ITDR: quando l’attaccante non entra, ma fa login
ITDR è l’acronimo di Identity Threat Detection and Response, e descrive una disciplina nata per colmare un vuoto che è diventato impossibile ignorare: nessuno sorvegliava l’identità mentre l’identità diventava il bersaglio principale. Gli attaccanti, sempre più spesso, non sfondano un perimetro né lasciano malware da riconoscere. Fanno una cosa più semplice e più difficile da fermare: si autenticano, con credenziali o, peggio, con sessioni rubate che hanno già superato ogni controllo. L’ITDR esiste per accorgersi proprio di questo, quando un accesso legittimo viene usato da chi non dovrebbe.
Il punto di partenza è una constatazione che ribalta vent’anni di abitudini difensive. La sicurezza ha imparato a sorvegliare gli endpoint, con i sistemi di rilevamento sul dispositivo, e la rete, con quelli sul traffico. Ma il livello dove oggi si gioca la partita, l’infrastruttura che gestisce le identità, è rimasto un punto cieco. La gestione degli accessi decide chi può entrare; quasi nessuno controlla cosa succede dopo che qualcuno è entrato, e se quel qualcuno è davvero chi dice di essere.
L’identità è il perimetro, e quasi nessuno la sorveglia
La distinzione che chiarisce il ruolo dell’ITDR è quella con la gestione delle identità e degli accessi. Quest’ultima è preventiva: stabilisce chi ha diritto di accedere a cosa, e applica le regole al momento del login. È necessaria, ma si ferma sulla soglia. Una volta concesso l’accesso, non osserva più, e dà per scontato che chi ha presentato credenziali valide sia legittimo. L’ITDR lavora esattamente dopo quel momento, monitorando i segnali che indicano che un meccanismo di accesso legittimo viene sfruttato in modo ostile.
Anche il confronto con il rilevamento sugli endpoint aiuta. Quegli strumenti sorvegliano workstation e server alla ricerca di comportamenti malevoli, ma non vedono l’infrastruttura delle identità, l’Active Directory, l’Entra ID, i provider di identità in cloud, dove si consumano attacchi che sul dispositivo non lasciano traccia sospetta. È un livello che richiede sensori propri, ed è la ragione per cui Gartner, che ha coniato il termine ITDR nel 2022, lo descrive come la capacità mancante tra i controlli preventivi sull’identità e le operazioni di sicurezza. La categoria, va detto, è ormai riconosciuta, e tutti i grandi fornitori la presidiano sul piano commerciale; ciò che resta scoperto, nella pratica di molte organizzazioni, è proprio il livello che essa dovrebbe sorvegliare. La difesa dell’identità, in un’epoca in cui gli attaccanti entrano con le chiavi giuste, non è più un dettaglio di amministrazione, è un fronte di rilevamento a sé.
Cosa rileva l’ITDR che gli altri non vedono
Il valore di questo livello si capisce dagli attacchi che intercetta, quasi tutti invisibili a chi guarda altrove. Tecniche contro Active Directory come il Kerberoasting, il Golden Ticket e il Silver Ticket, il DCSync, il Pass-the-Hash vivono di richieste che, prese singolarmente, sembrano legittime. Un Kerberoasting, per esempio, consiste in normali richieste di ticket di servizio Kerberos: un sistema di rilevamento sull’endpoint non ha motivo di segnalarle, mentre l’ITDR le legge nel contesto dell’infrastruttura delle identità e le riconosce per ciò che sono, il primo passo di un furto di credenziali.
A questi si aggiungono il credential stuffing, l’escalation anomala di privilegi, gli accessi da posizioni o orari incongrui, l’abuso di account privilegiati. Il filo comune è che nessuno di questi attacchi rompe qualcosa: tutti sfruttano la fiducia che il sistema ripone in una credenziale o in un ticket validi. Per questo Gartner raccomanda di spostare il rilevamento da un approccio basato su firme e anomalie generiche a uno centrato sull’avversario, ancorato alle tecniche catalogate nel framework MITRE ATT&CK: non cercare il file malevolo, ma il comportamento dell’attaccante che usa l’identità come arma.
ITDR contro il furto di token: oltre l’MFA
Il fronte più caldo del momento mostra perché l’ITDR sia diventato urgente. L’attacco identitario dominante non è più indovinare una password, è rubare una sessione già autenticata. Un token o un cookie di sessione sottratti dal browser di una vittima permettono di accedere a un servizio senza conoscere la password e, soprattutto, senza dover ripetere l’autenticazione a più fattori. La ragione è strutturale: quel token è la prova che l’autenticazione è già avvenuta, e il servizio non ha modo di accorgersi che viene rigiocato da un altro computer. È il motivo per cui l’MFA, presidio indispensabile, non è più sufficiente da solo, e per cui gli attacchi di tipo adversary-in-the-middle, che intercettano la sessione in tempo reale, sono cresciuti rapidamente.
Qui l’ITDR fa ciò che nessun controllo di autenticazione può fare. Non si limita a verificare se il login è riuscito, ma correla quel successo con segnali comportamentali: lo stesso token che compare improvvisamente da un’altra area geografica, una sessione che agisce in modo incoerente con l’utente, regole di inoltro della posta create di colpo, nuovi consensi a applicazioni OAuth. Anche quando il registro degli accessi dice che l’autenticazione a più fattori è andata a buon fine, l’ITDR può riconoscere che qualcosa, intorno a quel successo, non torna. È la differenza tra fidarsi del timbro sul biglietto e guardare chi lo sta usando.
ISPM e ITDR: prevenire e reagire
Accanto al rilevamento esiste il versante preventivo, la gestione della postura di sicurezza delle identità, nota come ISPM. Mentre l’ITDR reagisce agli attacchi in corso, l’ISPM riduce in anticipo la superficie esponibile: scopre gli account orfani mai dismessi, le utenze di servizio con privilegi eccessivi, gli utenti che hanno accumulato più diritti di quanti il loro ruolo richieda, il proliferare delle identità non umane con i loro segreti. I due approcci sono complementari e non alternativi: l’igiene dell’identità rende l’ambiente più difficile da attaccare, il rilevamento coglie chi attacca comunque. Trascurarne uno indebolisce l’altro.
Un livello, non un prodotto
Conviene chiarire cosa l’ITDR non è. Non è una scatola che si compra e si dimentica, ed è inutile se vive isolato. Il suo posto è dentro una difesa stratificata, accanto alla gestione degli accessi che governa, alla gestione degli accessi privilegiati che controlla i conti più sensibili, al rilevamento sugli endpoint che presidia i dispositivi. Gartner insiste su un punto in particolare: l’ITDR ha valore quando è integrato con le operazioni del centro operativo di sicurezza, perché un segnale sull’identità che resta confinato in una console separata arriva tardi e male. La capacità di reagire, sospendere un account, revocare le sessioni, isolare un’utenza compromessa, conta quanto quella di rilevare.
Visto nel suo insieme, l’ITDR è la risposta a una domanda che fino a poco fa quasi nessuno si poneva: chi sorveglia i login. Per anni la difesa ha presidiato i muri e le porte, mentre gli attaccanti si procuravano le chiavi e poi i lasciapassare già timbrati. Finché l’autenticazione stessa è diventata la superficie d’attacco, e il furto di sessione ha reso aggirabile anche l’MFA, vigilare sul livello dell’identità ha smesso di essere un di più. L’ITDR è il nome di questa vigilanza, ed è il riconoscimento, tardivo ma necessario, che l’attaccante moderno raramente sfonda: il più delle volte, semplicemente, entra dalla porta principale con un documento che sembra in regola.
