Che cos'è un attacco basato sulle credenziali?
Il furto di credenziali, la prima fase di un attacco basato sulle credenziali, è il processo di furto delle credenziali. Gli aggressori utilizzano comunemente il phishing per il furto di credenziali, in quanto si tratta di una tattica abbastanza economica ed estremamente efficiente. L'efficacia del phishing delle credenziali si basa sull'interazione umana nel tentativo di ingannare i dipendenti, a differenza del malware e degli exploit, che si basano sulle debolezze delle difese di sicurezza.
Il furto di credenziali aziendali è di solito uno sforzo mirato. Gli aggressori setacciano i siti di social media come LinkedIn, alla ricerca di utenti specifici le cui credenziali garantiranno l'accesso a dati e informazioni critiche. Le e-mail e i siti web di phishing utilizzati per il furto di credenziali aziendali sono molto più sofisticati di quelli utilizzati per il furto di credenziali dei consumatori. Gli aggressori si impegnano molto per far sembrare queste e-mail e questi siti web quasi identici alle applicazioni e alle comunicazioni aziendali legittime.
È in questa fase di attacchi basati sulle credenziali che la formazione sulla consapevolezza della sicurezza svolge un ruolo di prima linea di difesa. Purtroppo, non c'è garanzia che i dipendenti identifichino un tentativo di phishing il 100% delle volte. Per ridurre al minimo il furto di credenziali, le credenziali aziendali devono essere limitate alle applicazioni approvate e l'utilizzo deve essere bloccato da applicazioni e siti improbabili o sconosciuti. I prodotti di sicurezza devono essere in grado di bloccare le credenziali aziendali per evitare che lascino la rete dell'organizzazione e che vengano inviate a siti dannosi.
Che cos'è l'abuso di credenziali?
L'abuso di credenziali, il fine ultimo di un attacco basato sulle credenziali, è l'uso effettivo di password compromesse per autenticare applicazioni e rubare dati.
Una volta che un aggressore entra in possesso delle credenziali utente e delle password, può venderle nel mondo del crimine informatico o usarle per compromettere la rete di un'organizzazione, aggirando tutte le misure di sicurezza di rete che impediscono all'avversario di uscire, di muoversi lateralmente all'interno della rete e di rubare i dati.
In un ambiente non segmentato, un aggressore può muoversi liberamente nella rete di un'organizzazione. Se l'ambiente è segregato e fornisce visibilità agli utenti e alle applicazioni, si possono adottare misure di sicurezza per evitare che un aggressore si sposti lateralmente e acceda a dati critici.
Una volta che un aggressore possiede le credenziali per operare come un utente valido, si può fare ben poco per identificare un intruso e convalidare se quell'utente è davvero la persona che le sue credenziali dichiarano di essere. Le organizzazioni comunemente implementano l'autenticazione a più fattori all'interno delle applicazioni per richiedere agli utenti di convalidare la propria identità più di una volta. Tuttavia, fare questo per ogni singola applicazione utilizzata all'interno dell'organizzazione non è scalabile. L'implementazione dell'autenticazione multi-fattore basata su criteri a livello di rete, ossia nel firewall, fornirà la scala necessaria e la facilità d'uso per l'utente finale.
Palo Alto Networks Next-Generation Security Platform blocca il ciclo di vita degli attacchi basati sulle credenziali in più punti, dal furto delle credenziali all'abuso delle credenziali rubate. Le capacità di prevenzione combinate del Firewall di nuova generazione, della Threat Prevention, di WildFire e dell'URL Filtering bloccano gli attacchi noti e sconosciuti utilizzati per il furto e l'abuso di credenziali, mentre GlobalProtect estende le protezioni dalla piattaforma alla forza lavoro mobile e fornisce misure aggiuntive per identificare gli utenti e i dispositivi che accedono alle applicazioni.
