rafforzare la protezione delle loro identità. Può aumentare esponenzialmente il livello di sicurezza della tua azienda.
Sono finiti i tempi in cui bastava chiudere a chiave la porta di una sala computer per poter dire che le risorse all’interno di quel perimetro erano “sicure”. Utilizzando l’ITDR come complemento di altre difese fondamentali come l’EDR e l’XDR, è molto probabile che i team di sicurezza riescano ancora una volta a stare un passo avanti ai criminali informatici e a tenerli a bada.
Pronto a rafforzare le tue difese con l’ITDR?
Proofpoint offre una soluzione ITDR completa per aiutarti a identificare ed eliminare i rischi legati alle identità, nonché a rilevare e neutralizzare le minacce attive. La nostra soluzione può anche aiutarti a bloccare gli attacchi in una fase precoce, in quanto ti consente di disseminare nel tuo ambiente molteplici esche convincenti con cui solo i criminali informatici potrebbero interagire.
La piattaforma Proofpoint Identity Threat Defense include:
- Proofpoint Spotlight, che può aiutare la tua azienda a identificare e risolvere le vulnerabilità legate alle identità prima che i criminali informatici le trovino
- Proofpoint Shadow, che utilizza una moderna tecnologia di esche diversive per aiutarti a individuare e bloccare i criminali informatici prima che causino danni
Scopri di più su come Proofpoint può migliorare la tua sicurezza, sfruttando al meglio altri strumenti essenziali come EDR e XDR.