Gli attacchi basati sull’identità sono in crescita. In uno studio condotto dall’Identity Defined Security Alliance (IDSA), è emerso che il 90% delle imprese con oltre 1.000 dipendenti ha riscontrato nell’ultimo anno almeno un incidente di sicurezza legato alle identità digitali. Una cifra allarmante, se si pensa che il numero di credenziali rubate e messe in vendita sul dark web ha superato i 24 miliardi nello stesso periodo, secondo lo stesso report.
In questo contesto, i dipendenti si trovano spesso a fronteggiare rischi legati alla cybersecurity senza ricevere supporto adeguato dai dirigenti, i quali dovrebbero essere i primi a essere consapevoli di quanto una falla nella sicurezza può incidere sull’azienda. Come riporta IDSA, è sorprendente notare che solo il 49% delle aziende afferma che i dirigenti comprendono i rischi associati alla cattiva gestione delle identità, ma solo il 29% si mobilita e fornisce sostegno solamente dopo che un incidente si è verificato, evidenziando un approccio più reattivo che preventivo.
Oggi, tra password deboli e dati sensibili sempre più presenti sul cloud, i criminali informatici hanno dunque maggiori opportunità di rubare le identità degli utenti aziendali e utilizzarle per esfiltrare informazioni. Non è un caso che la compromissione delle credenziali utente sia diventata il punto di ingresso più popolare tra gli attaccanti e anche il più efficace per violare i sistemi aziendali.
Nel mirino ci sono soprattutto i cosiddetti VIP user, ovvero figure non necessariamente apicali all’interno dell’organizzazione, ma dotate di autorizzazioni particolari in considerazione del proprio ruolo. Nonostante di solito i VIP user possiedano ampio accesso alle risorse critiche, può trattarsi anche di key person che non godono di significativi privilegi, ma che sono particolarmente note all’interno dell’organizzazione. In questo caso, la loro identità viene utilizzata per attività di spear-phishing, con mail iperrealistiche capaci di ingannare anche i colleghi più accorti.
Monitoraggio dark web: perché i dati dei VIP user sono appetibili
I VIP user sono un obiettivo estremamente attraente per i criminali informatici. Una volta spacciatisi per loro, gli attaccanti possono muoversi all’interno dei sistemi aziendali, richiedere informazioni sensibili ai dipendenti e dare loro istruzioni, proprio come se fossero dirigenti di alto livello. Con le informazioni confidenziali di cui entrano in possesso, possono poi agire indisturbati per rallentare l’operatività aziendale fino a ricattare l’organizzazione.
La via d’accesso non è rappresentata solo dalle mail. La possibilità di impersonare gli utenti VIP si è spostata dai messaggi di posta elettronica alle piattaforme di collaborazione e ai social media, fino ad arrivare ai nuovi strumenti di intelligenza artificiale generativa (GenAI) e ai deepfake, utilizzati ad esempio negli attacchi di livello più alto per simulare video-chiamate di CEO e altre personalità di spicco e trarre così in inganno gli utenti.
Prima ancora di arrivare a tecniche così sofisticate, agli attaccanti spesso basta scandagliare il dark web. Secondo l’Osservatorio Cyber del Crif, sul dark web a livello internazionale circolano ormai più di 7,5 miliardi di dati, non solo frutto di furti e frodi informatiche, ma anche tratti da archivi già disponibili sul web. Domini aziendali, e-mail, indirizzi IP, cookies: tutto ciò che è condiviso online può finire sul dark web, con conseguenti danni economici, competitivi e reputazionali.
Come ridurre i rischi con threat detection e monitoraggio del dark web
Anche le credenziali di accesso sottratte agli utenti privilegiati vengono facilmente diffuse sul dark web e messe così a disposizione di chiunque voglia violare la rete aziendale. Per impedirlo occorre dotarsi di sistemi di rilevamento e risposta collegati alla superficie d’attacco, in grado di identificare e tenere sotto controllo tutte le potenziali porte d’accesso ai sistemi aziendali: identità, comportamenti sospetti, vulnerabilità, configurazioni errate, Shadow IT.
È utile poi monitorare anche ciò che accade al di fuori dell’organizzazione: oltre un monitoraggio del dark web continuo, alla ricerca di dati inavvertitamente esposti dagli utenti, trafugati o frutto di violazioni, un’attenta e costante attività di threat detection può aiutare l’azienda a identificare il proprio livello di esposizione al rischio informatico e a individuare per tempo le possibili minacce che possono comprometterne la sicurezza.
Difatti, le moderne soluzioni di threat detection utilizzano fonti diversificate, esterne e interne, per rendere più efficace l’attività di ricerca e sono in grado di individuare in tempo reale segnali precoci di accesso e movimenti laterali, scalando anche le dimensioni di infrastrutture complesse. Grazie al monitoraggio costante della rete, soprattutto nella sua dimensione dark, possono intercettare gli attacchi in una fase anticipata e intuire le intenzioni dei criminali prima che si trasformino in data breach.
Fonti consultate:
- Identity Defined Security Alliance
- Osservatorio Cyber, CRIF
