Sicurezza aziendale: le organizzazioni faticano a proteggere gli asset giusti

Mag 20, 2024 Approfondimenti, Minacce, RSS

La cybersecurity continua a essere un tema molto delicato per le organizzazioni di tutto il mondo. Le problematiche sono sfaccettate e coinvolgono un grande numero di fattori e spesso le aziende sbagliano ad assegnare le priorità ai problemi di sicurezza da risolvere.

L’ultimo report di XM Cyber, “Navigating the paths of risks”, ha approfondito lo stato della gestione delle problematiche di sicurezza, evidenziando un importante gap tra gli sforzi delle organizzazioni per proteggere i sistemi e le vere priorità da gestire.

Il fatto più interessante che emerge dal report è che i problemi legati alla gestione dell’identità e alle credenziali rappresentano la maggior parte dei problemi di sicurezza delle organizzazioni: Active Directory è responsabile dell’80% di esse; al contrario, le CVE rappresentano solo l’1% dei problemi di sicurezza.

La ricerca di XM Cyber evidenzia che le organizzazioni fanno un’enorme fatica a gestire le problematiche dei propri sistemi: i dati parlano di una media di 15.000 vulnerabilità di sicurezza che gli attaccanti possono sfruttare in una sola azienda al mese, con alcune realtà che ne hanno più di 100.000.

Se è vero che la maggior parte delle exposure di sicurezza (74%) non consentono agli attaccanti di spostarsi lateralmente, le altre vulnerabilità consentono ai malintenzionati di accedere alle risorse critiche dell’azienda e ottenere il controllo dell’intero ambiente. Per via delle conseguenze che possono portare, queste debolezze andrebbero gestite per prime, senza però dimenticare le altre.

Il problema delle aziende, si legge nel report, è che nella maggior parte dei casi considerano solo un metodo d’attacco, una vulnerabilità o un layer, quando invece gli attaccanti seguono una catena di attacco complessa che colpisce vulnerabilità, configurazioni errate e la carenza di una protezione olistica.

“Ci sentiamo in dovere di sottolineare che questo non significa che la maggioranza delle esposizioni non sia importante o non debba essere risolta. Sono problemi di sicurezza e consentono agli aggressori di persistere nell’ambiente” affermano i ricercatori. “Detto questo, la correzione deve iniziare da qualche parte. Suggeriamo di concentrarsi innanzitutto sulle esposizioni che contano di più, e cioè i choke point verso le risorse critiche“.

Sicurezza aziendale inefficace: il problema di classificare gli asset critici

Le organizzazioni dovrebbero proteggere tutte le loro risorse, ma per farlo in modo efficace devono sapere dove si trovano queste risorse e come sono esposte agli attacchi. Guardando agli asset esposti a qualsiasi tipo di tecnica di attacco, l’80% di essi risiede in Active Directory, mentre solo il 13% riguarda gli ambienti IT e i dispostivi di rete, e il 7% il cloud.

Ma se si considerano solo gli asset critici, quindi quelli che andrebbero gestiti per primi, il cloud domina la scena col 56% di risorse, seguito dall’Active Directory (33%) e dall’IT e i dispositivi (11%). Active Directory ha quindi la superficie di attacco più ampia, ma la percentuale più alta di problemi di sicurezza nelle risorse critiche si trova nel cloud; ciò complica la gestione della sicurezza aziendale, perché le organizzazioni si concentrano spesso sul cercare di ridurre la superficie di attacco e non sulle problematiche più pressanti.

Le criticità degli ambienti cloud

Il report evidenzia che la catena di attacco in cloud ha comunque sempre origine negli ambienti on-premise: dopo aver avuto accesso e sfruttato le credenziali di dominio, un attaccante si sposta negli ambienti cloud raccogliendo token d’accesso di Azure; in seguito, il malintenzionato è in grado di effettuare l’escalation dei privilegi e compromettere gli account di amministratore.

Durante l’analisi, i ricercatori di XM Cyber hanno scoperto che il 70% delle organizzazioni ha delle esposizioni di sicurezza che consentono agli attaccanti di accedere alla rete aziendale per spostarsi sugli ambienti cloud.

Le catene di attacco in cloud sono molto più pericolose rispetto a quelle dell’on-premise perché più brevi: dopo aver avuto accesso agli ambienti cloud, gli attaccanti possono compromettere l’88% degli asset critici dopo il primo “passo” e il 96% dopo tre step.

Il report ha rivelato che le tecniche di attacco differiscono tra ogni piattaforma cloud, ma in ogni caso la maggior parte di esse colpisce le credenziali utente e i privilegi. L’analisi sottolinea anche che, anche se ogni piattaforma ha delle impostazioni specifiche per la gestione dell’identità, delle credenziali e dei diritti di accesso, tutte soffrono di problemi di configurazioni errate.

Active Directory: la superficie d’attacco più ampia

Se è vero che il cloud ha la maggior parte delle risorse critiche, le aziende non dovrebbero ignorare le problematiche di Active Directory che compongono la più ampia superficie d’attacco dell’organizzazione.

La maggior parte dei problemi di sicurezza di Active Directory deriva da problemi di configurazione dinamici difficili da individuare; ciò crea un punto cieco per i team e i tool di security. Esempi sono il reset delle password utente o l’aggiunta di nuovi membri ai team che complicano notevolmente la gestione della sicurezza aziendale.

“Molti attacchi di alto profilo sfruttano le credenziali; ciò significa che gli attaccanti lavorano molto per comprometterle” si legge nel report. Tecniche come la raccolta, il dumping o il relay di credenziali sono le più diffuse, ed esistono molti tool, tra i quali il noto Mimikatz, per facilitare l’esecuzione di queste tecniche.

A facilitare gli attacchi legati alle credenziali sono anche pratiche di sicurezza inefficaci: l’analisi riporta che nel 79% delle organizzazioni, le credenziali di profili con privilegi elevati erano cachate su più macchine. 

I ricercatori di XM Cyber sottolineano l’importanza di dare priorità ai problemi con impatto maggiore, cioè quelli che permettono agli attaccanti di spostarsi lateralmente nella rete. “L’integrazione della sicurezza del cloud e la definizione di standard coerenti di cyber-igiene sono passi fondamentali per la salvaguardia delle infrastrutture e dei sistemi critici”.

• Active Directory, Cloud, cybersecurity, gestione credenziali, sicurezza aziendale, superficie d'attacco, vulnerabilità