Gestire gli account privilegiati per combattere i data breach e ridurre il potenziale distruttivo degli attacchi informatici

A cura di:Redazione Ore

La gestione degli account cosiddetti privilegiati, vale a dire aventi privilegi amministrativi sulla infrastruttura IT (reti, sistemi, applicazioni, cloud), costituisce una delle tematiche, nell’ambito della disciplina più ampia della gestione delle identità e degli accessi (IAM), che ha assunto un rilievo particolare negli ultimi anni, alla luce dei più recenti ed eclatanti attacchi informatici e dell’impatto che questi hanno avuto sull’operatività, la reputazione ed il business delle Aziende ed Organizzazione colpite.

Il modus operandi di tali attacchi è spesso riconducibile a dei modelli comuni (cosiddette “kill chain”) che in generale partono dall’individuazione di vulnerabilità sfruttabili, per proseguire con il successivo guadagno di un accesso iniziale (ad esempio su una postazione di lavoro), il consolidamento della posizione e quindi la ricerca ed il reperimento con varie tecniche delle credenziali amministrative all’interno dell’organizzazione colpita (privileged accounts), per poi procedere con l’individuazione dei target interni con finalità diverse che vanno dal furto di informazioni riservate fino alla danneggiamento dell’esercizio delle infrastrutture IT e di conseguenza dell’operatività e del business.

Per tutti vale l’esempio dell’attacco cosiddetto NotPetya del 2017, probabilmente il più devastante cyberattack mai misurato per gli effetti sia in termini di danni procurati che di vastità della sua diffusione. Su Wired si trova un interessantissimo articolo che ne racconta i dettagli, utile sia per capire i meccanismi che ne hanno favorito diffusione ed efficacia distruttiva, sia per la qualità della narrazione che rende davvero piacevole la lettura.

In definitiva, la componente associata all’efficacia distruttiva di questo evento, per molti aspetti drammatico, ha molto a che vedere con la gestione degli account privilegiati. In questo, come nella maggior parte dei casi, l’adozione di corrette procedure e di soluzioni per la gestione dei privileged account avrebbero, con buona probabilità, reso meno distruttivo l’attacco e quindi ridotto l’impatto davvero ingentissimo sul business dell’organizzazione colpite, con numeri impressionanti.

Quali sono quindi le possibili contromisure utili per una corretta strategia per la gestione degli account privilegiati?

1. Prevenire il furto delle identità privilegiate

Gli account privilegiati detengono le chiavi per l’accesso ad informazioni aziendali altamente sensibili e una volta che queste credenziali sono compromesse, possono facilmente aprire la porta alle risorse più preziose di un’azienda.

Il tipo di dati rubati spesso include informazioni altamente critiche/sensibili come i dettagli di carte di credito, account utente o cartelle cliniche, per citarne solo alcuni.

I danni creati da un furto di identità privilegiato, tuttavia, possono essere ridotti in modo significativo quando le aziende stratificano i controlli di sicurezza, andando oltre la mera gestione delle password. Sapere chi può accedere agli account con privilegi non è più sufficiente e, probabilmente, non lo è mai stato.

È necessario adottare ulteriori e più dettagliati passaggi per garantire che le minacce vengano rilevate prima che degenerino in attacchi in piena regola. Capire da dove iniziare può essere una sfida, ma prendersi del tempo per implementare i controlli appropriati può far risparmiare alle imprese grandi e piccole eventi i cui impatti possono essere devastanti ed i danni associati irreparabili.

2. Proteggere gli account privilegiati

Poiché gli account con privilegi sono destinati esclusivamente ad utenti di fiducia, come amministratori di sistema, fornitori di servizi IT o appaltatori di terze parti, è fondamentale fornire formazione sulla valutazione e la mitigazione dei rischi. I membri di questi team con accesso a dati sensibili dovrebbero capire cosa cercare e dovrebbero avere l’autorità per segnalare attività sospette.

Inoltre, l’implementazione di funzionalità di sicurezza a più livelli li aiuterà a mantenere tutti i sistemi in esecuzione con una riduzione del rischio. Per mitigare le vulnerabilità, è essenziale disporre di sistemi operativi, applicazioni e firewall aggiornati; l’uso di ambienti basati su tecnologie obsolete o non aggiornate è un invito aperto ai cyber-criminali.

In termini pratici, le password dovrebbero comunque essere modificate e ruotate spesso e dovrebbero essere accoppiate con l’autenticazione a più fattori per tutti gli account, in particolare per gli utenti privilegiati.

Inoltre, le sessioni privilegiate devono essere ispezionate. Come parte di un programma di gestione degli accessi privilegiati, ogni sessione dovrebbe essere registrata, archiviata e quelle rischiose dovrebbero essere esaminate per attività sospette. Ciò può aiutare a prevenire azioni dannose o, in caso di incidente, a ridurre drasticamente il tempo per trovare la causa principale del problema.

Ispezioni regolari possono salvare un’azienda riducendo la probabilità che i dati sensibili vengano esfiltrati nel corso dell’attacco, consentendo di intercettare lo sviluppo della kill-chain prima che arrivi al target.

Le violazioni più importanti di cui si ha notizia come ad esempio quella presso l’Office of Personnel Management (OPM) del governo degli Stati Uniti, Sony e Target sono passate inosservate per mesi mentre gli aggressori si muovevano liberamente e programmavano l’estrapolazione di dati di alto valore.

Secondo l’ultimo Verizon DBIR, il 68% delle violazioni ha richiesto mesi o più per essere rilevate.

3. Analisi dei comportamenti degli utenti privilegiati

L’implementazione di analisi del comportamento degli utenti con privilegi può aggiungere un altro livello di supporto per la protezione, poiché monitora e analizza le attività degli utenti privilegiati e rileva comportamenti insoliti per aiutare a prevenire il furto dei dati.

Raccogliendo le “impronte digitali” degli utenti, viene acquisita una baseline di attività con l’uso di algoritmi di apprendimento automatico avanzati per rilevare le anomalie in tempo reale, e spesso questo può fare la differenza, consentendo di rilevare insider malevoli che agiscono in maniera insolita o i movimenti laterali degli attaccanti.

Essa fornisce inoltre una scala di priorità associata al rischio dei comportamenti che possono portare a problemi di sicurezza, consentendo di concentrare gli sforzi su situazioni e attività potenzialmente ad alto rischio e migliorando quindi l’efficienza dell’attività di contrasto.

In definitiva, sugli account privilegiati occorre innalzare il livello di protezione. Sulla scia di così tante violazioni, adottare ulteriori misure per stringere e stratificare i controlli di sicurezza su di essi non è più un’opzione, è un requisito improcrastinabile.

Per un approfondimento sulle soluzioni One Identity per il miglioramento della gestione degli account privilegiati: https://www.oneidentity.com/ICT_Magazine_Italy

Per maggiori informazioni visita il sito: http://www.oneidentity.com

Condividi sui Social Network:

Articoli simili

Replay “La cybersecurity nei sistemi di controllo industriali e nelle infrastrutture critiche” di Luca Faramondi

Replay “La cybersecurity nei sistemi di controllo industriali e nelle infrastrutture critiche” di Luca Faramondi

A cura di:Redazione Ore Pubblicato il

Intervento di Luca Faramondi dal titolo “La cybersecurity nei sistemi di controllo industriali e nelle infrastrutture critiche”. Cyber Security Virtual Conference 2021.   Luca Faramondi, PostDoc Fellow at Complex Systems & Security (COSERITY) Lab – Università Campus Bio-Medico di Roma “Il 9 maggio del 2021 è stata riportata la notizia che la Colonial Pipeline è…

Windows e le “privilege escalations”

Windows e le “privilege escalations”

A cura di:Andrea Pierini Ore Pubblicato il

Tutti noi sappiamo quanto sia importante e fondamentale tenere i nostri sistemi Windows aggiornati ma questo sicuramente non basta perché, come ben noto, l’anello più debole della catena è sempre e solo il fattore umano. Molto spesso gli attacchi più mirati tendono a sfruttare configurazioni errate del sistema piuttosto che andare alla vana ricerca di…

A case history – Think Different

A case history – Think Different

A cura di:Vincenzo Digilio Ore Pubblicato il

L’utilizzo del termine “Hacker” è uno degli esempi migliori degli ultimi tempi di discriminazione dei mass media ed uso improprio delle parole. Numerosi criminali informatici spacciano i loro misfatti definendoli “hack” ed ogni giorno assistiamo a slogan del tipo: “Hacker svuotano conto in banca”, “Tizio risponde ad un SMS e il suo portfolio evapora”, “Centrale…

Forum ICT Security 2019 – 16 Ottobre 2019 – Roma

Forum ICT Security 2019 – 16 Ottobre 2019 – Roma

A cura di:Redazione Ore Pubblicato il

Quest’anno il Forum ICT Security celebra la sua ventesima edizione: il prossimo 16 ottobre gli spazi dell’Auditorium della Tecnica, a Roma, saranno nuovamente attraversati dai principali esperti e operatori della sicurezza informatica italiana per un’intensa giornata di confronto e dibattito sui più attuali temi dell’agenda nazionale di cybersecurity. In apertura dell’evento è prevista la Tavola Rotonda “Digital Innovation…

Social Media Intelligence e tracciamento individuale – quando gli smartphone offline “sparlano” di te

Social Media Intelligence e tracciamento individuale – quando gli smartphone offline “sparlano” di te

A cura di:Francesco Arruzzoli Ore Pubblicato il

Lo straordinario e drammatico periodo che stiamo vivendo – e nel quale mi accingo a scrivere questo articolo – è dominato da un indiscusso sentimento di incertezza, che spazia dalla paura per la malattia provocata dal COVID-19 a quella economica provocata dai lockdown. Eppure rimangono evidenti, soprattutto su internet, paure di altra natura, spesso frutto…

Il Sistema Immunitario Aziendale

Il Sistema Immunitario Aziendale

A cura di:Redazione Ore Pubblicato il

L’approccio statistico per sviluppare la cyber defense di nuova generazione Darktrace segue un nuovo approccio per sfidare e neutralizzare i sofisticati attacchi provenienti sia dall’interno che dall’esterno di un’azienda impiegando avanzate tecniche di apprendimento automatico e algoritmi matematici. Se guardiamo al medioevo, il concetto di città cinta da mura e posizionata sulla sommità di una…