Approfondimenti sulla conformità: come bloccare il movimento laterale e ottimizzare il processo di autorizzazione

Non sorprende che gli enti di controllo si aspettino chiaramente di limitare le possibilità per i criminali con requisiti come:

• GDPR (Regolamento generale sulla protezione dei dati): Articolo 32 - Introdurre misure tecniche e organizzative appropriate al fine di garantire un livello di sicurezza adeguato al rischio, tramite controlli come la segmentazione della rete

• PCI DSS (Payment Card Industry Data Security Standard) v4.0: Requisito 1 - Implementare i firewall per proteggere i dati dei titolari di carte di credito e assicurarsi che i firewall siano configurati in modo da restringere le connessioni tra reti affidabili e non affidabili

• ISO/IEC (International Organization for Standardization/International Electrotechnical Commission) 27001 - Separate le informazioni e le strutture di elaborazione dei dati per proteggere la riservatezza, l'integrità e la disponibilità delle informazioni

La superficie di attacco di oggi non è solo più ampia, ma anche più profonda e comprende una serie di livelli  complessi che sono gli effetti collaterali dell'urgenza di innovarsi avvertita dalle aziende. Questo scenario include più ambienti cloud, container che compaiono rapidamente, migliaia di API che portano ai dati e applicazioni basate sull'AI che accedono ed esfiltrano informazioni sensibili. 

Tutti questi livelli comportano vulnerabilità che offrono ai criminali maggiori opportunità per navigare liberamente in una rete violate e ottenere l'accesso non autorizzato ai dati sensibili e alla proprietà intellettuale. Senza configurazioni appropriate né l'applicazione dei principi del privilegio minimo, queste risorse diventano vulnerabili per il furto di credenziali e l'escalation dei privilegi.

La vostra organizzazione deve riuscire ad identificare e risolvere eventuali falle che possono portare al movimento laterale, a violazioni di dati e a costose sanzioni. Pratiche di sicurezza come la ricerca delle minacce e l'analisi dei comportamenti possono rilevare comportamenti insoliti degli utenti e potenziali attacchi, oltre a consentire alle aziende di tenersi al passo con le avanzate minacce persistenti.

In un blog precedente all'interno della nostra serie sulla conformità, abbiamo sostenuto l'importanza di applicare un approccio alla sicurezza multilivello al processo di assemblaggio dei controlli e degli strumenti necessari per soddisfare gli obblighi normativi. 

Ad esempio, se la vostra azienda deve sottostare ad obblighi che richiedono una valutazione dei rischi, in base al vostro approccio alla sicurezza multilivello dovete chiedervi: Quali funzionalità possono aggiungere per dimostrare che, se un livello riscontra problemi, potrà intervenire un altro livello? 

In questo post, andremo ad esplorare i livelli che consentono di identificare, contenere e prevenire gli attacchi basati sul movimento laterale, migliorando, al contempo, i controlli di autenticazione e autorizzazione.

In media, un patrimonio IT ha fatto più che espandersi di numero: ha aggiunto nuovi elementi, piani e connessioni virtuali ai patrimoni IT di altre organizzazioni. Inoltre, gli enti di controllo trovano difficoltà a tenersi al passo con i rischi correlati. 

Ad esempio, l'UE ha pubblicato un aggiornamento alla direttiva NIS2 (Network and Information Security) a gennaio 2023 per espandere il suo requisito NIS2 originale. Solo due anni dopo, i rapidi sviluppi dell'AI hanno condotto a cambiamenti sostanziali nel modo con cui le aziende conducono le loro attività e nel modo con cui i criminali attaccano le innovazioni basate sull'AI delle aziende. 

Le nuove minacce, come gli attacchi di prompt injection basati sui modelli LLM e l'esfiltrazione di dati dell'AI, mettono a rischio gli investimenti nell'AI, pari a 632 miliardi di dollari, che, secondo IDC verranno effettuati entro il 2028. I più recenti metodi di attacco potrebbero non essere inclusi nelle normative aggiornate, come la NIS2, il GDPR o il PCI-DSS v4.0. Tuttavia, una violazione rimane tale e gli enti di controllo imporranno alle aziende le sanzioni previste in caso di mancata conformità. 

È questo il caso della protezione delle API. Ogni volta che un cliente, un partner o un provider interagisce con un'azienda in modo digitale, c'è un'API "dietro le quinte" che facilita un rapido scambio dei dati. I criminali informatici che, in passato, organizzavano complessi percorsi di attacco ora sanno che possono semplificano le loro strategie prendendo di mira le API.

Ad esempio, i criminali possono sfruttare gli endpoint delle API che presentano la vulnerabilità BOLA (Broken Object Level Authorization) manipolando gli ID degli oggetti nelle richieste delle API. Questa vulnerabilità lascia spazio al movimento laterale nella rete, quindi i criminali riescono a bypassare il processo di autorizzazione, ad eseguire l'escalation dei privilegi e ad ottenere l'accesso ai dati dei clienti. 

La BOLA, di solito, viene causata da falle nella logica aziendale e molte di esse implicano errori di configurazione presenti nei controlli di autorizzazione. Gli errori di configurazione sono citati come la principale causa degli incidenti di sicurezza delle API dai professionisti della sicurezza delle applicazioni, su cui è stato condotto lo studio sull'impatto della sicurezza delle API nel 2024. 

Ecco alcune best practice utili per rafforzare il sistema di sicurezza delle API allo scopo di limitare il movimento laterale,  mitigare le attività dannose e rimediare agli attacchi in corso con un solido processo di autorizzazione.

• Stabilire chiare relazioni tra gli utenti e le risorse a cui, solitamente, accedono; ad esempio, impostando standard di riferimento per i comportamenti tramite gli algoritmi dell'apprendimento automatico in grado di rilevare eventuali modelli di accesso anomali

• Implementare funzionalità di protezione del runtime in grado di distinguere le attività delle API normali da quelle sospette

• Rispondere ai comportamenti sospetti integrando una soluzione per la sicurezza delle API nel vostro stack esistente; la soluzione deve individuare i comportamenti ad alto rischio e bloccare il traffico sospetto prima che possa accedere alle risorse critiche

Queste best practice per la sicurezza delle API sono utili per garantire la resilienza informativa e la conformità alle normative, sia per la protezione di aziende, agenzie governative o strutture sanitarie regolamentate dall'HIPAA.

Poiché i team addetti alla cybersecurity stabiliscono controlli per soddisfare le più recenti normative, può risultare frustrante rendersi conto che le falle nella sicurezza già problematiche possono condurre ad una mancata conformità. Ad esempio, il DORA (Digital Operational Resiliency Act), che è entrato in vigore a gennaio 2025, richiede esplicitamente di proteggere i servizi ICT (Information and Communications Technology) tramite solidi controlli di sicurezza della rete. Questo obbligo non riguarda solo le istituzioni finanziarie, ma anche terze parti che si basano sui sistemi e sui servizi ICT.

Abbiamo spiegato come il DORA richieda una migliore visibilità sui rischi. Ora esamineremo il legame che esiste tra la necessità di migliorare la visibilità sulla rete e quella di limitare la capacità di movimento dei criminali. 

Nello specifico, il DORA richiede l'adozione di un approccio basato sui rischi per stabilire una solida gestione della rete e dell'infrastruttura, incluse le funzionalità automatizzate che isolano le risorse interessante durante gli attacchi informatici. Il DORA richiede connessioni di rete in grado di fornire una segmentazione immediata per prevenire la diffusione delle minacce informatiche come gli attacchi ransomware. 

Sfortunatamente, molti team addetti alla sicurezza con cui parliamo non dispongono di una visibilità in tempo reale sulle comunicazioni di rete e non vedono segni di movimento laterale condotto da criminali che hanno violato i loro sistemi o che mirano a diffondere varie minacce, come i malware. Questa situazione risulta particolarmente difficili in un ambiente IT complesso che include componenti on-premise e nel cloud.

Molti team addetti alla cybersecurity hanno implementato controlli di segmentazione di base che dividono la rete in segmenti più piccoli e isolati, ciascuno dei quali opera in modo indipendente e l'accesso tra di essi è controllato. L'obiettivo: ridurre la superficie di attacco e limitare la diffusione delle minacce.

Consigliamo di adottare questo approccio insieme alla microsegmentazione definita dal software. 

La microsegmentazione consente ai team addetti alla cybersecurity di creare segmenti più piccoli e granulari all'interno della rete. Ogni microsegmento può avere propri controlli degli accessi e policy di sicurezza, come il privilegio minimo, per identificare, isolare e mitigare il traffico dannoso sulla rete. 

Ad esempio, con i giusti strumenti di microsegmentazione, i team addetti alla sicurezza possono creare policy tali da bloccare, segmentare e limitare il modo con cui le applicazioni interagiscono una con l'altro e con i sistemi. Isolare le risorse all'interno di chiari confini può aiutare le organizzazioni a:

• Mitigare le vulnerabilità che possono essere sfruttate da malware o applicazioni violate, il che rappresenta una delle principali minacce, come è stato identificato da varie normative, ad esempio il DORA 

• Ridurre le complessità nella creazione dei rapporti per conformarsi alla normative che richiedono regolari audit e la documentazione sulle misure di sicurezza adottate

Individuare gli strumenti di sicurezza in grado di fornire modelli basati sull'AI per la mitigazione degli attacchi ransomware e per altri comuni casi di utilizzo con precisi attributi dei carichi di lavoro come processi, utenti e nomi di dominio. Insieme con l'architettura Zero Trust, questi strumenti di sicurezza possono aiutarvi a garantire controlli di accessi e autorizzazione più solidi, indipendentemente dalle risorse o dagli account utente interessati.

Riteniamo che la conformità alle normative sulla sicurezza dei dati richieda un approccio non diverso da quello con cui le organizzazioni implementano strategie di sicurezza multilivello per proteggere ogni livello della superficie di attacco. 

In questa serie di blog, abbiamo esplorato i problemi di conformità più comuni e abbiamo descritto le best practice direttamente correlate a quanto richiedono oggi gli enti di controllo oltre le tattiche tradizionali, come gli strumenti di sicurezza della rete di tipo legacy. In conclusione, un'eccellente sicurezza può condurre a programmi di conformità più solidi. Consultate i post successivi per scoprire come proteggere le aziende nel rispetto delle normative.