Si sono appena concluse quattro conferenze Proofpoint Protect 2024. Per coloro che non conoscono gli eventi Protect, si tratta di una conferenza annuale dedicata alla sicurezza che riunisce clienti, prospect, partner e decine di collaboratori Proofpoint in città negli Stati Uniti e a Londra. In tutte e quattro le conferenze, ho avuto l’opportunità di co-presentare diverse sessioni sulla necessità di rafforzare la sicurezza delle identità e come la soluzione Proofpoint Identity Protection può essere d’aiuto.
Ma non mi sono limitato a condividere le mie conoscenze. Ho anche appreso molto in merito al rilevamento e neutralizzazione delle minacce legate alle identità (ITDR) dai circa 500 partecipanti alle sessioni e dai miei 11 co-presentatori nelle mie sette sessioni di approfondimento. Ho avuto la fortuna di co-presentare sessioni con professionisti della sicurezza di CyberArk, Toromont Cat, Turkcell, Tetra Pak e Darling Ingredients, oltre a membri del nostro stesso team della sicurezza.
Sette spunti di riflessione dagli eventi Protect 2024
Le conferenze Protect hanno fornito molti spunti preziosi e vorrei condividerne qualcuno con voi.
1. L’ITDR suscita un forte interesse
Chiaramente, c’è un interesse intenso e crescente per il miglioramento della sicurezza delle identità in generale e per le soluzioni di rilevamento e neutralizzazione delle minacce legate alle identità (ITDR) in particolare. Anche se la maggior parte dei partecipanti non aveva una grande esperienza diretta con l’ITDR, la loro voglia di imparare ha suscitato un forte interesse per le nostre sessioni di approfondimento incentrate su questo tema. Per questo motivo abbiamo tenuto sette sessioni sul tema dell’ITDR nel corso delle quattro conferenze Protect.
2. La parte centrale della catena d’attacco è spesso poco conosciuta
La parte centrale della catena d’attacco è strettamente correlata alla sicurezza delle identità perché è lì dove si verificano la persistenza, la raccolta di informazioni, l’escalation dei privilegi e lo spostamento laterale. Purtroppo, le difese di molte aziende presentato delle gravi lacune a livello di questa parte centrale. Inizialmente, questo aspetto della sicurezza è sembrato poco chiaro a molti partecipanti. Ritengo però che le nostre sessioni abbiano permesso loro di comprendere meglio la sua importanza fondamentale.
Ritengo che l’utilizzo della catena d’attacco come framework sia un modo eccellente per spiegare l’obiettivo delle soluzioni ITDR come il nostro prodotto Proofpoint Identity Threat Defense. Grazie a questo framework, è più semplice per i team della sicurezza stabilire le fasi esatte che un criminale informatico deve seguire e come possono difendersi meglio dagli attacchi.
Ricognizione
Violazione iniziale
Persistenza
Raccolta di informazioni
Aumento dei privilegi
Spostamento laterale
Insediamento
Impatto
Fasi della catena di attacco
3. Le esche cambiano le carte in tavola
Il pubblico si è dimostrato davvero interessato alla nostra discussione sull’uso di esche ai fini del rilevamento e della neutralizzazione delle minacce. Il concetto delle esche li ha spinti a pensare in modo diverso al modo più efficace per rilevare e rispondere alle minacce attive. Per molti anni, le aziende hanno cercato di rilevare le minacce attive utilizzando approcci basati sulle firme e sui comportamenti. Questi metodi hanno portato a risultati variabili a fronte di un elevato dispendio di tempo e denaro. La riduzione di falsi positivi e falsi negativi è una sfida importante per molte aziende.
Le esche disturbano le analisi di rilevamento. Invece di tracciare i criminali informatici utilizzando enormi volumi di dati e eseguendo analisi di rilevamento ottimizzate, le esche permettono alle aziende di rilevare la presenza di un criminale informatico e i suoi spostamenti all’interno dell’azienda (nella parte centrale della catena d’attacco). Sebbene le esche non siano ancora così diffuse, hanno incoraggiato i partecipanti alle nostre sessioni di approfondimento Protect a considerare in modo diverso le attività di rilevamento e neutralizzazione delle minacce.
4. L’integrità di AD è sempre più importante
È un fatto noto: Active Directory (AD) è una minaccia reale per la sicurezza di tutte le aziende che lo utilizzano. I motivi sono più o meno gli stessi per tutti. Innanzitutto, molte persone l’hanno amministrata nel corso degli anni, e la maggior parte delle aziende non dispone di una governance di AD completa. Altri motivi comuni sono le soluzioni rapide e a breve termine, i progetti una tantum o ancora le fusioni e acquisizioni. Paradossalmente, AD può ora essere ragionevolmente considerato come uno strumento fondamentale per i criminali informatici.
Considerati tutti gli strumenti di attacco disponibili per sfruttare automaticamente gli errori di configurazione e le esposizioni di AD, non stupisce che l’interesse per l’ITDR sia in aumento. Tale interesse si spiega, in parte, con la necessità di rafforzare l’integrità di AD. Per saperne di più sulle sfide legate all’integrità di AD, consulta questo nuovo report.
5. L’autenticazione a più fattori non è sufficiente
Il takeover degli account di fornitori di identità SaaS, come Microsoft Entra ID, Okta e Google, sono sempre più considerati un’importante sfida di sicurezza nonché una fonte primaria di violazione iniziale. Per raggiungere la parte centrale della catena d’attacco, i criminali informatici devono perpetrare una violazione iniziale. Molti partecipanti hanno appreso con sorpresa che la maggior parte degli attacchi di takeover degli account rilevati da Proofpoint hanno riguardato account per i quali era attività l’autenticazione a più fattori (MFA). Il punto principale da ricordare, è che l’MFA è un buon punto di partenza, ma, dati gli strumenti e le tecniche attualmente utilizzati dai criminali informatici, non è sufficiente. Oggi, è necessaria una difesa in profondità incentrata sulle identità.
6. Spesso sono presenti ostacoli al rafforzamento della sicurezza
Come sicuramente saprai, molte aziende faticano a acquisire e implementare nuovi controlli di sicurezza di qualunque tipo, soluzioni ITDR incluse. Ogni azienda ha i suoi limiti, in particolare in termini di personale e budget. Non è una novità. Il modo in cui l’ITDR trasforma la struttura delle stesse aziende di sicurezza e la gestione della sicurezza delle identità è un argomento che è emerso più volte nelle discussioni.
È stata spesso sollevata la questione di quale team deve farsi carico del problema della sicurezza delle identità, e quindi della soluzione. È il team SOC, le operazioni IT, il team della gestione delle identità o della gestione delle vulnerabilità? La cruda verità è che queste lacune in termini di presa in carico dei problemi tra le aziende sono uno dei principali fattori che portano a violazioni importanti. Queste lacune si traducono in una mancanza di controlli della sicurezza delle identità, che permettono ai criminali informatici di passare attraverso le difese. Le aziende che dispongono di operazioni di sicurezza all’avanguardia hanno capito come organizzare e implementare soluzioni ITDR per risolvere il problema. Gli altri devono seguire il loro esempio.
7. Numerosi elementi stimolano l’adozione dell’ITDR
Cosa spinge le aziende a investire in una soluzione ITDR? Per la maggior parte di loro, sembra dipendere da varie forze esterne. Può essere il risultato di esercizi di simulazione di attacchi o test di penetrazione, punti di debolezza identificati nel corso di una verifica, un incidente di sicurezza, una violazione dell’azienda o di un’altra azienda del settore, o anche un CISO spinto dal desiderio di innovare. Tutti questi fattori spingono le aziende fuori dalla loro zona di comfort e le incoraggiano a rafforzare la sicurezza delle loro identità e a adottare una soluzione ITDR.
Conclusione
Chiaramente, la necessità di un rafforzamento della sicurezza delle identità è una preoccupazione crescente per un gran numero di professionisti della sicurezza. Le mie esperienze durante gli eventi Protect 2024 riflettono solo il mio punto di vista. Tuttavia, come è stato detto in altri contesti, il primo passo per risolvere un problema è riconoscere che esiste. Detto ciò, ritengo che il settore della sicurezza sia sulla buona strada per risolvere questo problema.
Se desideri approfondire questa discussione, unisciti a me e a Carlos Rivera di Info-Tech Research Group per il nostro prossimo webinar: “Protezione delle identità: il ruolo fondamentale del rilevamento e neutralizzazione delle minacce legate alle identità”.