Cos'è il rilevamento e risposta alle minacce legate alle identità (ITDR)?

Le identità degli utenti sono attualmente una parte significativa della superficie di attacco aziendale, poiché i criminali informatici preferiscono sempre più accedere piuttosto che hackerare. L'IBM® X-Force Threat Intelligence Index riporta che gli attacchi basati sulle identità rappresentano il 30% delle intrusioni totali. I criminali informatici utilizzano attacchi di phishing e malware che rubano informazioni per raccogliere credenziali, che poi utilizzano per impossessarsi di account validi.

I sistemi ITDR possono aiutare a mitigare questi attacchi informatici basati sull'identità monitorando l'attività degli utenti e i sistemi di identità di una rete aziendale. Gli strumenti ITDR sono in grado di rilevare attacchi di forza bruta, credential stuffing, anomalie di accesso e altre minacce informatiche e possono rispondere automaticamente per impedire agli aggressori di accedere a dati e sistemi sensibili. 

Un sistema ITDR monitora continuamente una rete aziendale alla ricerca di attività anomale o sospette connesse alle identità degli utenti. Quando una soluzione ITDR rileva un comportamento potenzialmente dannoso, avvisa il team di sicurezza e attiva una risposta automatica, ad esempio il blocco immediato dell'accesso dell'account ai dati sensibili.

Un sistema ITDR funziona combinando più funzioni in una soluzione completa. Le funzioni principali dell'ITDR includono:

• Raccolta dati e modellazione delle attività
• Monitoraggio continuo e rilevamento delle anomalie
• Risposta e correzione degli incidenti

Per riconoscere le attività sospette, un sistema ITDR deve prima sapere com'è un'attività normale e autorizzata.

Gli ITDR raccolgono informazioni da fonti quali:

• Policy di accesso degli utenti che descrivono in dettaglio i livelli di accesso per diversi tipi di utenti e dati.
• Record del comportamento dell'utente, come orari di accesso normali, posizioni e dispositivi utilizzati.
• Feed di threat intelligence che descrivono in dettaglio le attuali tecniche di attacco.

L'ITDR utilizza l'analisi dei comportamenti e la mappatura delle relazioni per elaborare tutti questi dati e creare un modello di base di comportamento normale per gli utenti, i loro account e i sistemi a cui accedono. 

Un sistema ITDR monitora l'attività delle identità e l'infrastruttura in tutta la rete per rilevare minacce, esposizioni e vulnerabilità. Gli ITDR tengono traccia degli accessi, delle autenticazioni, dei provider di identità (IDP), delle richieste di accesso e di directory come Active Directory, confrontandoli con il modello di riferimento. Gli strumenti ITDR segnalano le deviazioni significative dai valori di riferimento come potenziali minacce.

Le deviazioni possono includere attività come tentativi di accesso da luoghi insoliti, movimento laterale di un utente su set di dati non correlati o richieste insolite di escalation dei privilegi.

Alcuni sistemi ITDR utilizzano il machine learning (ML) per analizzare i modelli storici delle minacce (dai registri aziendali, dai feed di intelligence sulle minacce e da altre fonti) e identificare diversi tipi di attacchi. In questo modo, l'ITDR può individuare più facilmente nuovi rischi legati alle identità che non ha incontrato direttamente in precedenza.  

Quando un sistema ITDR rileva una potenziale intrusione, segnala l'attività al centro operativo per la sicurezza (SOC) e attiva una risposta immediata all'anomalia. Le funzionalità di risposta possono includere l'isolamento del sistema oggetto dell'attacco, la disabilitazione degli account compromessi, la richiesta di un'autenticazione utente aggiuntiva e altri mezzi per fermare le attività non autorizzate o sospette. 

Gli attacchi basati sull'identità sono attacchi informatici che utilizzano le identità degli utenti per ottenere l'accesso non autorizzato a una rete. Gli attacchi basati sull'identità spesso comportano il controllo di un account legittimo e l'abuso dei suoi privilegi per rubare dati, installare ransomware o causare altri danni.

Esempi di attacchi comuni basati sull'identità includono:

• Attacchi di forza bruta
• Escalation dei privilegi
• Movimento laterale
• Phishing 

Nell'attacco di forza bruta, gli hacker cercano di accedere a un account attraverso tentativi ed errori, provando diverse credenziali di accesso fino a quando non trovano quella che funziona.

L'escalation dei privilegi è una tecnica di attacco informatico in cui un criminale informatico altera o eleva le proprie autorizzazioni in un sistema, ad esempio passando da un account utente con privilegi bassi a un account amministratore di livello superiore.

Il movimento laterale è una tattica che i criminali informatici utilizzano per avanzare più in profondità nella rete di un'organizzazione dopo aver ottenuto un accesso non autorizzato. In generale, gli attacchi con movimento laterale si dividono in due parti: una violazione iniziale seguita da un movimento interno.

Il phishing è una forma di ingegneria sociale che utilizza e-mail, messaggi di testo, telefonate o siti web fraudolenti per indurre le persone a condividere dati sensibili o scaricare malware.

Gli hacker possono utilizzare il phishing per assumere il controllo degli account utente in diversi modi. Potrebbero indurre un utente a rinunciare alle proprie credenziali spacciandosi per un brand affidabile e indirizzandolo verso un sito web falso. Oppure potrebbero usare messaggi di phishing per diffondere un malware infostealer che registra segretamente la password dell'utente.

I rischi e le minacce per l'identità non provengono sempre da criminali informatici. Configurazioni errate, semplici sviste, errori umani e utenti autorizzati che abusano dei propri permessi possono compromettere la sicurezza delle identità. I rischi includono:

• Password deboli che possono essere decifrate facilmente. Alcuni strumenti ITDR possono analizzare la forza delle password e rilevare quelle deboli.
  
  
• Minacce interne in cui utenti validi utilizzano intenzionalmente o casualmente il proprio accesso legittimo per scopi non autorizzati.
  
  
• Protezioni dell'account insufficienti, come l'autenticazione a più fattori (MFA) mancante o mal configurata.
  
  
• Protocolli di autenticazione rischiosi, ad esempio le connessioni non crittografate del protocollo HTTP (Hypertext Transfer Protocol) o LDAP (Lightweight Directory Access Protocol).

Via via che gli attacchi basati sull'identità diventano più comuni e i sistemi di identità diventano più complessi, gli strumenti ITDR possono aiutare le organizzazioni a migliorare il loro livello di sicurezza e ad acquisire un maggiore controllo sull'infrastruttura delle identità.

Per molte organizzazioni, le soluzioni software-as-a-service (SaaS), le architetture multicloud ibride e il lavoro da remoto sono la norma. Le loro reti contengono un mix multivendor di app e asset basati sul cloud e on-premise che servono vari utenti in varie località. Queste app hanno spesso i propri sistemi di identità, che potrebbero non integrarsi facilmente tra loro.

Di conseguenza, molte organizzazioni si trovano ad affrontare ambienti frammentati per la gestione delle identità, con lacune di cui i criminali informatici possono approfittare per fini malevoli. 

Monitorando le identità anziché i dispositivi o gli asset, gli ITDR possono fornire una maggiore visibilità sull'attività degli utenti in ambienti cloud, strumenti SaaS e sistemi on-premise. Sebbene app e asset diversi possano avere sistemi di identità diversi, l'ITDR consente alle organizzazioni di monitorarli tutti centralmente.

Gli ITDR sono in grado di rilevare non solo gli attacchi attivi, ma anche le configurazioni errate e le vulnerabilità potenzialmente pericolose. Ad esempio, alcuni strumenti ITDR possono rilevare meccanismi di autenticazione deboli, account inattivi e persino l'uso di determinati asset di shadow IT.

Monitorando continuamente l'infrastruttura delle identità, gli strumenti ITDR sono in grado di rilevare gli attacchi informatici prima che gli hacker abbiano la possibilità di causare danni reali.

Oltre a segnalare questi attacchi ai team addetti alla sicurezza, gli ITDR possono anche rispondere automaticamente in tempo reale, impedendo agli hacker e agli insider malevoli di procedere. Di conseguenza, l'ITDR consente una più rapida mitigazione delle minacce e la correzione delle vulnerabilità prima che possano essere utilizzate per fini dannosi. 

Le organizzazioni dispongono di svariate tecnologie di rilevamento e risposta alle minacce che si sovrappongono. Sebbene questi strumenti possano avere caratteristiche simili, offrono protezioni diverse per diversi aspetti di una rete aziendale. Spesso vengono utilizzati come complementi l'uno dell'altro in una strategia approfondita di cybersecurity a più livelli di difesa.

Gli strumenti di gestione delle identità e degli accessi (IAM) gestiscono il ciclo di vita delle identità degli utenti, dalla creazione dell'account allo smaltimento. Mentre l'ITDR mira a rilevare e contrastare l'attività dannosa degli utenti non autorizzati, l'obiettivo della gestione delle identità e degli accessi (IAM) è quello di assicurare che gli utenti autorizzati dispongano delle autorizzazioni corrette e le utilizzino in modo adeguato.

Le funzioni di gestione delle identità e degli accessi comprendono la creazione di identità utente, l'assegnazione di privilegi, l'applicazione di policy di accesso e il ritiro delle vecchie identità. I sistemi IAM e ITDR spesso lavorano insieme. La gestione delle identità e degli accessi (IAM) facilita l'accesso per gli utenti autorizzati, mentre gli strumenti ITDR monitorano l'attività degli utenti per individuare minacce quali la compromissione dell'account o l'uso improprio delle autorizzazioni.

I sistemi di gestione degli accessi privilegiati (PAM) governano e proteggono gli account e le attività degli utenti privilegiati, come gli amministratori di sistema. Mentre gli strumenti ITDR monitorano tutte le identità, gli strumenti PAM si occupano di quelle privilegiate.

Gli strumenti PAM forniscono account privilegiati, gestiscono come e quando gli utenti ottengono privilegi elevati e monitorano le attività privilegiate per rilevare comportamenti sospetti e mancanza di conformità.

La tecnologia PAM è anteriore all'ITDR come pratica di cybersecurity definita formalmente e gli strumenti PAM sono solitamente considerati una categoria a sé stante. Tuttavia, per certi versi, il PAM può essere considerato una versione più mirata dell'ITDR. L'ITDR monitora le minacce basate sull'identità per tutti gli utenti, mentre il PAM protegge in modo specifico gli account privilegiati. Entrambi possono lavorare insieme per fornire controlli di sicurezza avanzati a una rete.

La differenza principale tra il rilevamento e risposta degli endpoint (EDR) e l'ITDR è che gli strumenti EDR proteggono i dispositivi, mentre gli strumenti ITDR proteggono le identità.

Gli EDR monitorano gli endpoint come server e PC per rilevare attività dannose che si verificano sul dispositivo. L'ITDR si concentra sulle minacce basate sull'identità, rilevando le attività dannose a livello di utenti e account.

I sistemi ITDR e EDR sono aspetti complementari delle operazioni di sicurezza di un'organizzazione. Ad esempio, quando il sistema EDR scopre un'attività sospetta su un endpoint, un sistema ITDR può aiutare a collegare quell'attività a un'identità specifica.

Mentre l’ITDR si concentra in modo più ristretto sulle identità degli utenti, le soluzioni di rilevamento e risposta estese (XDR) integrano gli strumenti e le operazioni in tutti i livelli della sicurezza (utenti, endpoint, applicazioni, reti, workload cloud e dati).

Gli strumenti XDR supportano l'interoperabilità di soluzioni di sicurezza che non sono necessariamente progettate per funzionare insieme per la prevenzione, il rilevamento e la risposta ottimali alle minacce. Insieme ad altri strumenti, gli ITDR si integrano con gli XDR, alimentando i dati sulle identità e sui sistemi basati sull'identità in un'architettura di sicurezza unificata.

Insieme, ITDR e xDR possono offrire alle organizzazioni una visione più completa delle loro reti, supportando misure di sicurezza e modelli di governance delle identità più efficaci.