Come la telemetria del Darknet supporta l’implementazione di Continuous Zero Trust

La maggior parte dei professionisti della sicurezza ha già una comprensione generale dei concetti di Zero Trust, e molte organizzazioni hanno già compiuto passi significativi per implementare pratiche di base di Zero Trust. Spesso, questi primi passi includono l’implementazione di sistemi standard di Identity Access Management (IAM) e l’avvio dell’implementazione di segmentazioni di rete e microsegmentazioni. Tali implementazioni forniscono i primi elementi fondamentali per un programma complessivo robusto.

Purtroppo, le organizzazioni spesso compiono questi primi passi e poi perdono di vista l’obiettivo prima di raggiungere il livello di un’implementazione continua di Zero Trust. Le implementazioni che testano solo la validità degli utenti e dei dispositivi quando accedono inizialmente alla rete, infatti, lasciano le loro organizzazioni aperte a rischi significativi mentre le minacce evolvono e cambiano.

Per raggiungere un’implementazione sufficiente di Zero Trust, è fondamentale valutare continuamente ogni utente e dispositivo, prendendo in considerazione l’intera portata delle informazioni sull’identità, sul dispositivo e sull’accesso che i criminali hanno a disposizione.

In questo articolo, affronteremo:
– Perché hai bisogno di Continuous Zero Trust
– Come definire profili di identità digitale espansi nel tuo modello di Zero Trust
– Proteggere applicazioni e reti dal dirottamento di sessione
– Continuous Zero Trust con telemetria del darknet aiuta a soddisfare i requisiti di conformità

Perché hai bisogno di Continuous Zero Trust

Da SpyCloud, siamo convinti sostenitori del Continuous Zero Trust perché la natura del paesaggio delle minacce moderne lo rende necessario: i criminali informatici lavorano costantemente per infiltrarsi o aggirare le nostre barriere di sicurezza, e dobbiamo adattare i nostri controlli di conseguenza mentre gli avversari modificano le loro tattiche di attacco (TTPs). Per fare ciò in modo efficace, è necessario monitorare e risolvere continuamente le esposizioni dell’identità dei dipendenti che possono aggirare i tuoi sistemi di autenticazione, come MFA e SSO.

Per proteggere adeguatamente il tuo ambiente e aderire ai principi del Zero Trust, devi valutare costantemente se il rischio per uno qualsiasi dei tuoi utenti e dispositivi è aumentato. Ci sono molti input disponibili per supportare questa valutazione, tra cui dettagli come lo stato di un utente all’interno dell’azienda, il loro rispetto dei protocolli di igiene della sicurezza o addirittura la loro posizione geografica attuale. Detto questo, l’input più potente è rappresentato dai dati che i criminali hanno raccolto sui tuoi utenti e sistemi.

Se la tua implementazione di Zero Trust non tiene conto degli input, inclusa la telemetria del darknet, allora non hai fornito una protezione adeguata per la tua azienda.

Come definire profili di identità digitale espansi nel tuo modello di Zero Trust

La maggior parte delle aziende definisce le proprie identità mappando un utente all’interno del proprio sistema di gestione delle identità, come Active Directory. Sebbene ciò crei le basi per l’autenticazione e l’autorizzazione di un utente, può essere limitante se la tua definizione di identità non include una visione sufficientemente ampia della loro identità digitale.

Con l’aggiunta della telemetria sul crimine informatico di SpyCloud al motore delle policy del tuo Zero Trust, puoi ampliare l’identità digitale di ogni utente includendo attributi prelevati da violazioni di terze parti e infezioni da malware, le stesse fonti che gli attori minacciosi utilizzerebbero per mirare a un’identità digitale specifica.

Creare una policy dinamica che risponda a questo profilo di identità digitale espansa è fondamentale per applicare il giusto livello di autorizzazione a ciascuno dei tuoi utenti.

Proteggere applicazioni e reti dal dirottamento di sessione

Nella tua implementazione di Zero Trust, è importante riconoscere che gli attori minacciosi hanno aggiunto un nuovo vettore di attacco alle proprie capacità che consente loro di accedere alle tue applicazioni e reti: dirottare le sessioni autenticate.

Se un attore riesce ad accedere ai cookie di sessione attivi, può prendere il controllo delle sessioni degli utenti dopo che sono stati autenticati, aggirando completamente l’MFA e le implementazioni delle chiavi di accesso. Le implementazioni di Continuous Zero Trust devono anche considerare se il mondo criminale abbia ottenuto accesso ai cookie che potrebbero essere utilizzati per emulare un utente autenticato.

A conferma di ciò, SpyCloud ha recuperato più di 20 miliardi di record di cookie nel solo 2023, con una media di circa 2.000 per dispositivo infetto da malware. Ciò indica che gli attori malintenzionati vedono il valore nel sfruttare i cookie di sessione per il furto di account di nuova generazione, e ci aspettiamo che questo metodo aumenti.

Ecco alcuni esempi recenti del mondo reale di dirottamento di sessioni che sono iniziati con un cookie rubato attivo, dando agli attori malintenzionati accesso agli ambienti aziendali e aumentando i privilegi per lanciare attacchi su vasta scala:

1. Un dipendente di una grande azienda ha sincronizzato il suo profilo Chrome aziendale e personale. Quando l’identità del dipendente è stata compromessa, il cattivo attore è riuscito ad accedere all’account di assistenza clienti del dipendente, a trovare token di sessione per accessi amministrativi e a dirottare diverse sessioni clienti.

2. Un ladro di informazioni ha bypassato il software antivirus e ha rubato con successo un valido cookie di sessione 2FA SSO dal laptop di un dipendente. Un cattivo attore lo ha poi utilizzato per impersonare il dipendente, generare token di accesso alla produzione e rubare dati sensibili.

3. I criminali informatici hanno pagato solo dieci dollari per cookie rubati su Genesis per accedere alle istanze aziendali di Slack e poi hanno ingegnerizzato socialmente nuovi token MFA dall’IT per ottenere accesso alla rete interna dell’azienda.

Poiché gli avversari aggirano le misure di sicurezza tradizionali per impersonare o assumere un’identità valida all’interno della rete, questo conferma la necessità che i team di sicurezza abbiano evidenze definitive di compromissione su cui agire prima che i criminali possano sfruttare le stesse informazioni rubate per compiere attacchi.

Il Continuous Zero Trust aiuta a soddisfare i requisiti di conformità

La telemetria del darknet, fornita da SpyCloud in modo dettagliato e pertinente, fornisce input critici per l’implementazione del tuo Continous Zero Trust. Il tuo motore delle policy è efficace quanto i dati che riceve e con la crescente minaccia del dirottamento di sessioni, significa alimentarlo con informazioni avanzate sulle violazioni e sui malware per prevenire gli attacchi basati sull’identità.

SpyCloud potenzia i tuoi team di sicurezza e identità con un monitoraggio continuo dell’esposizione dell’identità in modo che possano individuare i rischi con le esposizioni conosciute, informare il tuo motore delle policy e bloccare l’accesso con una remediation automatizzata.

La lezione da ricordare

Ci sono molti elementi nel puzzle dello Zero Trust, quindi ricorda: lo Zero Trust è un percorso, non una destinazione finale. Ma aiuterai in modo significativo la tua organizzazione sfruttando la telemetria del darknet per garantire il successo del tuo programma. È una necessità in un mondo in cui i criminali informatici hanno un accesso sempre maggiore a vaste quantità di dati di autenticazione rubati.

Articolo originale

Scopri come funziona e visita la pagina del vendor sul nostro sito

PUBBLICATO DA:<br>Sara Guglielmi
PUBBLICATO DA:
Sara Guglielmi
Marketing

ARTICOLI CORRELATI