Difendersi da cyberminacce identitarie diviene cruciale. Scopri come Microsoft affronta il problema assicurando protezione.
L’intensificarsi delle minacce cibernetiche basate sull’identità è una realtà preoccupante nel panorama della sicurezza informatica attuale. L’anno 2023 ha registrato un incremento decuplicato di minacce come attacchi di phishing, ransomware e altre ancora. Gli aggressori cyber stanno affinando le proprie tecniche, rendendole via via più sofisticate, e nella loro evoluzione mirano a generare falsi allarmi e adottare azioni credibili a prima vista. Per un dipendente aziendale, ogni notifica può tradursi in distrazione e indebolimento dell’attenzione, aprendo le porte a rischi maggiori e a una faticosa gestione degli allarmi (alert fatigue).
Uno specifico attacco ransomware, messo a segno tramite un singolo link dannoso in una mail di un utente, ha portato alla luce la sinergia tra Microsoft Incident Response e Microsoft Defender for Identity. Questa collaborazione ha facilitato il lavoro congiunto dei team di sicurezza, identità e risposta agli incidenti al fine di allontanare gli attori dannosi e rafforzare le difese contro le minacce future.
Le statistiche sono chiare: il 50% degli interventi relativi alla sicurezza di Microsoft è riconducibile al ransomware e il 61% delle violazioni coinvolge le credenziali. L’attacco alla sicurezza identitaria rimane una sfida costante a causa della centralità dell’elemento umano nell’ambito degli attacchi social engineering. La semplice azione di clic su un collegamento può introdurre i cybercriminali in un sistema, e le squadre specializzate nella risposta agli incidenti spesso lavorano isolate da quelle preposte alla gestione delle identità aziendali.
Quando il malware Qakbot, derivante da un link dannoso, ha iniziato a insediarsi all’interno di una vasta rete aziendale, è intervenuto Microsoft Incident Response. Questo servizio ha implementato Microsoft Defender for Identity, una soluzione di sicurezza basata su cloud che aiuta nella rilevazione e risposta a minacce legate all’identità. Coinvolgere il monitoraggio dell’identità fin dall’inizio della risposta a un incidente ha aiutato il team operativo di sicurezza a riguadagnare il controllo della situazione.
Una volta identificata la portata dell’incidente e assicurate le infrastrutture critiche, il passo successivo è stato utilizzare Microsoft Defender for Endpoint in abbinamento con Defender for Identity per tracciare i movimenti dell’attaccante e interrompere i loro tentativi di rientrare nell’ambiente tramite account compromessi.
Per rafforzare ulteriormente la sicurezza delle identità, si può adottare un approccio di difesa a profondità (defense in depth), che prevede più livelli di protezione collaborativa. Questo può includere autenticazione multifattore, regole di accesso condizionale, politiche di protezione di dispositivi mobili e punti finali, oltre a nuovi strumenti come Microsoft Copilot for Security. Una stratificazione delle misure di sicurezza di base può prevenire molti attacchi o, almeno, renderli più difficili da eseguire.
Un altro strato di protezione per le identità utente è rappresentato dai cosiddetti honeytokens, ovvero account esca il cui scopo è attirare gli attaccanti, distogliendo la loro attenzione da obiettivi reali. Questi possono fornire ai team di sicurezza l’opportunità di rilevare, deviare o studiare gli attacchi alle identità in corso. L’implementazione degli honeytokens è considerata una prassi esemplare.
La risposta agli incidenti di Microsoft è indispensabile per i clienti che cercano esperti dedicati per affrontare ogni tipologia di incidente legato alla sicurezza informatica. Con l’assistenza su sito e remota su scala globale, l’accesso senza precedenti all’ingegneria dei prodotti e la vastità dell’intelligence sulle minacce di Microsoft, il servizio copre sia interventi proattivi che reattivi. La chiave è la collaborazione: Microsoft Incident Response lavora insieme agli strumenti e ai team disponibili per contrastare gli attacchi basati sull’identità, assicurando così risultati migliori per i clienti.