Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La possibilità di rilevare, rispondere e correggere rapidamente le minacce alla sicurezza è fondamentale nel panorama delle minacce in continua evoluzione. Come uno dei pilastri dell'iniziativa Secure Future, l'accelerazione della risposta e della correzione incoraggia le organizzazioni a ridurre al minimo il tempo tra il rilevamento delle minacce e il contenimento.
Questo pilastro sottolinea le risposte automatizzate e basate sui rischi che riducono l'intervento manuale e aiutano a impedire l'escalation degli eventi imprevisti di sicurezza. I controlli di valutazione microsoft Entra Zero Trust seguenti assicurano che l'organizzazione disponga dei controlli necessari per identificare e mitigare rapidamente gli scenari ad alto rischio, proteggendo sia le identità utente che le identità dei carichi di lavoro tramite criteri di sicurezza proattivi.
Raccomandazioni sulla sicurezza Zero Trust
Le identità del carico di lavoro sono configurate con criteri basati sul rischio
Configurare criteri di accesso condizionale basati sul rischio per le identità del carico di lavoro in base ai criteri di rischio nell'ID Microsoft Entra per assicurarsi che solo i carichi di lavoro attendibili e verificati usino risorse sensibili. Senza questi criteri, gli attori delle minacce possono compromettere le identità del carico di lavoro con il rilevamento minimo ed eseguire ulteriori attacchi. Senza controlli condizionali per rilevare attività anomale e altri rischi, non esiste alcun controllo sulle operazioni dannose, ad esempio la falsificazione dei token, l'accesso alle risorse sensibili e l'interruzione dei carichi di lavoro. La mancanza di meccanismi di contenimento automatizzati aumenta il tempo di attesa e influisce sulla riservatezza, l'integrità e la disponibilità dei servizi critici.
Azione di correzione Creare criteri di accesso condizionale basati sul rischio per le identità del carico di lavoro.
Limitare gli accessi ad alto rischio
Quando gli accessi ad alto rischio non sono limitati correttamente tramite i criteri di accesso condizionale, le organizzazioni si espongono alle vulnerabilità di sicurezza. Gli attori delle minacce possono sfruttare queste lacune per l'accesso iniziale tramite credenziali compromesse, attacchi di stuffing delle credenziali o modelli di accesso anomali identificati da Microsoft Entra ID Protection come comportamenti rischiosi. Senza restrizioni appropriate, gli attori delle minacce che eseguono correttamente l'autenticazione durante scenari ad alto rischio possono eseguire l'escalation dei privilegi usando erroneamente la sessione autenticata per accedere alle risorse sensibili, modificare le configurazioni di sicurezza o condurre attività di ricognizione all'interno dell'ambiente. Quando gli attori delle minacce stabiliscono l'accesso tramite accessi ad alto rischio non controllati, possono ottenere la persistenza creando account aggiuntivi, installando backdoor o modificando i criteri di autenticazione per mantenere l'accesso a lungo termine alle risorse dell'organizzazione. L'accesso senza restrizioni consente agli attori delle minacce di eseguire lo spostamento laterale tra sistemi e applicazioni usando la sessione autenticata, accedendo potenzialmente a archivi dati sensibili, interfacce amministrative o applicazioni aziendali critiche. Infine, gli attori delle minacce ottengono un impatto attraverso l'esfiltrazione dei dati o compromettere i sistemi business critical mantenendo al tempo stesso plausibile la negazione sfruttando il fatto che l'autenticazione rischiosa non sia stata richiesta o bloccata correttamente.
Azione di correzione
Limitare l'accesso agli utenti ad alto rischio
Si supponga che gli utenti ad alto rischio siano compromessi dagli attori delle minacce. Senza analisi e correzione, gli attori delle minacce possono eseguire script, distribuire applicazioni dannose o modificare le chiamate API per stabilire la persistenza, in base alle autorizzazioni dell'utente potenzialmente compromesse. Gli attori delle minacce possono quindi sfruttare configurazioni errate o abusare di token OAuth per spostarsi successivamente tra carichi di lavoro come documenti, applicazioni SaaS o risorse di Azure. Gli attori delle minacce possono ottenere l'accesso a file sensibili, record dei clienti o codice proprietario ed esfiltrarlo in repository esterni mantenendo al contempo mascheramento tramite servizi cloud legittimi. Infine, gli attori delle minacce potrebbero interrompere le operazioni modificando configurazioni, crittografando i dati per riscatto o usando le informazioni rubate per ulteriori attacchi, causando conseguenze finanziarie, reputazione e normative.
Le organizzazioni che usano le password possono basarsi sulla reimpostazione della password per correggere automaticamente gli utenti rischiosi.
Le organizzazioni che usano credenziali senza password mitigano già la maggior parte degli eventi di rischio che si accumulano ai livelli di rischio utente, pertanto il volume degli utenti rischiosi dovrebbe essere notevolmente inferiore. Gli utenti a rischio in un'organizzazione che usano credenziali senza password devono essere bloccati dall'accesso fino a quando il rischio utente non viene esaminato e corretto.
Azione di correzione
- Distribuire un criterio di accesso condizionale per richiedere una modifica sicura della password per un rischio utente elevato.
- Usare Microsoft Entra ID Protection per analizzare ulteriormente i rischi.