Così come l'impatto dei cyberattacchi non si limita al reparto IT, il ruolo del CISO si è esteso oltre il team di sicurezza. Poiché le organizzazioni e gli analisti riconoscono che l'identità è il nuovo perimetro di sicurezza, la supervisione di una strategia di sicurezza completa incentrata sull'identità è diventata una responsabilità essenziale del CISO. Cosa devono sapere i CISO sull'Identity Threat Detection and Response (ITDR)? I nostri esperti illustrano cinque passi importanti per i leader della sicurezza più lungimiranti.
1. Concentrarsi sulla sicurezza identity-first per una maggiore resilienza operativa
Simon Hodgkinson, ex CISO di bp e consulente strategico di Semperis, afferma che la resilienza operativa dovrebbe essere la priorità sia per i responsabili della sicurezza che per quelli aziendali. E per ottenere una resilienza completa non basta avere un piano generico di disaster recovery.
"Il disaster recovery è una definizione piuttosto ristretta e di solito viene considerato in un arco di tempo limitato", afferma Hodgkinson. La resilienza operativa è molto più ampia e comprende aspetti come il tipo di governance messa in atto, il modo in cui si gestisce il rischio operativo, i piani di continuità operativa e la gestione del rischio informatico, delle informazioni e dei fornitori terzi. La resilienza deve essere integrata in toto".
Questo livello di resilienza dipende da una forte sicurezza dell'infrastruttura di identità. Per oltre il 90% delle organizzazioni, ciò significa Active Directory (AD) e Azure AD. Dopotutto, se AD non funziona, nulla funziona. Come dice Hodgkinson, "Active Directory è al centro della capacità aziendale di operare e fornire risultati di business, e deve far parte della strategia di resilienza operativa invece di essere trattato come un elemento isolato".
- Da fare: rendere la sicurezza di AD ibrido una componente fondamentale del tuo piano di resilienza operativa
- Da leggere: Resilienza operativa: molto di più del disaster recovery
2. Costruire una strategia ITDR completa
"Gartner ha attirato molta attenzione, alla fine dello scorso anno, sulle soluzioni di rilevamento e risposta alle minacce all'identità (ITDR)", afferma Sean Deuby, Principal Technologist di Semperis. "Ci sono molti modi per rafforzare le difese, ma il passo più produttivo che le organizzazioni possono fare quest'anno è dare priorità alla sicurezza incentrata sull'identità".
Tale strategia deve includere processi, procedure e responsabilità specifici per la protezione dell'infrastruttura di identità ibrida durante tutte le fasi dell'attacco a Active Directory: prima, durante e dopo l'attacco. Dovrebbe includere un piano di backup e ripristino specifico per AD e un monitoraggio regolare per identificare le vulnerabilità legate all'identità. Deve inoltre identificare le interdipendenze tra i sistemi di identità e la tecnologia operativa (OT).
- Da fare: creare una strategia ITDR che copra tutte le fasi del ciclo di vita degli attacchi AD.
- Da leggere: Come costruire una solida strategia ITDR
3. Ottenere una visione realistica della superficie di attacco dell'identità
"La maggior parte degli attacchi coinvolge l'identità e, indipendentemente dal punto di accesso iniziale, gli attori delle minacce in genere passano attraverso AD per guadagnare terreno nell'ambiente aziendale", spiega Deuby. "Quindi, un ottimo punto di partenza è la valutazione e la riduzione della superficie di attacco di AD".
Questo passo necessario non deve essere difficile o costoso. Strumenti potenti come Purple Knight(che ti aiuta a individuare lacune e vulnerabilità che spesso esistono da anni) e Forest Druid(che ti aiuta a identificare le risorse di identità più importanti e i relativi percorsi di accesso) sono disponibili gratuitamente. Non sono richieste installazioni o autorizzazioni speciali e gli strumenti forniscono un'istantanea chiara delle potenziali vulnerabilità e degli indicatori di aggressione del tuo perimetro di identità. Inoltre, ti forniscono indicazioni utili per colmare le lacune esistenti.
- Da fare: scarica ed esegui Purple Knight e Forest Druid per ottenere una snapshot della tua superficie di attacco a Active Directory.
- Da vedere: Proteggi le tue risorse di identità con Purple Knight e Forest Druid
4. Automatizzare la protezione dell'identità per una risposta più rapida
Forbes consiglia ai CISO di concentrarsi sulle soluzioni per automatizzare la prevenzione delle minacce. "L'automazione e un approccio API-first possono aiutare a snellire i processi, ridurre il rischio di errori umani e migliorare l'efficienza dei team di sicurezza informatica", osserva Forbes. "Questo include l'uso dell'automazione in attività come la gestione delle vulnerabilità, la risposta agli incidenti e i controlli di conformità".
L'automazione può ridurre il carico di lavoro delle risorse, l'errore umano e la velocità di risposta agli incidenti. E quando si tratta di proteggere le risorse di identità Tier 0, la velocità è fondamentale.
Durante il famigerato attacco a Maersk di NotPetya, ad esempio, il ransomware si è diffuso attraverso la rete a una velocità record. "Nel momento in cui lo vedevi, il tuo data center era già sparito", ha dichiarato a Wired Craig William, direttore della divisione Talos di Cisco.
Per questo motivo le soluzioni ITDR esperte consentono il rollback automatico delle modifiche a Active Directory. Semperis Directory Services Protector ( DSP) automatizza la riparazione e consente di attivare trigger e avvisi personalizzati, in modo che le organizzazioni possano rispondere alle minacce informatiche il più rapidamente possibile.
L'automazione del ripristino di AD è un'altra funzionalità fondamentale. Il ripristino manuale può richiedere giorni o addirittura settimane, rispetto a meno di un'ora con Semperis Active Directory Forest Recovery (AFDR).
- Da fare: richiedere una demo di DSP o ADFR.
- Da leggere: Automatizzare il rilevamento e la risposta
5. Prepararsi al peggio
"Temo che assisteremo a una continua crescita della criminalità informatica, su tutti i fronti, non solo nel 2023, ma anche negli anni a venire", avverte Deuby. "Secondo il Cybersecurity Outlook di Statista, il costo globale della criminalità informatica è destinato ad aumentare nei prossimi cinque anni, passando da 8,44 trilioni di dollari nel 2022 a 23,84 trilioni di dollari entro il 2027, con una crescita media annua compresa tra il 21% e il 36%. Questa tendenza porta con sé un messaggio chiaro: continuare a lavorare sulle basi della sicurezza e chiudere le vie di attacco più comuni".
Gli esperti di sicurezza sono soliti dire che gli attacchi informatici sono una questione di "quando, non se". I CISO dovrebbero prepararsi a quel "quando" disponendo di un backup specifico per AD e di un piano dettagliato di ripristino di AD, testandoli poi entrambi regolarmente. I backup tradizionali comprendono sia AD che il sistema operativo, che può includere malware. Il malware può nascondersi nell'ambiente per settimane o mesi, corrompendo i backup in modo che il ripristino reinfetti i sistemi. E l'ultima cosa di cui le aziende hanno bisogno è scoprire le falle del piano di backup o di ripristino durante un attacco informatico attivo.
- Da fare: sviluppare un piano di backup e ripristino specifico per AD e testare regolarmente entrambi.
- Da leggere: Perché il recupero di Active Directory da un attacco informatico è una componente essenziale dell'ITDR
Per saperne di più
Molte delle più grandi organizzazioni al mondo si affidano agli esperti di sicurezza delle identità di Semperis per proteggere e ripristinare le loro infrastrutture Active Directory e Azure AD. Riconosciuta come fornitore esperto di soluzioni ITDR, Semperis offre soluzioni e servizi che si concentrano sulla protezione delle identità ibride durante l'intero ciclo di vita degli attacchi a AD: prima, durante e dopo un attacco.