Durante WPC 2023, svoltasi a Milano, gli esperti di sicurezza informatica Michele Sensalari, CTO di Overnet e MVP Security, insieme a Mario Serra, Senior IT Security Specialist di Overnet e MVP Alumni, hanno affascinato il pubblico con una presentazione rivoluzionaria sul funzionamento di Entra ID Protection in ambito di protezione avanzata dell’identità umana e non-umana.
Ecco cos’è emerso dallo studio mostrato a WPC 2023
Michele Sensalari e Mario Serra, hanno condiviso dati inquietanti provenienti dal Microsoft Digital Defense Report, evidenziando un panorama sempre più complesso e pericoloso nel mondo della sicurezza informatica. Il report offre una prospettiva dettagliata sulle sfide attuali e svela una serie di statistiche allarmanti.
L’identità umana: uno dei primi elementi ad essere colpita
Una delle rivelazioni più significative è che l’80% degli attacchi moderni si basano sul furto o sull’impersonificazione dell’identità. In un contesto in cui la tecnologia digitale avanza a passi da gigante, la vulnerabilità delle identità umane e non-umane emerge come un punto critico, sottolineando la necessità di soluzioni innovative e avanzate per la protezione.
L’obiettivo degli attacchi è quindi il componente umano, poiché è quello più debole. La strategia di attacco più diffusa è il phishing con ben oltre 31 milioni di attacchi ogni mese. Le motivazioni dietro agli attacchi non sono di carattere economico, in quanto mirano solo al furto dell’identità. Questo per il monitoraggio segreto delle comunicazioni o la manipolazione di ciò che le persone leggono, al fine di plasmare l’opinione pubblica. Tutto ciò sottolinea il fatto che la sicurezza informatica non riguarda solo la protezione dei dati, ma anche la preservazione dell’integrità delle informazioni e la salvaguardia della fiducia del pubblico.
Ecco il secondo elemento a rischio: l’identità non-umana e gli Active Directory
Un altro dato preoccupante è che l’88% dei clienti attaccati non ha ancora adottato le migliori pratiche di sicurezza di Active Directory e Entra ID (come Azure AD). La mancanza di attuazione di tali pratiche best-in-class rappresenta un rischio significativo per la sicurezza delle organizzazioni.
L’attacco alle infrastrutture di Active Directory è un altro punto focale del report. Le statistiche mostrano che 5 organizzazioni su 10 subiscono attacchi su Active Directory, evidenziando la crescente vulnerabilità di uno dei pilastri fondamentali della sicurezza informatica aziendale.
Le cifre relative agli attacchi alle identità, inoltre, sono in costante aumento. Nel 2021, si è registrato un blocco di 1.000 attacchi al secondo, mentre nel 2023 questa cifra ha balzato a 4.000, con un picco di 11.000 attacchi registrato nel mese di aprile. Un ritmo impressionante che evidenzia la necessità di risposte tempestive e soluzioni efficaci.
L’importanza dell’MFA come meccanismo di difesa
Gli attacchi alle password e all’autenticazione multi-fattore (MFA) sono in aumento, evidenziando la complessità delle sfide a cui sono confrontate le tecniche di autenticazione tradizionali. Fenomeni come “MFA fatigue” (stanchezza da MFA) e “Account in the Middle” (AitM) rappresentano minacce emergenti che richiedono soluzioni innovative per contrastarle efficacemente.
Nel costante sforzo per migliorare la sicurezza delle identità, Microsoft ha introdotto un’innovativa funzionalità in Microsoft Authenticator. Questo strumento, fondamentale nel panorama delle autenticazioni MFA, ora è in grado di notificare all’utente quando una richiesta presenta potenziali rischi, come ad esempio quando origina da una posizione sconosciuta o mostra altri comportamenti anomali.
La capacità di notificare gli utenti solo quando sussistono rischi significativi elimina i fastidi legati alle notifiche di autenticazione superflue. Ciò non solo semplifica l’esperienza dell’utente, ma allo stesso tempo rafforza la sicurezza complessiva, concentrandosi sulle autenticazioni che effettivamente richiedono un’attenzione speciale.
AitM: Adversary-in-the-Middle
L’Account in the Middle (AitM) rappresenta una sofisticata minaccia informatica in cui un attaccante si posiziona strategicamente tra l’utente legittimo e il sistema di autenticazione. Questa tattica consente all’aggressore di intercettare e manipolare le comunicazioni, compromettendo così l’integrità e la riservatezza delle informazioni. Affrontare efficacemente l’AitM richiede soluzioni avanzate e una costante vigilanza per rilevare e respingere attività sospette. Nell’immagine sottostante vedremo una rappresentazione del funzionamento di questo attacco, e successivamente vedremo come difenderci.
Che cos’è Entra ID security e perché può esserci utile? A WPC 2023 abbiamo trovato la risposta
Entra ID Security, in evidenza alla conferenza WPC 2023, rappresenta un’innovativa e affidabile soluzione per affrontare le attuali sfide della sicurezza informatica, focalizzandosi sulla protezione avanzata delle identità. La piattaforma si adatta dinamicamente alle minacce digitali, offrendo strumenti avanzati e una gestione intelligente delle autenticazioni. Integrandosi sinergicamente con Microsoft Authenticator, Entra ID riduce il rischio di affaticamento da MFA e migliora la sicurezza complessiva, notificando gli utenti solo in presenza di reali pericoli.
ITDR: ecco la chiave per prevenire gli attacchi
Il concetto di Identity Threat Detection and Response (ITDR) è emerso come una categoria di sicurezza avanzata, progettata per contrastare gli attacchi basati sull’identità e semplificare la protezione aziendale. L’ITDR si propone di prevenire, rilevare e rimediare agli attacchi su identità in vari ambienti, coinvolgendo componenti chiave come IAM, Entra ID, XDR, Microsoft Defender for Identity e Entra ID Protection. L’ITDR punta a prevenire violazioni garantendo un accesso sicuro e adattivo, basandosi su un rilevamento avanzato supportato dall’intelligenza artificiale per scovare eventuali minacce. La risposta veloce alle minacce è garantita, rendendo l’ITDR un elemento cruciale nella difesa contro attacchi. Nell’immagine sottostante vediamo come l’ITDR sia la fusione del componente IAM, nel nostro caso Entra ID, con le componenti XDR come Microsoft Defender for Identity e Entra ID Protection.
Microsoft Entra ID Protection: sicurezza basata sul rischio con apprendimento automatico avanzato
Microsoft Entra ID Protection sfrutta l’apprendimento automatico avanzato per identificare rischi di accesso e comportamenti utente insoliti, intervenendo con blocco, verifica, restrizione o concessione di accesso.
Il rilevamento del rischio può avvenire a livello dell’utente e dalla procedura di accesso, con calcoli di rilevamento in tempo reale o offline. Le politiche di Conditional Access basate sul rischio consentono la risposta automatica al rischio, abilitando gli utenti a rimediare automaticamente quando vengono individuati rischi.
È possibile richiedere l’autenticazione multi-fattore (MFA) o il reset sicuro della password in base al livello di rischio rilevato. Le configurazioni consigliate da Microsoft per le politiche di rischio includono:
- User Risk Policies: Richiede il cambio password quando il livello di rischio utente è alto.
- Sign-in Risk Policies: Richiede MFA o un altro metodo forte quando il livello di rischio di accesso è medio o alto.
Una volta che gli utenti dimostrano la propria identità utilizzando uno dei metodi di autenticazione registrati, il rischio viene corretto automaticamente. Questo approccio intelligente non solo protegge le identità da attacchi basati sul rischio, ma offre anche una soluzione efficiente e reattiva per garantire un accesso sicuro e controllato.
Una piccola Demo di Entra ID a WPC 2023 e alcune novità su Entra ID Protection
Nella dimostrazione mostrata durante la conferenza a WPC Milano 2023, Michele Sensalari e Mario Serra hanno dato una prova di un eventuale attacco, con un tentativo di sottrazione di dati sensibili. i L’attaccante provando a effettuare l’accesso attiva una serie di alert che il sistema fin da subito ha rilevato. A questo punto l’utente può direttamente mettere mano agli accessi e intervenire tempestivamente per bloccare l’attività.
Novità introdotte in Entra ID Protection
Parlando invece delle novità a WPC 2023, ne sono state mostrate parecchie per quanto concerne Entra ID Protection. Il nuovo pannello di controllo è stato ridisegnato per consentire agli amministratori di comprendere in modo più approfondito la propria postura di sicurezza. Alcune delle nuove funzionalità includono:
- Rilevamento dell’IP dell’Attore Minaccioso: Protegge dagli attacchi di accesso provenienti da nazioni, stati, gruppi di cyber criminali o attori noti.
- Cambio automatico della password locale: Ora è possibile correggere automaticamente il rischio utente cambiando la password locale.
- Nuovo meccanismo di protezione in tempo reale: Introduce un metodo rapido per proteggere gli utenti da minacce emergenti in tempo reale.
- Integrazione con Microsoft Defender XDR: Una collaborazione sinergica con Microsoft Defender Extended Detection and Response per una protezione avanzata.
- Rilevamento degli Attaccanti nel Mezzo utilizzando l’intelligence delle minacce di Entra ID (Attacchi di Phishing): Identifica e contrasta gli attacchi nell’Account in the Middle (AitM) sfruttando l’intelligenza delle minacce di Entra ID, specialmente nelle situazioni di attacchi di phishing.
Queste nuove funzionalità, presentate a WPC 2023, non solo forniscono una panoramica più dettagliata della sicurezza aziendale, ma dimostrano anche l’impegno nella prevenzione proattiva delle minacce emergenti.
In conclusione, l’intervento dei due esperti di sicurezza informatica, Michele Sensalari e Mario Serra, durante la conferenza WPC 2023, ha rivestito un ruolo fondamentale nel delineare le sfide e le soluzioni emergenti nel campo della protezione delle identità. Attraverso la presentazione di Entra ID Security e l’approfondimento sul concetto di ITDR e di identità umana e non-umana. Infine hanno fornito agli spettatori una panoramica dettagliata delle nuove frontiere nella sicurezza informatica.
- Cervelli, Riccardo (Autore)