Mimecast Logo
Richiedi un preventivo
    Approfondimenti sulla Cyber Resilience
    Tutti gli argomenti
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Insider Risk Management Data Protection

    Gli account compromessi sono oggetto di armi - Fermare subito la compromissione delle credenziali

    by Christian Wimpelmann

    Key Points

    • Il rafforzamento dei metodi di autenticazione e l'educazione degli utenti sono fondamentali per combattere la compromissione delle credenziali in un panorama digitale sempre più complesso.
    • Il rilevamento precoce attraverso la visibilità degli endpoint e le linee di base comportamentali, unito a risposte rapide e informate, riduce in modo significativo le ricadute degli account compromessi. 

    Compromissione delle credenziali: cosa occorre sapere

    Gli account utente compromessi sono sempre stati il rischio di cybersecurity più significativo - e più semplice - in azienda. Le credenziali rubate sono state il vettore scelto per oltre il 40% degli attacchi nel 2022, secondo il 2022 Data Breach Investigations Report di Verizon. Le credenziali dell'utente comprendono anche il 63% dei dati rubati, dimostrando chiaramente che la sua organizzazione non è l'unica a comprenderne il valore.

    Dopo tutto, il modo più semplice per "entrare" in un sistema o accedere a dati o beni preziosi è avere la "chiave" fornita da credenziali utente legittime. Ma ecco la parte più allarmante: L'incidenza delle credenziali compromesse e degli account utente compromessi è in aumento.

    Come le credenziali vengono compromesse

    Il furto di credenziali non inizia sempre con exploit avanzati: la maggior parte degli attacchi con credenziali compromesse inizia con semplici errori, scarsa igiene digitale o password riutilizzate. Gli aggressori sanno che è più facile entrare con credenziali valide che fare irruzione.

    I percorsi comuni includono:

    • Phishing e ingegneria sociale: Il metodo più diffuso per rubare le credenziali di accesso, spesso camuffate da richieste legittime di ripristino della password o inviti alla collaborazione.
    • Attacchi di forza bruta e dizionario: Gli strumenti automatici indovinano le password compromesse deboli o riutilizzate fino a ottenere l'accesso.
    • Infostealer e keylogger: I malware raccolgono silenziosamente le password memorizzate o i dati di riempimento automatico dai browser e dai gestori di password.
    • Abuso di OAuth e token: Gli aggressori inducono gli utenti a concedere permessi di accesso eccessivi alle applicazioni dannose.
    • Rivendita nel Dark Web: I dump massicci di credenziali di precedenti violazioni alimentano nuove ondate di abuso di credenziali in diversi servizi.

    Ognuno di questi punti di ingresso mira all'anello più debole - la fiducia umana - e lo sfrutta per infiltrarsi nei sistemi senza suscitare allarmi immediati.

    Comprendere la compromissione delle credenziali in un mondo post-pandemico 

    Secondo Microsoft, gli attacchi mirati alle password e alle credenziali degli utenti sono aumentati del 74% nel 2022, al ritmo di 921 attacchi al secondo. Un incredibile 75% degli attacchi ransomware operati dall'uomo sono stati eseguiti con account utente compromessi che avevano un accesso elevato. In effetti, le credenziali compromesse sono oggi la fonte più comune di cyberattacco che le organizzazioni devono affrontare.

    Cosa c'è dietro l'aumento degli account compromessi? I dipendenti sono stati la causa del 22% delle fughe di dati, di cui il 36% è stato causato da dipendenti scontenti.  E come ha notato Verizon, uno dei tipi di dati più popolari per i criminali informatici sono le credenziali. La maggior parte delle organizzazioni si sta adattando all'idea di una forza lavoro ibrida e ha adottato politiche BYOD, app basate sul cloud per la produttività e la condivisione e altro ancora. Nell'era post-pandemica, tutto questo si aggiunge a un paesaggio digitale molto più ampio - o threatscape. Più account e più credenziali utente. Più attività in remoto e fuori rete.  Il tutto culmina in un aumento del rischio di violazione, perché la sicurezza dell'identità non riesce a tenere il passo abbastanza rapidamente. Prendiamo ad esempio questa statistica: solo il 40% delle aziende non dispone di MFA o dispone di un MFA debole, lasciando molti dispositivi e account non protetti.

    Rischi e conseguenze delle credenziali compromesse

    Quando le credenziali di accesso cadono nelle mani sbagliate, il danno va oltre la perdita di dati. Il vero costo risiede nell'impatto operativo e reputazionale di una violazione riuscita.

    • Esposizione dei dati: Gli account compromessi consentono agli aggressori di accedere direttamente alle informazioni sensibili, dai dati dei clienti e la proprietà intellettuale alle comunicazioni interne.
    • Interruzione dell'attività: Gli aggressori possono sfruttare le credenziali compromesse per distribuire ransomware o manipolare le transazioni finanziarie.
    • Sanzioni normative: L'accesso non autorizzato ai dati spesso viola le leggi sulla privacy, con conseguenti multe e violazioni della conformità.
    • Account Takeover (ATO): Gli attori delle minacce utilizzano credenziali valide per impersonare i dirigenti, resettare l'MFA o avviare campagne di phishing interne.
    • Punti ciechi nelle operazioni di sicurezza: Poiché queste azioni sembrano "legittime", spesso aggirano le difese perimetrali tradizionali e le soglie di allarme.

    In breve, le credenziali compromesse non solo aprono una porta, ma creano un percorso di fiducia per gli aggressori, che possono operare in modo invisibile.

    Tipi di furto di credenziali

    Esistono innumerevoli varietà di attacchi, schemi e complotti per raccogliere le credenziali compromesse. Ma la maggior parte può essere suddivisa in tre categorie:

    • Attacchi di forza bruta: Un attacco di forza bruta comporta il controllo sistematico o l'indovinare la password di un account mirato. L'attaccante in genere utilizza algoritmi sofisticati per testare tutte le combinazioni possibili, fino a trovare quella corretta. 51% dei criminali informatici impiegano questo semplice metodo nel loro arsenale, grazie alla sua convenienza ed efficacia nel crackare la debole sicurezza del cloud.
    • Credential Stuffing: Grazie all'aumento delle violazioni dei dati negli ultimi anni, oggi ci sono immensi trofei di credenziali compromesse disponibili per l'acquisto sul dark web, spesso a pochi centesimi l'una. In un attacco di credential stuffing, un cybercriminale acquista credenziali compromesse - e poi "infila" queste credenziali nelle pagine di login di sistemi, reti e app, finché non incappa in un account utente compromesso. Si tratta anche del cosiddetto riciclaggio delle credenziali, in quanto utilizza essenzialmente le credenziali compromesse rubate in un attacco precedente (in genere di forza bruta). Cybersecurity Insiders riporta che il 34% delle organizzazioni ha subito attacchi di credential stuffing.
    • Ingegneria sociale (phishing): Ancora più comune dell'indovinare le password o dell'acquistare credenziali compromesse è l'utilizzo di schemi creativi di ingegneria sociale come il phishing per rubare le credenziali. IBM riferisce che il phishing è stato il metodo principale di acquisizione delle credenziali in oltre il 41% delle organizzazioni - con il 62% di questi attacchi che hanno utilizzato lo spear phishing. E a riprova di ciò, la frequenza degli attacchi di phishing è cresciuta del 50% verso la fine del 2022, con IBM che ha evidenziato che gli attacchi riusciti hanno esposto le credenziali degli utenti e sono costati in media 4,91 milioni di dollari di danni.

    Come può prevenire la compromissione delle credenziali?

    1. Passare a un'autorizzazione senza password e "resistente al phishing".

    Il modo più efficace per ridurre il rischio di furto di password è smettere di usare le password come meccanismo di autenticazione principale!  Diversi fornitori di Identity-as-a-service (IDaaS) stanno offrendo meccanismi di autenticazione senza password che consentono agli utenti di accedere senza problemi ai sistemi con le loro impronte digitali o il riconoscimento del volto. Non solo si tratta di una forma di autenticazione più sicura, ma riduce anche l'attrito, in quanto è un modo più semplice di accedere per i suoi utenti finali!

    2. Implementare una politica di password forte

    Se l'assenza di password non è un'opzione per la sua organizzazione, un altro modo efficace per mitigare il rischio di credenziali compromesse è semplicemente quello di rendere le credenziali stesse più difficili da compromettere. Ciò significa sviluppare e applicare una politica di password forti che richiede a tutti gli utenti di seguire le best practice stabilite per la creazione - e la modifica regolare - di password forti, oltre a garantire che le password non vengano riutilizzate tra i dispositivi, le app o altri account.

    3. Formare i suoi utenti

    Le credenziali e gli account utente compromessi rientrano nell'ambito del rischio insider, e il rischio insider è un problema di persone. Uno dei modi più efficaci per risolvere i problemi delle persone è parlare con le persone. Tuttavia, un terzo dei lavoratori afferma che le loro organizzazioni non hanno fornito alcuna formazione aggiuntiva in materia di cybersecurity da quando la pandemia ha cambiato radicalmente dove, quando e come lavorano. Fornire un'educazione regolare sulle migliori pratiche per la gestione delle password e su cose come riconoscere ed evitare gli schemi di phishing può essere molto utile.

    4. Utilizzi un gestore di password

    Uno dei modi più semplici per aiutare i suoi utenti a mantenere password forti è utilizzare un password manager. Questi strumenti sono onnipresenti e sempre più economici e facili da usare. Ma le due cose da ricordare sono: 1) assicurarsi che il gestore di password stesso sia sicuro e ben protetto contro gli hacker e 2) assicurarsi che gli utenti sfruttino la funzione di generazione automatica, disponibile in quasi tutti i gestori di password di oggi, che genera password (e le ricorda) con una complessità e una casualità molto più profonde di quanto potrebbe mai fare un essere umano.

    5. Utilizzi l'autenticazione a più fattori (MFA).

    L'MFA può facilmente bloccare un aggressore in un attimo. Possono avere credenziali compromesse, ma quasi certamente non avranno accesso alla forma secondaria (o terziaria) di verifica dell'identità (come un codice di accesso unico inviato al dispositivo mobile dell'utente legittimo).  E le organizzazioni stanno iniziando a trattare l'MFA come una necessità, non come un lusso - Yubico riferisce che oltre il 24% delle aziende sta implementando attivamente l'MFA resistente al phishing di nuova generazione, in linea con le direttive federali, mentre un altro 32% lo sta considerando.

    6. Focus sugli account privilegiati

    L'obiettivo finale degli attacchi con credenziali compromesse è quello di ottenere l'accesso a dati o beni preziosi, quindi non sorprende che i dipendenti di alto livello e altri con accesso privilegiato siano i bersagli principali. La soluzione è duplice: Primo, concentrarsi sull'auditing dei privilegi di accesso. Il rapporto di Verizon ha riscontrato che oltre l'80% dei dipendenti abusa del proprio livello di accesso: un caso abbastanza forte per invocare il principio del minimo privilegio. In secondo luogo, intensifichi i protocolli di gestione degli accessi per i suoi account privilegiati (ora controllati). Microsoft sottolinea che nell'88% degli attacchi ransomware, l'MFA non è stato implementato per gli account sensibili e ad alto privilegio, mentre il report di Yubico rileva che solo gli amministratori IT, i loro team e le terze parti erano sufficientemente coperti dall'MFA.

    Come identificare la compromissione delle credenziali prima del danno all'account

    Come altre forme di minaccia e rischio insider, le credenziali compromesse derivano in ultima analisi da problemi legati al fattore umano: scarsa igiene delle password, caduta negli schemi di phishing, ecc. Il lato positivo è che piccole modifiche possono avere un impatto significativo sui rischi legati al fattore umano; il lato negativo è che gli esseri umani saranno sempre imperfetti (e i criminali informatici sono incredibilmente efficienti nello sfruttare gli errori degli utenti), quindi gli account utente compromessi non possono essere del tutto prevenuti. Quindi, se da un lato vale la pena investire tempo e budget nella prevenzione, dall'altro è fondamentale investire anche in strategie per rilevare le anomalie e le anomalie che segnalano account compromessi - e indagare e rispondere in modo rapido ed efficace.

    Assicurarsi di avere la visibilità degli endpoint - remoti, nel cloud, sulla rete e fuori dalla rete

    I primi segnali di fumo di credenziali compromesse arrivano spesso sui dispositivi endpoint degli utenti. Quindi, i team di sicurezza devono avere una visibilità degli endpoint, che si estenda alle attività sia in rete che fuori rete, dato che i modelli di lavoro remoto e flessibile significano che gli utenti lavorano sempre più spesso fuori dalla VPN. Se non l'ha ancora fatto, automatizzare la gestione dell'inventario degli endpoint è il primo passo per ottenere questa visibilità. Dovrebbe anche avere visibilità sulle attività sul web e nel cloud, dato che la posta elettronica ospitata sul web e nel cloud è ormai la norma in molte organizzazioni.

    Stabilire una linea di base per la "normalità" - in modo da ottenere un chiaro segnale di rischio reale.

    Se è possibile vedere tutte le attività degli utenti e dei file, anche sugli endpoint, sul web e nel cloud, è molto più facile rispondere alla domanda: "Che aspetto ha la normalità?". Questa linea di base la aiuta a sintonizzare il rumore dell'attività quotidiana - tutti i movimenti di file e di dati che definiscono la cultura della collaborazione moderna - e a riconoscere in modo più rapido e accurato quando i comportamenti degli utenti non rientrano nella norma. In breve, quando inizia a vedere che gli utenti accedono, spostano, rinominano o condividono i file in modi o tempi che non corrispondono allo schema, ha un segnale di rischio ad alta fedeltà che sa che richiede un'immediata verifica.

    Accelerare le indagini e la risposta - Ridurre i danni

    La stessa profonda visibilità contestuale su tutte le attività degli utenti e dei file è un potente carburante per accelerare le indagini e la risposta agli account utente potenzialmente compromessi. I team di sicurezza possono rapidamente scavare nelle informazioni contestuali relative al movimento di file e dati per identificare quali account utente sono stati colpiti, a quali sistemi o asset si è avuto accesso e quali dati o file sono stati interessati, fino a vedere quando e dove si sono spostati questi dati preziosi. L'indagine approfondita porta a una risposta rapida e adeguata, sia che si tratti di bloccare gli account o i dispositivi, sia che si tratti di intraprendere un'azione legale proattiva per proteggere l'azienda, sia che si tratti di segnalare l'incidente alle autorità per una risposta. Inoltre, la visibilità immediata, profonda e contestuale riduce il tempo che intercorre tra il "rilevamento delle credenziali compromesse" e la "neutralizzazione della minaccia", aiutando a mitigare e minimizzare i danni di un account utente compromesso con successo.

    Per saperne di più su come Mimecast Incydr può aiutarla a rilevare le credenziali compromesse e a proteggere dalla perdita di dati causata da account utente compromessi.

    Related Articles

    Insider Risk Management Data Protection
    Il recupero da ransomware fatto bene: Una guida in 6 passi
    Insider Risk Management Data Protection
    5 modi per rafforzare la cultura della cybersecurity
    Insider Risk Management Data Protection
    Le 4 figure umane di rischio che sabotano la sua cybersecurity

    Si abboni a Cyber Resilience Insights per altri articoli come questi.

    Riceva tutte le ultime notizie e le analisi del settore della cybersecurity direttamente nella sua casella di posta elettronica.

    Iscriviti con successo

    Grazie per essersi iscritto per ricevere gli aggiornamenti del nostro blog

    Ci terremo in contatto!

    Back to Top