- Come automatizzare il ripristino AD multi-forest in un'ora o meno
- Come rilevare gli attacchi che eludono il SIEM e gli strumenti tradizionali
- Come ottenere visibilità sugli attacchi da AD
- Come scoprire errori di configurazione e vulnerabilità nell'AD legacy
- Come rimediare automaticamente alle minacce rilevate
- Perché le soluzioni ITDR devono proteggere prima, durante e dopo un attacco
Si dice che i sistemi di identità, e in particolare Active Directory, siano un obiettivo primario per i cyberattacchi. In qualità di azienda pioniera di soluzioni create appositamente per la protezione e il ripristino di Active Directory dai cyberattacchi, siamo stati felici di vedere che diverse società di ricerca hanno recentemente confermato la criticità delle soluzioni di sicurezza informatica specifiche per AD. Gartner non solo ha indicato la difesa dei sistemi di identità come uno dei 2022 top trend della sicurezza informatica, ma ha anche creato una categoria completamente nuova - Identity Threat Detection and Response (ITDR) - e ha nominato Semperis come esempio di fornitore di soluzioni ITDR.
Ma sappiamo, grazie al nostro lavoro in prima linea per aiutare le organizzazioni a prevenire, rimediare e recuperare dai disastri informatici, che una strategia di sicurezza ITDR efficace va al di là delle caselle delle società di ricerca. In occasione del recente Gartner Identity & Access Management Summit di Las Vegas, abbiamo intervistato i partecipanti sui loro principali criteri di valutazione delle soluzioni ITDR.
Il risultato più importante:Le organizzazioni sono alla ricerca di soluzioni ITDR che coprano l'intero ciclo di vita dell'attacco - prima, durante e dopo un attacco - e cheoffrano una protezione specifica per AD e Azure AD. Come hanno sottolineato Gartner e altre società di analisi, le organizzazioni hanno bisogno di soluzioni di sicurezza e ripristino specifiche per AD per proteggere adeguatamente i loro ambienti AD ibridi.
Come anteprima del nostro prossimo rapporto completo su questi risultati, ecco le principali funzionalità ITDR che le organizzazioni cercano per proteggere e ripristinare i loro ambienti AD ibridi, oltre ad alcuni commenti di Darren Mar-Elia, vicepresidente dei prodotti Semperis. (Guardate il video qui sotto per vedere il suo riassunto dei criteri di valutazione ITDR che abbiamo raccolto dai partecipanti al Gartner IAM Summit).
Lettura correlata
Di seguito abbiamo analizzato in dettaglio i cinque principali risultati dell'ITDR:
- Ripristino automatico di AD multi-foresta senza malware in un'ora o anche meno
- Rilevamento di attacchi che eludono il SIEM e altri strumenti tradizionali
- Visibilità sugli attacchi che si spostano da AD on-prem a Azure AD
- Capacità di scoprire configurazioni errate e vulnerabilità in ambienti AD legacy
- Correzione automatica delle minacce rilevate
1. Ripristino automatico di AD multi-foresta senza malware in un'ora o meno
La componente "risposta" dell'ITDR è molto importante per le organizzazioni intervistate, poiché la maggior parte dei leader aziendali e dei loro team di sicurezza e IT ops riconoscono che nessuna entità può eliminare la possibilità di un attacco informatico. Gli intervistati hanno espresso una visione pessimistica della loro capacità di recuperare l'AD da un attacco informatico: Il 77% delle organizzazioni ha indicato che, in caso di cyberattacco, subirebbe un impatto grave, ovvero avrebbe una soluzione generale di disaster recovery ma non un supporto specifico per l'AD, oppure un impatto catastrofico, ovvero dovrebbe effettuare un ripristino manuale utilizzando i propri backup, che richiederebbe giorni o settimane. La perdita di fatturato, di reputazione e, nel caso delle organizzazioni sanitarie, di salute e sicurezza dei pazienti, causata da un ripristino prolungato, può essere un evento devastante.
"Le organizzazioni possono fare tutte le cose giuste per prevenire un attacco ransomware, ma alla fine della giornata è ancora possibile essere compromessi", ha dichiarato Darren Mar-Elia, vicepresidente dei prodotti Semperis. "E per questo è necessaria una soluzione in grado di riportare l'azienda a un buono stato conosciuto nel più breve tempo possibile".
2. Rilevamento di attacchi che eludono il SIEM e altri strumenti tradizionali.
Riflettendo la crescente consapevolezza che i criminali informatici elaborano costantemente nuove tattiche, tecniche e procedure (TTP) per attaccare i sistemi di identità, gli intervistati hanno citato l'incapacità di rilevare gli attacchi che eludono gli strumenti di monitoraggio tradizionali come la principale preoccupazione generale nella protezione dell'AD. La preoccupazione è giustificata: Molti attacchi che riescono a sfruttare l'AD eludono i prodotti basati su log o eventi, come i sistemi di gestione degli eventi di sicurezza (SIEM). Le organizzazioni hanno bisogno di soluzioni che utilizzino più fonti di dati, compreso il flusso di repliche AD, per rilevare gli attacchi avanzati.
3. Visibilità sugli attacchi che passano da AD on-prem ad Azure AD.
Con l'adozione di ambienti cloud ibridi da parte di un numero sempre maggiore di organizzazioni, il rilevamento degli attacchi che passano da AD on-premise ad Azure AD o viceversa, come nel caso dell'attacco di SolarWinds, è emerso come una delle principali preoccupazioni per molte organizzazioni. A conferma della previsione di Gartner secondo cui solo il 3% delle organizzazioni migrerà completamente da Active Directory (AD) on-premise a un servizio di identità basato sul cloud entro il 2025, l'80% degli intervistati nel nostro sondaggio ha dichiarato di utilizzare Active Directory on-premise sincronizzata con Azure AD oppure di utilizzare diversi sistemi di identità, tra cui AD e/o Azure AD.
Ma la protezione di questi sistemi AD ibridi è al primo posto: Gli intervistati hanno indicato che la capacità più importante per prevenire gli attacchi nelle loro organizzazioni è il monitoraggio continuo delle vulnerabilità e delle configurazioni rischiose di AD e Azure AD. Solo un terzo degli intervistati ha dichiarato di essere "molto fiducioso" di poter prevenire o porre rimedio a un attacco all'AD on-prem, e solo il 27% ha indicato lo stesso livello di fiducia per quanto riguarda l'Azure AD.
"Sospetto che nel tempo assisteremo a un numero maggiore di attacchi verticali che si spostano dall'AD on-prem all'Azure AD, e in Semperis siamo concentrati sulla fornitura di visibilità per questi percorsi di attacco ibridi", ha affermato Mar-Elia.
4. Capacità di scoprire configurazioni errate e vulnerabilità in ambienti AD legacy.
Non sorprende che gli intervistati abbiano attribuito un'importanza così elevata al monitoraggio continuo delle vulnerabilità di AD e Azure AD e delle configurazioni a rischio. Dato il numero di attacchi che sfruttano le vulnerabilità dell'AD quasi ogni giorno, le organizzazioni sono comprensibilmente preoccupate di valutare i loro ambienti per individuare le vulnerabilità che potrebbero lasciarli aperti agli aggressori.
Gli utenti di Purple Knight, lo strumento gratuito di Semperis per la valutazione della sicurezza dell'AD, sono spesso sconcertati dal basso punteggio iniziale della postura di sicurezza. Ma sapere dove si trovano le vulnerabilità e applicare le indicazioni degli esperti per la correzione fornisce agli utenti una tabella di marcia per migliorare la sicurezza.
"Purple Knight ci ha aiutato a intervenire subito su alcuni aspetti, come la chiusura o la disattivazione di account Active Directory che non avrebbero dovuto essere disabilitati", ha dichiarato Keith Dreyer, CISO di Maple Reinders in Canada. "E poi ci ha aiutato a sviluppare un piano di manutenzione a lungo termine".
5. Correzione automatica delle minacce rilevate
I cyberattacchi spesso si muovono alla velocità della luce una volta che gli aggressori rilasciano il malware, quindi la bonifica automatica è fondamentale per evitare che un exploit porti a privilegi elevati e a un'eventuale acquisizione della rete. Nel famoso attacco NotPetya del 2017 al gigante delle spedizioni Maersk, l'intera rete dell'azienda è stata infettata in pochi minuti.
Gli intervistati hanno indicato che la bonifica automatica delle modifiche dannose per bloccare gli attacchi a rapida diffusione è la funzionalità di bonifica più importante, seguita dal monitoraggio e dalla correlazione delle modifiche tra l'AD on-premise e l'Azure AD.
Le soluzioni ITDR devono proteggere i sistemi di identità ibridi prima, durante e dopo un attacco.
La designazione da parte di Gartner di una categoria specifica di soluzioni per la difesa dei sistemi di identità è una testimonianza dell'ascesa di Active Directory come obiettivo primario per i criminali informatici, sfruttato in 9 attacchi informatici su 10. Dai risultati del nostro sondaggio e dalle conversazioni con i clienti, sappiamo che le organizzazioni sono preoccupate per le difficoltà di proteggere gli ambienti di identità ibridi durante l'intero ciclo di vita dell'attacco. Quando valutate le soluzioni ITDR, date priorità alla prevenzione, al rilevamento, alla riparazione automatica e al ripristino da cyberattacchi basati su AD.
Iscriviti al nostro blog per saperne di più sulla categoria emergente dell'Identity Threat Detection and Response e su come costruire una strategia di difesa del sistema delle identità a più livelli.