Identitatea a devenit noua graniță a rețelei. Trebuie protejată cu orice preț. Ce au în comun M&S și Co-op Group? Pe lângă faptul că se numără printre cei mai cunoscuți retaileri din Marea Britanie, au fost recent victime ale unui atac major de ransomware. Au fost, de asemenea, ținte ale unor atacuri de vishing, în urma cărora infractorii au obținut parole corporate, oferindu-le astfel un punct critic de acces în rețea.

Aceste breșe de compromitere a identității le-au costat pe cei doi retaileri peste 500 de milioane de lire sterline (667 de milioane de dolari SUA), ca să nu mai vorbim de daunele de reputație incalculabile și de impactul asupra clienților finali. Vestea proastă pentru organizațiile care operează în diverse domenii, inclusiv pentru furnizorii de infrastructură critică, este că reprezintă doar vârful aisbergului.

De ce contează identitatea

De ce a devenit identitatea un vector de atac atât de frecvent? Parțial din cauza modului în care lucrează companiile astăzi. A fost o vreme când toate resursele corporate erau situate în siguranță în spatele unui perimetru de rețea, iar echipele de securitate apărau acel perimetru printr-o strategie de tip „castel și șanț cu apă” (castle-and-moat). Însă, mediul IT de astăzi este mult mai distribuit. O proliferare de servere cloud, desktop-uri on-premises, laptop-uri pentru lucrul de acasă și dispozitive mobile înseamnă că certitudinile de odinioară s-au evaporat.

Identitatea a devenit noul perimetru al rețelei, ceea ce transformă datele de autentificare într-o resursă extrem de căutată. Potrivit Verizon, exploatarea credențialelor s-a regăsit în aproape un sfert (22%) dintre breșele de date din 2024. Din păcate, acestea sunt expuse riscului în mai multe moduri:
– Malware-ul de tip infostealer atinge proporții epidemice. Poate fi instalat pe dispozitivele victimelor prin phishing, aplicații malițioase, drive-by downloads, escrocherii pe rețelele sociale și multe altele. O estimare afirmă că 75% (2,1 miliarde) dintre cele 3,2 miliarde de credențiale sustrase anul trecut au fost colectate prin astfel de infostealere.
– Phishing-ul, smishing-ul și vishing-ul rămân o modalitate preferată de furt al datelor de autentificare, în special în atacurile mai bine țintite. Deseori, atacatorii cibernetici se documentează cu privire la persoana pe care o vizează pentru a-și îmbunătăți rata de succes. Se crede că M&S și Co-op au fost compromise prin atacuri de vishing direcționate către serviciile lor de asistență IT externalizate.
– Breșele care vizează bazele de date cu parole deținute de organizații sau de outsourcerii lor pot fi o altă sursă valoroasă de credențiale pentru atacatori. La fel ca în cazul malware-ului de tip infostealer, acestea ajung pe forumurile de criminalitate cibernetică pentru a fi vândute și utilizate ulterior.
– Atacurile de tip brute-force folosesc instrumente automatizate pentru a încerca volume mari de credențiale până când una funcționează. Credential stuffing folosește liste cu combinații de autentificare (utilizator/ parolă) compromise anterior, testându-le pe un număr mare de conturi. Password spraying aplică aceeași logică, dar cu o listă restrânsă de parole comune. Iar atacurile de tip dictionary folosesc parole frecvent utilizate, expresii și parole scurse în trecut, toate îndreptate împotriva unui singur cont.

Nu este dificil să găsim exemple de incidente de securitate catastrofale generate de atacuri bazate pe identitate. Dincolo de cazurile M&S și Co-op Group, există incidentul Colonial Pipeline, unde un atac probabil de tip brute-force le-a permis atacatorilor ransomware să compromită o singură parolă pe un VPN vechi, provocând penurii majore de carburant pe Coasta de Est a Statelor Unite. De asemenea, firma britanică de logistică KNP a fost forțată să intre în faliment după ce hackerii au ghicit pur și simplu parola unui angajat și au criptat sisteme critice.

Prezentare generală a amenințărilor la adresa identității

Riscurile generate de compromiterea identității sunt amplificate de câțiva alți factori. Principiul celui mai mic privilegiu este o practică esențială prin care persoanelor li se acordă strict privilegiile de acces necesare pentru a-și îndeplini rolul și nimic mai mult, adesea pentru o perioadă limitată de timp. Din păcate, nu este adesea aplicat corect, ceea ce duce la conturi supra-privilegiate.

Rezultatul este că atacatorii care folosesc credențiale compromise pot pătrunde mai adânc în cadrul organizației afectate, mișcându-se lateral și ajungând la sisteme sensibile. Ceea ce duce la o „rază de acțiune” mult mai mare în urma unei breșe și la daune potențial mai mari. Aceeași problemă poate, de asemenea, exacerba riscul pus de angajații interni rău intenționați sau chiar neglijenți.

Dispersia identităților este o altă provocare majoră. Dacă departamentul IT nu gestionează corespunzător conturile, datele de autentificare și privilegiile utilizatorilor și ale dispozitivelor, apar inevitabil puncte oarbe de securitate. Astfel, se mărește suprafața de atac pentru hackeri, atacurile de forță brută sunt mai de succes și conturile supra-privilegiate – mai frecvente. Apariția agenților AI și creșterea continuă a IoT vor spori considerabil numărul de identități de dispozitiv (machine identities) care trebuie gestionate centralizat.

În cele din urmă, trebuie luată în considerare amenințarea venită din partea partenerilor și a furnizorilor. Fie că este vorba de un MSP sau outsourceri cu acces la sistemele dvs. corporate, sau chiar la un furnizor de software. Cu cât sunt mai mari și mai complexe lanțurile dvs. de aprovizionare fizice și digitale, cu atât este mai mare riscul de compromitere a identității.

Cum să îmbunătățiți securitatea identității

O abordare organizată, pe mai multe niveluri, a securității identității poate ajuta la atenuarea riscului de compromitere gravă. Luați în considerare următoarele:
– Adoptați un principiu al celui mai mic privilegiu și revizuiți/ ajustați periodic aceste permisiuni. Va minimiza raza de acțiune a atacurilor.
– Aplicați principiul celui mai mic privilegiu cu o politică de parole puternice și unice pentru toți angajații, stocate într-un manager de parole.
– Îmbunătățiți securitatea parolelor cu autentificarea multi-factor (MFA), astfel încât, chiar dacă un hacker obține credențiale corporate, să nu poată accesa acel cont. Optați pentru aplicații de autentificare sau abordări bazate pe chei de acces, în detrimentul codurilor SMS, care pot fi ușor interceptate.
– Practicați o gestionare solidă a ciclului de viață al identității, unde conturile sunt furnizate și anulate automat în timpul integrării (onboarding) și al plecării (offboarding) angajaților. Scanările periodice ar trebui să identifice și să șteargă conturile inactive care sunt adesea deturnate de atacatorii cibernetici.
– Securizați conturile privilegiate cu o abordare de gestionare a conturilor privilegiate (PAM) care include rotirea automată a datelor de autentificare și acces just-in-time.
– Revizuiți instruirea în materie de securitate pentru toți angajații, de la CEO în jos, pentru a vă asigura că știu importanța securității identității și că pot identifica cele mai recente tactici de phishing. Exercițiile de simulare pot ajuta în acest sens.

Majoritatea recomandărilor de mai sus formează o abordare de tip Zero Trust a securității cibernetice: una bazată pe noțiunea de „nu te încrede niciodată, verifică întotdeauna”. Ceea ce înseamnă că fiecare tentativă de acces (umană și automată) este autentificată, autorizată și validată – indiferent dacă se află în interiorul sau în exteriorul rețelei. Iar sistemele și rețelele sunt monitorizate continuu în căutarea de activități suspecte. Aici, un instrument de detecție și răspuns gestionate (managed detection and response – MDR) poate adăuga o valoare extraordinară. O echipă de experți, disponibilă 24/7/365, monitorizează îndeaproape rețeaua dvs., semnalând rapid orice potențială intruziune, astfel încât să poată fi limitată și gestionată. Cea mai bună practică în materie de securitate a identității începe cu o mentalitate axată pe prevenție.