Gli attacchi basati sull’identità sono in aumento. Gli aggressori prendono di mira le identità utilizzando credenziali compromesse, metodi di autenticazione dirottati e privilegi abusati. Mentre molte soluzioni di rilevamento delle minacce si concentrano su cloud, endpoint e minacce di rete, spesso trascurano i rischi unici posti dagli ecosistemi di identità SaaS. Questa lacuna sta causando gravi problemi alle organizzazioni che dipendono fortemente dai servizi SaaS, grandi e piccole. La domanda è: cosa possono fare i team di sicurezza al riguardo?
Non temere, l’identity threat detection and response (ITDR) è qui per salvare la situazione
È essenziale avere visibilità e meccanismi di risposta per fermare gli attacchi prima che diventino violazioni. Ecco la super squadra che ogni team ha bisogno per fermare le minacce alle identità SaaS.
Copertura completa: coprire ogni angolo
Come lo scudo di Capitan America, questa difesa dovrebbe coprire ogni angolo. Gli strumenti tradizionali di rilevamento delle minacce come XDR ed EDR non riescono a coprire le applicazioni SaaS, lasciando le organizzazioni vulnerabili. La copertura dell’identity threat detection and response (ITDR) dovrebbe includere:
- Estensione oltre la sicurezza tradizionale di cloud, rete, IoT ed endpoint per includere applicazioni SaaS come Microsoft 365, Salesforce, Jira e Github.
- Integrazioni senza soluzione di continuità con IdP come Okta, Azure AD e Google Workspace per garantire che nessun accesso sfugga al controllo.
- Indagini forensi approfondite degli eventi e dei log di audit per un rapporto dettagliato e un’analisi storica di tutti gli incidenti legati all’identità.
Identità-centrico: non lasciare che nessuno sfugga alla rete
La rete di Spider-Man intrappola i nemici prima che colpiscano, e nessuno sfugge alla rete. Quando gli eventi di sicurezza sono elencati solo in ordine cronologico, un’attività anomala da parte di una singola identità può passare inosservata. È cruciale assicurarsi che il tuo ITDR rilevi e correli le minacce in una timeline centrata sull’identità.
Cosa significa identità-centrico in ITDR:
- Puoi vedere l’intera storia di un attacco da parte di un’identità in tutto il tuo ambiente SaaS, mappando i movimenti laterali dall’infiltrazione all’esfiltrazione.
- Gli eventi di autenticazione, i cambiamenti di privilegi e le anomalie di accesso sono strutturati in catene di attacco.
- Le analisi del comportamento di utenti ed entità (UEBA) sono utilizzate per identificare deviazioni dall’attività normale dell’identità, così non devi cercare tra gli eventi per trovare quelli sospetti.
- Sia le identità umane che non umane, come account di servizio, chiavi API e token OAuth, sono monitorate continuamente e segnalate per attività anomale.
- Escalation di privilegi insolite o tentativi di movimento laterale all’interno dei tuoi ambienti SaaS sono rilevati per consentirti di indagare e rispondere rapidamente.
Intelligenza delle minacce: rilevare l’indetectabile
Il Professor X può vedere tutto con Cerebro, e un ITDR completo dovrebbe essere in grado di rilevare l’indetectabile. L’intelligenza delle minacce di ITDR dovrebbe:
- Classificare qualsiasi attività nel darknet per una facile indagine da parte dei team di sicurezza.
- Includere la geolocalizzazione IP e la privacy IP (VPN) per il contesto.
- Arricchire il rilevamento delle minacce con Indicatori di Compromissione (IoC) come credenziali compromesse.
Fonte: The Hackers News
