Team Semperis

Le minacce legate all'identità degli utenti sono in aumento e richiedono alle organizzazioni di espandere i loro budget per la cybersecurity per concentrarsi sulle soluzioni di Identity Threat Detection and Response (ITDR). Dato che le minacce legate all'identità sono un argomento così caldo, il team di Semperis ha voluto dire la sua su come il team di sicurezza può prevenire gli attacchi all'identità.

Se siete alla ricerca di soluzioni di sicurezza delle identità per proteggere Active Directory (il sistema di identità più comune), questa guida fa al caso vostro. Qui spiegheremo cos'è l'ITDR e come trovare la migliore soluzione ITDR per proteggere la vostra organizzazione dalle minacce informatiche.






Lettura correlata

Che cos'è l'ITDR?

Gartner ha creato la categoria Identity Threat Detection and Response (ITDR) per descrivere le soluzioni che proteggono i sistemi di identità come Active Directory (AD) ed Entra ID (precedentemente Azure AD), che forniscono l'autenticazione e l'accesso ad applicazioni e servizi.

In risposta al crescente numero di attori delle minacce all'identità digitale, l'ITDR è stato incluso nell'Hype Cycle di Gartner per la sicurezza degli endpoint come tecnologia emergente che opera per proteggere l'infrastruttura dell'identità da potenziali minacce. Gartner ha inoltre osservato che gli attori delle minacce all'identità utilizzano principalmente l'abuso di credenziali per ottenere l'accesso privilegiato ai sistemi informativi di un'organizzazione e manipolare i sistemi di gestione dell'identità e dell'accesso (IAM).

Che cos'è una soluzione ITDR?

Le soluzioni ITDR migliorano le operazioni di sicurezza concentrandosi sull'infrastruttura di identità stessa, piuttosto che sugli utenti gestiti da tale infrastruttura. Secondo Gartner, le soluzioni ITDR devono proteggere e difendere con funzionalità specifiche di protezione dell'identità, tra cui la valutazione della postura di sicurezza dell'ambiente AD, la gestione dei percorsi di attacco, il punteggio e la prioritizzazione dei rischi, il monitoraggio in tempo reale degli indicatori di compromissione (IOC), l'apprendimento automatico (ML) o l'analisi per rilevare comportamenti o eventi anomali e la riparazione automatica e la risposta agli incidenti.

Dato che molti attacchi legati all'identità riescono a compromettere l'AD, una soluzione di disaster recovery per ransomware testata e specifica per l'AD dovrebbe essere inclusa nella pianificazione della risposta agli incidenti.

Qual è la differenza tra EDR e ITDR?

Le soluzioni EDR (Endpoint Detection and Response) raccolgono, analizzano e rispondono alle informazioni relative alle minacce sugli endpoint, ovvero i dispositivi fisici (computer desktop, macchine virtuali, dispositivi mobili) che si connettono e scambiano informazioni con una rete informatica. Le soluzioni XDR (Extended Endpoint Detection and Response) integrano la protezione di endpoint, server, applicazioni cloud, e-mail e altre tecnologie. Le soluzioni XDR combinano prevenzione, rilevamento, indagine e risposta in una visione olistica per combattere i cyberattacchi.

Mentre le soluzioni EDR e XDR si concentrano sul livello esterno del sistema informativo di un'organizzazione, le soluzioni ITDR si concentrano sul sistema di identità stesso, che autentica gli utenti e concede le autorizzazioni a servizi e applicazioni.

Poiché i criminali informatici propongono sempre nuovi metodi di attacco, la migliore difesa contro le minacce attuali è una strategia di sicurezza informatica che protegga sia gli endpoint sia le fondamenta dell'identità, evitando i singoli "point of failure".

Perché l'ITDR è importante?

Le soluzioni ITDR proteggono l'infrastruttura di identità, che oggi è un vettore di attacco primario nella maggior parte dei cyberattacchi. Poiché Active Directory (AD) è l'archivio di identità principale per il 90% delle organizzazioni in tutto il mondo, è il maggiore bersaglio dei criminali informatici. Essendo difficile da proteggere e incline a configurazioni errate, Active Directory viene abitualmente compromesso in incidenti informatici, come la violazione di SolarWinds e l'attacco di Colonial Pipeline. In effetti, Mandiant ha riferito che l'AD è coinvolto in 9 attacchi su 10 su cui indaga.

Qual è la soluzione ITDR migliore?

Le organizzazioni alla ricerca di una soluzione ITDR capace si trovano di fronte a un numero crescente di decisioni. Dai risultati del nostro sondaggio e dalle conversazioni con i clienti, sappiamo che le organizzazioni sono preoccupate per le sfide che comporta la protezione degli ambienti di identità ibridi durante l'intero ciclo di vita dell'attacco: prima, durante e dopo un incidente di sicurezza informatica.

Abbiamo intervistato i responsabili IT e della sicurezza di oltre 50 aziende e organizzazioni per capire come valutano le soluzioni ITDR degli esperti. Le funzionalità più importanti per le soluzioni ITDR che hanno riferito sono:

  1. Valutazione della postura di sicurezza e monitoraggio in tempo reale. AD è vulnerabile a causa delle errate configurazioni legacy che si accumulano nel tempo e a causa delle minacce costantemente emergenti da gruppi di ransomware-as-a-service (RaaS) come LockBit e Vice. La scansione dell'ambiente AD ibrido alla ricerca di indicatori di esposizione (IOE) e compromissione (IOC) e la chiusura delle lacune di sicurezza sono il primo passo di una strategia di difesa del sistema di identità a più livelli. Il monitoraggio in tempo reale aiuta le organizzazioni a evitare la deriva della configurazione, segnalando gli indicatori di sicurezza non appena si presentano.
  2. Backup e ripristino della foresta AD veloce e senza malware. Sebbene l'ideale sia prevenire gli attacchi, la capacità di riprendersi da un disastro informatico legato a Active Directory è fondamentale per la gestione del rischio. Secondo uno studio di Enterprise Management Associates (EMA), il 50% delle organizzazioni ha subito un attacco AD negli ultimi 1-2 anni. Oltre il 40% di questi attacchi ha avuto successo. Senza un piano collaudato per il ripristino rapido di AD, che eviti anche la reintroduzione di malware, le organizzazioni rischiano di pagare un riscatto o di subire settimane di fermo aziendale durante il ripristino del sistema di identità.
  3. Correzione automatica delle minacce rilevate. Le minacce informatiche spesso si diffondono nei sistemi più velocemente di quanto l'uomo possa intervenire. La correzione automatica delle modifiche dannose è fondamentale per bloccare gli attacchi e ridurre i danni. Una soluzione completa di rilevamento e risposta alle minacce AD deve utilizzare più fonti di dati per rilevare attacchi avanzati come DCShadow, che eludono gli strumenti tradizionali basati su log ed eventi, comprese le soluzioni di gestione delle informazioni e degli eventi di sicurezza (SIEM).

Soluzioni ITDR per proteggere AD prima, durante e dopo un attacco

Per ulteriori informazioni su come valutare le soluzioni ITDR per proteggere il sistema di identità AD e Azure AD, consulta il report dell'indagine "Evaluating Identity Threat Detection & Response Solutions", che risponde alle domande:

  • Quante organizzazioni hanno bisogno di proteggere un ambiente AD ibrido?
  • Quali sono le maggiori preoccupazioni delle imprese riguardo alle minacce all'identità?
  • Quanto sono fiduciose le organizzazioni nella loro capacità di prevenzione o recupero da attacchi informatici che coinvolgono AD o Azure AD?
  • Che tipo di impatto avrebbero le aziende in caso di cyberattacco che distrugga AD?
  • Quali sono le funzionalità ITDR più importanti per i leader IT e della sicurezza di oggi?

Principali risultati: le organizzazioni sono alla ricerca di soluzioni che affrontino le minacce lungo l'intero ciclo di vita dell'attacco AD, prima, durante e dopo un attacco. Le principali funzionalità ITDR ricercate dai leader includono capacità di prevenzione, rilevamento, rimedio e recupero da un attacco ai sistemi di identità ibridi.

Scarica il rapporto dell'indagine ITDR

Vuoi sapere sapere come altre organizzazioni rispondono a queste domande? Scarica il nostro report Valutazione delle soluzioni di rilevamento e risposta alle minacce all'identità (ITDR) per saperne di più sulla categoria emergente dell'ITDR e su come soluzioni ITDR esperte possono aiutarti a proteggere la tua infrastruttura delle identità.

Maggiori informazioni sull'ITDR