.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
L’autenticazione a più fattori (MFA) resta un pilastro della cybersecurity, ma gli attaccanti hanno imparato a trovare modi per aggirarla.
Con il continuo aumento degli attacchi basati sull’identità, le organizzazioni devono andare oltre l’MFA per costruire una reale resilienza. Gli esperti Sophos e le più recenti ricerche Gartner concordano: è arrivato il momento di adottare una strategia di sicurezza identity-first, supportata da capacità di rilevamento e risposta continui. Per molte organizzazioni, tenere il passo con le minacce legate all’identità può sembrare travolgente, soprattutto con l’espansione degli ambienti ibridi. Ma esiste un percorso chiaro da seguire.
L’identità è ora la principale superficie di attacco
Chris Yule, Director of Threat Intelligence della Sophos X-Ops Counter Threat Unit, sottolinea che oltre il 60% degli incidenti analizzati dal suo team deriva da vulnerabilità legate all’identità. Phishing, credenziali rubate e social engineering rappresentano i principali punti di ingresso — tecniche che consentono agli attaccanti di infiltrarsi senza utilizzare malware tradizionali.
“La minaccia numero uno che oggi affrontano i nostri clienti continua a essere il ransomware, sia per numero di incidenti sia per l’impatto che può avere quando colpisce”, ha spiegato Yule durante un recente webinar. “I casi classici di ransomware mostrano costantemente che la compromissione dell’identità è il primo passaggio critico.”
Con l’espansione delle organizzazioni in ambienti ibridi e cloud, ogni nuova integrazione — dalle applicazioni software-as-a-service (SaaS) agli account di servizio — diventa un nuovo potenziale punto di accesso. Come osserva Yule, spesso si verificano attacchi informatici in cui è presente “una quantità minima di codice malevolo”. Piuttosto, gli aggressori sfruttano principalmente “privilegi e relazioni di fiducia per ottenere accesso all’ambiente e causare il maggior danno possibile proprio facendo leva su quella fiducia”.
Perché l’MFA da sola non è sufficiente
L’MFA è fondamentale, ma non basta. Gli attaccanti si sono evoluti e le minacce basate sull’identità riescono ormai ad aggirare anche i meccanismi di autenticazione più robusti. Le organizzazioni hanno bisogno di capacità continue di rilevamento e risposta per restare un passo avanti. In numerosi casi di Business Email Compromise (BEC), gli attaccanti hanno aggirato l’MFA utilizzando kit di phishing adversary-in-the-middle (AiTM).
Un attacco AiTM va oltre il phishing tradizionale. Invece di limitarsi a rubare le credenziali, l’attaccante intercetta e inoltra in tempo reale la sessione di accesso della vittima. Quando un utente clicca su un link di phishing e inserisce le proprie credenziali su un sito falso, l’attaccante inoltra queste informazioni al servizio legittimo e cattura l’intero flusso di autenticazione, incluse le risposte MFA, riuscendo così a dirottare la sessione.
Questa realtà è in linea con quanto evidenziato da Gartner nel report “CISOs Must Integrate IAM to Strengthen Cybersecurity Strategy”, che sottolinea come la compromissione delle credenziali resti la principale causa delle violazioni e che “gli attaccanti più sofisticati stanno ora prendendo di mira direttamente l’infrastruttura di Identity and Access Management (IAM)”.
Gartner avverte inoltre che, sebbene la prevenzione sia essenziale, “non esiste una prevenzione infallibile”. I team di sicurezza devono essere pronti a rilevare e rispondere quando le difese basate sull’identità vengono superate.
Sicurezza identity-first: la prossima evoluzione
Secondo Gartner, i leader della cybersecurity dovrebbero “abbracciare l’Identity Threat Detection and Response (ITDR) e adottare un approccio di sicurezza identity-first per abilitare il modello zero trust e ottimizzare la postura di sicurezza dell’organizzazione”.
La sicurezza identity-first ridefinisce la protezione partendo da chi e cosa si connette, piuttosto che dal luogo da cui avviene la connessione. Invece di controlli perimetrali statici, si concentra sulla valutazione continua della fiducia e sull’accesso adattivo. In pratica, questo significa:
- Monitorare continuamente lo stato dell’identità, non limitarsi ai controlli in fase di login.
- Rilevare e rispondere a comportamenti anomali come l’escalation dei privilegi o i movimenti laterali.
- Ridurre la superficie di attacco intervenendo su configurazioni errate e account con privilegi eccessivi.
Rilevamento per il livello dell’identità
Yule ha sottolineato che Sophos ha sviluppato il servizio Identity Threat Detection and Response (ITDR) proprio per colmare questa lacuna.
“Storicamente, la gestione delle identità e degli accessi e le security operations sono sempre state ambiti separati”, ha spiegato Yule. “Con ITDR abbiamo cercato di intervenire proprio nel punto di sovrapposizione tra questi due mondi.”
Attraverso una valutazione continua della postura di sicurezza delle identità, Sophos ITDR monitora:
- Credenziali rubate o esposte nel dark web.
- Account con permessi eccessivi o anomali.
- Configurazioni errate delle applicazioni che consentono abusi di privilegio.
Questo approccio proattivo integra Sophos Managed Detection and Response (MDR) ed Extended Detection and Response (XDR), garantendo alle organizzazioni la capacità di rilevare le minacce in tempo reale e, allo stesso tempo, ridurre il rischio di sfruttamento delle identità prima che gli attacchi abbiano inizio.
L’identità è diventata il pilastro della cybersecurity moderna e costruire resilienza significa trattarla come una disciplina centrale. Insieme, ITDR, MDR e XDR creano un tessuto di sicurezza continuo, adattivo e resiliente.
“Man mano che aumentiamo la fiducia in elementi diversi, tutto diventa più complesso, più opaco, e diventa più difficile individuare queste micro-vulnerabilità che potrebbero essere sfruttate da qualcuno abbastanza intelligente da scoprirle”, ha aggiunto Yule.
Le organizzazioni che adottano strategie di sicurezza identity-first acquisiscono l’agilità necessaria per individuare e neutralizzare le minacce prima che possano degenerare.
Scopri come Sophos Identity Threat Detection and Response (ITDR) aiuta le organizzazioni a prevenire e neutralizzare le minacce basate sull’identità prima che si trasformino in violazioni.