Active Directory è coinvolto in 9 attacchi informatici su 10. Come possono le organizzazioni proteggere al meglio le loro infrastrutture di identità aziendali? Per questo rapporto abbiamo intervistato i responsabili IT e della sicurezza di oltre 50 aziende per determinare le funzionalità più importanti delle attuali soluzioni ITDR (Identity Threat Detection and Response).

Emerge una nuova categoria di soluzioni di cybersecurity: Identity Threat Detection & Response

Sulla scia del dilagare dei cyberattacchi che hanno preso di mira Active Directory (AD) - il principale archivio di identità per il 90% delle organizzazioni in tutto il mondo - gli analisti della sicurezza informatica hanno individuato la necessità critica di soluzioni di sicurezza e ripristino specifiche per AD. Gartner non solo ha indicato la difesa dei sistemi di identità come uno dei principali trend del 2022 nel campo della cybersecurity, ma ha anche ideato una categoria completamente nuova - Identity Threat Detection & Response (ITDR) - per descrivere i prodotti e le soluzioni che affrontano gli attacchi ai sistemi di identità.

È ormai risaputo che l'AD è un obiettivo primario per i criminali informatici. Infatti, l'AD è coinvolto in 9 attacchi informatici su 10. Ma come possono le aziende proteggere al meglio le loro infrastrutture di identità aziendali? Per capire meglio come le aziende valutano le soluzioni di difesa dei sistemi di identità, Semperis ha intervistato i responsabili IT e della sicurezza di oltre 50 aziende di tutti i principali settori verticali.

Principali risultati: Le organizzazioni sono alla ricerca di soluzioni che affrontino le minacce lungo l'intero ciclo di vita dell'attacco AD, prima, durante e dopo un attacco. Le principali funzionalità ITDR ricercate dai leader includono capacità di prevenzione, rilevamento, rimedio e ripristino da un attacco ai sistemi di identità ibridi.

Le funzionalità ITDR più importanti:

  • Valutazione della postura di sicurezza e monitoraggio in tempo reale
  • Backup e ripristino della foresta AD veloce e senza malware
  • Correzione automatica delle minacce rilevate

Le organizzazioni utilizzano principalmente identity store ibridi

I nostri risultati rafforzano la previsione di Gartner secondo cui solo il 3% delle organizzazioni migrerà completamente dall'AD on-premise a un servizio di identità basato sul cloud entro il 2025. Nella nostra indagine, il 16% degli intervistati ha dichiarato che l'AD on-premise è il loro archivio di identità principale. Un altro 80% ha dichiarato di utilizzare AD on-premise sincronizzato con Azure AD o di utilizzare diversi sistemi di identità, tra cui AD e/o Azure AD. Solo il 4% ha dichiarato di non utilizzare affatto AD o Azure AD.

La protezione di questi sistemi AD ibridi è una priorità: Gli intervistati hanno indicato che la funzionalità più importante per prevenire gli attacchi nelle loro organizzazioni è il monitoraggio continuo delle vulnerabilità e delle configurazioni rischiose di AD e Azure AD.

L'80% degli intervistati utilizza sistemi di identità ibridi: solo il 4% non utilizza affatto AD o Azure AD.

Utilizzo di AD on-prem e Azure AD

Le preoccupazioni riguardano la protezione dei sistemi AD ibridi attraverso il ciclo di vita dei cyberattacchi

In risposta alle domande sulle esigenze di protezione dei loro sistemi di identità ibridi dagli attacchi, le organizzazioni hanno citato problemi che riguardano l'intero ciclo di vita dei cyberattacchi ad Active Directory (AD), tra cui la prevenzione, il rilevamento, il rimedio e il recupero dalle minacce che colpiscono l'AD. Le risposte dei partecipanti indicano una generale mancanza di fiducia nella loro capacità di affrontare le sfide dell'attuale panorama delle minacce. Le principali preoccupazioni riguardano l'inadeguatezza delle soluzioni esistenti, la mancanza di visibilità sulle vulnerabilità e le competenze limitate in materia di sicurezza delle identità.

L'incapacità di rilevare gli attacchi che eludono i SIEM e altri strumenti tradizionali è stata la principale preoccupazione per quanto riguarda le minacce all'identità.

Le maggiori preoccupazioni per le minacce all'identità

Le organizzazioni non hanno fiducia nella possibilità di prevenire gli attacchi AD ibridi

Con l'adozione di ambienti cloud ibridi da parte di un numero sempre maggiore di organizzazioni, la prevenzione degli attacchi che si spostano da AD on-prem a Azure AD o viceversa, come nel caso dell'attacco di SolarWinds, è emersa come una preoccupazione fondamentale per molte organizzazioni. Come già detto, la maggior parte delle organizzazioni intervistate utilizza sistemi di identità ibridi che comprendono AD, Azure AD e altri sistemi cloud. Quando un'organizzazione abbraccia il cloud, la nozione di perimetro di rete tradizionale cessa di esistere. In un ambiente di identità ibrido, le organizzazioni devono essere pronte a difendersi da una serie infinita di possibili punti di accesso. La difficoltà riconosciuta nel padroneggiare un nuovo modello di sicurezza si riflette in questi risultati: Solo il 33% degli intervistati si è detto molto sicuro di poter prevenire gli attacchi all'AD on-prem e solo il 27% si è detto molto sicuro di poter prevenire gli attacchi all'AD di Azure.

La mancanza di visibilità sugli attacchi che partono dall'AD on-prem e si spostano verticalmente verso l'AD di Azure suscita preoccupazioni sulla capacità di prevenire gli attacchi.

Livello di fiducia nella prevenzione degli attacchi

L'impatto percepito dei cyberattacchi è legato ai timori di un recupero tempestivo

La maggior parte dei leader aziendali e dei loro team di sicurezza e di IT ops riconosce che nessuna entità può eliminare la possibilità di un cyberattacco. Gli intervistati hanno espresso un giudizio pessimistico sulla loro capacità di riprendersi da un cyberattacco che abbia messo fuori uso l'AD.

Una netta maggioranza (77%) ha indicato che un attacco di questo tipo avrebbe un impatto grave (in quanto dispone di una soluzione generale di disaster recovery ma non di un supporto specifico per l'AD) o catastrofico (dovrebbe condurre un ripristino manuale utilizzando i propri backup, che richiederebbe giorni o settimane). La perdita di fatturato, il danno alla reputazione e, nel caso delle organizzazioni sanitarie, alla salute e alla sicurezza dei pazienti, causati da un ripristino prolungato, possono rappresentare un evento che mette fine all'attività aziendale.

Il 77% degli intervistati ha dichiarato che avrebbe subito un impatto grave o catastrofico in caso di interruzione dell'AD.

Impatto di un cyberattacco che mette fuori uso l'AD

Le organizzazioni non hanno fiducia nella possibilità di riprendersi da un attacco AD

La preoccupazione per l'impatto di un attacco AD citata in precedenza è legata alla generale mancanza di fiducia degli intervistati nel fatto che le loro organizzazioni possano riprendersi rapidamente da un attacco AD su larga scala. Solo il 32% degli intervistati ha dichiarato di essere "estremamente fiducioso" di potersi riprendere; il 61% degli intervistati era solo "un po' fiducioso" e il 7% "per niente fiducioso".

La preoccupazione per la capacità di ripristinare rapidamente l'AD si è riflessa nelle risposte alle domande sulle preoccupazioni generali per la sicurezza dell'AD e sulle funzionalità che gli intervistati hanno considerato prioritarie nella valutazione delle soluzioni di ripristino. Queste priorità includono la necessità di un ripristino AD automatizzato e multi-foresta, la capacità di fornire rapidamente un ambiente di ripristino isolato per le esercitazioni e la competenza AD nella risposta agli incidenti.

Solo il 32% degli intervistati ha dichiarato di essere estremamente sicuro di poter recuperare rapidamente da un attacco AD su larga scala.

Livello di fiducia nel recupero rapido dell'AD da un attacco su larga scala

Le organizzazioni danno priorità alle capacità ITDR che coprono il ciclo dell'attacco

La classifica delle funzionalità di Identity Threat Detection & Response (ITDR) stilata dagli intervistati, in base alla loro importanza, indica soluzioni che li aiutino a proteggere Active Directory (AD) prima, durante e dopo un attacco: la priorità assoluta è la valutazione della postura di sicurezza e il monitoraggio in tempo reale per il 40% degli intervistati. Forse riconoscendo che gli aggressori più sofisticati escogitano sempre nuovi modi per compromettere l'AD, il 27% ha dato priorità al backup e al ripristino rapido e senza malware della foresta AD e il 20% ha scelto la correzione automatica delle minacce rilevate.

Questi risultati indicano che le organizzazioni sono pienamente consapevoli che l'AD è un obiettivo primario per gli aggressori. Una difesa efficace deve comprendere soluzioni per la prevenzione, la riparazione e il recupero dagli attacchi.

La classificazione delle capacità ITDR riflette la necessità riconosciuta di una strategia di difesa a più livelli in grado di proteggere l'AD prima, durante e dopo un attacco.

Classifica delle funzionalità ITDR in base all'importanza per gli intervistati

  1. Valutazione della postura di sicurezza e monitoraggio in tempo reale
  2. Backup e ripristino della foresta AD veloce e senza malware
  3. Correzione automatica delle minacce rilevate
  4. Punteggio del rischio, prioritizzazione del rischio e guida per la bonifica
  5. Analisi forense post violazione

Le organizzazioni cercano soluzioni ITDR specifiche per AD che coprano il ciclo di vita degli attacchi AD

Data la proliferazione degli attacchi che prendono di mira Active Directory (AD), i responsabili della sicurezza e delle operazioni IT sono consapevoli che la protezione dell'infrastruttura di identità aziendale è imperativa per l'azienda. Secondo Gartner, "l'uso improprio delle credenziali è ora la tecnica principale utilizzata nelle violazioni. Attaccanti di livello nazionale stanno prendendo di mira Active Directory e l'infrastruttura di identità con un successo fenomenale".

  • Un ambiente AD ibrido è l'infrastruttura di identità principale per la maggior parte delle aziende ed è coinvolto in 9 attacchi su 10.
  • Data l'escalation di cyberattacchi contro l'AD, le organizzazioni hanno bisogno di una strategia di difesa a più livelli per proteggersi da compromissioni dannose per l'azienda.
  • Le preoccupazioni delle organizzazioni per la protezione dell'AD riguardano l'intero ciclo di vita.
  • Le principali priorità per le soluzioni di Identity Threat Detection & Response (ITDR) sono la valutazione delle vulnerabilità e il monitoraggio continuo, il ripristino rapido e senza malware dell'intera foresta AD e la correzione automatica delle minacce dannose.

Le organizzazioni sono pienamente consapevoli che una strategia di difesa a più livelli fornisce una protezione ottimale. Le soluzioni ITDR che non affrontano ogni fase del ciclo di vita degli attacchi AD lasciano le organizzazioni vulnerabili ad attacchi devastanti.

Avete bisogno di aiuto?

Le soluzioni ITDR di Semperis proteggono l'AD prima, durante e dopo l'attacco.

  • Impedire agli aggressori di accedere agli ambienti AD ibridi
  • Acquisizione delle modifiche AD che eludono i SIEM e altri strumenti di registrazione della sicurezza.
  • Correggi automaticamente le modifiche dannose
  • Riduzione del 90% dei tempi di ripristino dei disastri informatici AD
  • Proteggete Active Directory dagli attacchi informatici e migliorate la vostra posizione di sicurezza.
  • Mitigate e recuperate gli attacchi AD con la guida di un team di risposta agli incidenti collaudato.

Metodologia

In occasione della Gartner IAM Conference 2022 di Las Vegas, abbiamo intervistato i responsabili IT e della sicurezza delle aziende sulle loro preoccupazioni in materia di difesa dei sistemi di identità e sulle loro priorità nella valutazione dei prodotti e dei servizi di Identity Threat Detection & Response (ITDR). Le risposte sono state fornite da più di 50 organizzazioni, per lo più aziende di medie e grandi dimensioni di tutti i settori. Gli intervistati hanno ricevuto una carta regalo di 25 dollari come ringraziamento per la loro partecipazione.