Microsoft Entra ID Protection aiuta le organizzazioni a rilevare, indagare e correggere i rischi legati alle identità. Utilizza l'apprendimento automatico avanzato per identificare i rischi di accesso e comportamenti utente anomali, al fine di bloccare, sfidare, limitare o consentire l'accesso. Il suo focus primario è identificare comportamenti sospetti che potrebbero indicare identità compromesse o tentativi di accesso non autorizzato. Fornendo report dettagliati, le funzionalità di Identity Protection di Entra ID possono aiutare le organizzazioni ad affrontare in modo proattivo le problematiche di sicurezza prima che si aggravino. In questo articolo, andremo ad esaminare più da vicino le funzionalità di protezione offerte da Microsoft Entra ID.
La propria identità digitale è il pass VIP per le risorse più preziose dell’organizzazione per cui si lavora, la chiave che sblocca la cassaforte dove risiedono tutti i dati che desideriamo proteggere.
Tuttavia, proprio come le casseforti attirano orde di scassinatori pronte a forzarle, l’identità digitale propria e dei propri dipendenti e manager è un bersaglio per chi ha intenzioni malevole.
Se non si utilizzano le protezioni più aggiornate, compromettere le proprie credenziali diventa un gioco da ragazzi; un cybercriminale potrebbe facilmente propagarsi lateralmente e violare diversi account all'interno della tua organizzazione e le credenziali trapelate sul dark web sono un business in forte crescita.
Gli accessi email amministrativi possono essere venduti per cifre che vanno dai 500 dollari a ben 140.000 dollari e gli accessi a programmi antivirus o persino ad account apparentemente meno importanti, come quelli dei social media, possono essere acquistati per appena 10 dollari.
Quindi, non cadiamo nella trappola di proteggere solo le identità con privilegi di alto livello.
È necessario mettere in sicurezza tutte le identità in modo rigoroso e, per fortuna, Microsoft è al nostro fianco in questa battaglia con Entra ID ed Entra ID Protection, una soluzione intelligente per mantenerci sempre un passo avanti nel complicato panorama della cybersicurezza.
Entra ID Protection, precedentemente noto come Azure AD Identity Protection, è uno strumento che utilizza il machine learning avanzato e l'intelligenza connessa per automatizzare la mitigazione dei rischi e identificare le minacce basate sull'identità, permettendo di bloccare, sfidare, limitare o consentire l'accesso.
Entra non si limita a prevenire la compromissione delle identità identificando le minacce e applicando policy di accesso adattive basate sul rischio.
Oltre a questo, offre un piano di controllo centralizzato per esaminare segnali e report dettagliati, mentre i rischi riconosciuti si integrano perfettamente con strumenti come Conditional Access, garantendo decisioni di accesso ben informate.
Inoltre, questi rischi possono essere inviati a un sistema di Security Information and Event Management (SIEM), consentendo al proprio team di sicurezza operativa di condurre indagini approfondite e rispondere in modo efficace.
Seppure alcune funzionalità base di rilevamento rischi siano già disponibili con una licenza P1, per integrare la gamma completa di feature di Entra ID Protection nella propria organizzazione si avrà bisogno di Microsoft Entra ID P2, Entra ID Suite o Microsoft 365 E5. È inoltre disponibile come parte della licenza Enterprise Mobility + Security E5.
Ma come funziona nel dettaglio? Vediamo qui sotto quali sono alcune delle funzionalità principali di Entra ID Protection.
In un approccio di sicurezza Zero Trust, dove l'identità è un elemento fondamentale, la sicurezza delle autenticazioni può essere in parte misurata sulla base dei cosiddetti "segnali." Analizzare questi segnali consente di attribuire un livello di “rischio” a un particolare utente durante l'autenticazione ai servizi Microsoft 365.
In Entra ID, un segnale è definito come una proprietà o una condizione particolare associata a un utente e a un'autenticazione.
Ecco alcuni esempi:
Questi sono tutti esempi di segnali, e come si può notare, Entra ID è in grado di rilevarne molti.
ID Protection utilizza informazioni provenienti dalle attività di accesso dei singoli utenti. Elaborando questi dati, apprende i modelli tipici, inclusi i percorsi seguiti e le politiche associate, per determinare la probabilità che una specifica richiesta di autenticazione non sia dell'identità autorizzata ma di un attaccante che si spaccia per l'utente legittimo.
Il rischio può essere rilevato a livello di utente e di accesso.
Inoltre, sono disponibili due metodi o modalità di rilevamento e calcolo:
Contrariamente a quanto si potrebbe pensare inizialmente, i termini rischio utente e rischio di accesso non sono intercambiabili.
Vediamo le differenze:
Il fatto che siano due tipologie non intercambiabili di rischio non deve però trarre in inganno, in quanto possono facilmente alimentarsi a vicenda e rischi di accesso elevati potrebbero contribuire ad aumentare il rischio utente complessivo e viceversa.
Ad esempio, se un amministratore IT con privilegi elevati mostra segnali di rischio come accessi da IP anonimi e cambiamenti sospetti delle impostazioni di sicurezza, Entra ID Protection potrebbe segnalarlo come utente ad alto rischio.
Attraverso gli hash delle password, Entra ID Protection può determinare se le credenziali di un dipendente sono state divulgate su internet o vendute sul dark web.
Un hash di una password è una rappresentazione crittografica della password e, confrontando gli hash, il sistema può identificare i casi in cui una password è stata compromessa o divulgata. (Questi calcoli vengono effettuati offline).
Inoltre, se un dipendente tenta di cambiare la propria password con una che Microsoft sa essere già stata divulgata, il sistema non consentirà l'utilizzo di quella password.
Questo strumento offre agli amministratori IT una visibilità approfondita sugli utenti e la possibilità di creare flussi di lavoro automatizzati in caso di eventi di rischio. In questo modo, si riduce il carico di lavoro per il personale IT e si minimizzano le opportunità per gli hacker di compromettere la rete aziendale.
Questo tipo di rilevamento del rischio avviene in tempo reale, analizzando la cronologia degli accessi passati per identificare accessi insoliti. Bastano solo 5 giorni affinché l'algoritmo raccolga abbastanza informazioni sui modelli di accesso dell'utente.
Il sistema memorizza le informazioni sui login precedenti e genera un avviso di rischio quando un accesso presenta caratteristiche insolite per l'utente, come un indirizzo IP, una posizione, un dispositivo o un browser diversi.
Questo tipo di rilevamento del rischio monitora la tua casella di posta elettronica alla ricerca di attività sospette. Analizza eventuali modifiche insolite alle regole email che controllano la gestione dei messaggi. Se qualcuno altera queste regole in modo anomalo, il sistema lo segnala come un potenziale rischio.
Ad esempio, se vengono create regole sospette, come eliminare o spostare messaggi o cartelle nella casella di posta di un utente, il sistema genera un avviso offline. Questo ti consente di individuare chiunque stia tentando di compromettere il tuo account, inviare spam o malware all'interno della tua organizzazione o nascondere messaggi.
Questo meccanismo di rilevamento offline si basa sul presupposto che se l'indirizzo IP della tua identità ha una storia di contatti con un bot riconosciuto online, venga trattato come potenzialmente infetto da malware.
Ad esempio, nel contesto del Bring Your Own Device (BYOD) o dei lavoratori e appaltatori remoti, se si connettono remotamente alla rete aziendale e l'indirizzo IP del dispositivo è stato segnato per un'associazione passata con un bot conosciuto, ciò solleva preoccupazioni. Questo scenario potrebbe indicare che il dispositivo, e di conseguenza l'identità dell'utente, potrebbe ospitare inconsapevolmente del malware.
Abbiamo creato il team Infra&Security, verticale sul cloud Azure, per rispondere alle esigenze dei clienti che ci coinvolgono nelle decisioni tecniche e strategiche. Oltre a configurare e gestire il loro tenant, ci occupiamo di:
Con Dev4Side, hai un partner affidabile in grado di supportarti sull'intero ecosistema applicativo di Microsoft.
Recentemente, Microsoft ha annunciato alcuni importanti aggiornamenti per il suo servizio Entra ID Protection. Le nuove funzionalità offrono agli amministratori un'implementazione semplificata delle politiche di rischio, un'analisi dell'impatto completa e meccanismi di difesa robusti contro minacce di sicurezza sofisticate.
Microsoft ha annunciato i suoi piani per abilitare per impostazione predefinita le politiche di Accesso Condizionale di Entra ID per alcuni tenant di Microsoft 365. L'azienda sta implementando gradualmente queste politiche gestite da Microsoft, con l'obiettivo di incoraggiare le organizzazioni a passare all'autenticazione multifattore.
Il nuovo dashboard di Entra ID fornisce metriche chiave, grafici e azioni consigliate per aiutare gli amministratori a comprendere la postura di sicurezza della loro organizzazione.
Gli amministratori IT possono ora fare clic semplicemente sull'opzione “attacchi conteggi” all'interno del grafico Attacchi per accedere al report delle Rilevazioni di Rischio per un'analisi più approfondita. Questo report include una nuova colonna “Tipo di attacco” che dettaglia i principali tipi di attacco.
Microsoft ha anche rilasciato una nuova funzionalità che consente agli amministratori di abilitare il reset della password on-premises per reimpostare il rischio dell'utente nelle impostazioni di Identity Protection.
Microsoft ha appena rilasciato un nuovo workbook di analisi del rischio di Identity Protection per aiutare gli amministratori a comprendere le implicazioni di questi cambiamenti sui loro ambienti.
Questo workbook consente agli amministratori IT di analizzare l'impatto dell'attivazione delle politiche di Accesso Condizionale basate sul rischio, che potrebbero potenzialmente bloccare gli accessi degli utenti, obbligare l'autenticazione multifattore o facilitare cambiamenti sicuri delle password.
Per accedere al nuovo workbook, gli utenti dovranno accedere al Microsoft Entra admin center come minimo come Lettore di Report. Navigare su Identità > Monitoraggio e salute > Workbooks, quindi scegliere l'opzione “Workbook di analisi dell'impatto delle politiche di accesso basate sul rischio” disponibile sotto Identity Protection.
Infine, l’ultima novità di rilievo è sicuramente quella dell’integrazione di Entra ID con Security Copilot, il nuovo assistente AI di Microsoft specificatamente dedicato alla cybersecurity.
Attraverso la combinazione dei due, gli admin Entra ID potranno finalmente accedere al potenziale delle funzionalità di intelligenza artificiale per semplificare il loro lavoro attraverso analisi automatizzate dei pattern di rischio e avranno anche modo di far generare all’AI report dettagliati e omnicomprensivi sugli incidenti.
Ma non solo. Infatti, con Security Copilot, gli admin Entra ID potranno anche ottenere e fornire suggerimenti automatici per la remediation sfruttando l’esteso database di conoscenze dell’assistente AI, addestrato sulla vasta knowledge base di sicurezza informatica della casa di Redmond.
Microsoft Defender for Identity e Entra ID Protection sono entrambe soluzioni di protezione dell'identità offerte da Microsoft, ma si concentrano su aspetti e funzionalità diverse.
Entrambi, Microsoft Defender for Identity e Entra ID Identity Protection, lavorano per proteggere gli account di dominio basati su Microsoft.
Tuttavia, ci sono differenze architettoniche significative tra i due servizi, che richiedono configurazioni di distribuzione nell'ambiente di dominio Microsoft e licenze. Inoltre, le capacità supportate dai prodotti e le integrazioni disponibili sono anche differenti.
Defender for Identity è più flessibile per le distribuzioni on-premise e analizza una varietà più ampia di informazioni, inclusa la possibilità di monitorare il traffico di rete. Defender for Identity supporta il rilevamento di attacchi on-premise in implementazioni ibride di AD Federated Services (ADFS).
Defender for Identity supporta anche l'integrazione nell'ambiente più ampio di Microsoft XDR, inclusa l'integrazione con Microsoft 365 Defender e Cloud App Security.
Entra ID Identity Protection, d'altra parte, opera esclusivamente nel cloud di Azure e combatte le minacce contro le istanze di Entra ID.
Il design del prodotto Identity Protection mostra una stretta integrazione con il resto dell'ambiente Entra ID e con i servizi cloud di Azure, lavorando per applicare le politiche e automatizzare il rilevamento e la successiva rimediatura dei rischi legati all'identità.
In questa tabella riassuntiva, vediamo quali sono le principali differenze.
Come si può vedere Entra ID Identity Protection e Microsoft Defender for Identity sono progettati per proteggere le identità, ma in contesti diversi (cloud e on-premises), ma questo non significa che siano mutualmente esclusivi.
Quando si prende una decisione strategica sulle proprie politiche di gestione del rischio, è importante considerare la superficie complessiva di attacco di un'organizzazione e le possibilità di gestirla.
Applicare mitigazioni pratiche e appropriate o controlli preventivi è spesso più importante ed efficace che limitarsi ad analizzare o acquisire più dati. Entrambe queste soluzioni ti aiuteranno a mitigare le minacce legate all'identità, ma in modi diversi.
Pertanto, è importante comprendere i rispettivi risultati di sicurezza che puoi aspettarti di ottenere utilizzando Defender for Identity, Azure AD Identity Protection o entrambi.
Le capacità di calcolo offline di Entra ID Protection e la sua integrazione con l'intelligence delle minacce di Microsoft lo rendono uno strumento potente per gli amministratori, che possono facilmente verificare il rischio utente basato sulle capacità di rilevamento collegate all'utente.
La natura integrata di Identity Protection con il resto della suite Entra ID offre una capacità di risposta migliorata e immediata che non è presente in Defender for Identity.
Al contrario, anche se Entra ID Identity Protection è in grado di generare avvisi sui problemi legati all'identità in un ambiente hybrid, non avrà la capacità di proteggere o generare avvisi su gravi attacchi on-premise che rappresentano un rischio serio per molte organizzazioni.
Le capacità senza pari di Defender for Identity nell'esporre i tentativi degli attaccanti di dominare un dominio o di muoversi lateralmente all'interno di una rete sono alcuni dei modi più potenti in cui un'organizzazione può limitare l'impatto potenziale di uno scenario di violazione grave.
La protezione delle identità digitali non è da prendere come un elemento di secondaria importanza, al contrario ogni organizzazione che tenga alla sua reputazione quanto al suo tempo e alle sue finanze dovrebbe cominciare immediatamente ad implementare le migliori policy e i migliori strumenti per fare in modo che i propri ID digitali siano già al sicuro oggi.
E tra gli strumenti che possono aiutare a migliorare sensibilmente la propria postura di sicurezza ci sono i tool della suite Entra ID e le sue funzionalità di Identity Protection, che nel panorama digitale contemporaneo si sono affermati come lo scudo che le aziende cercavano per difendere le identità digitali degli impiegati dai numerosi agenti malevoli che affollano la rete oggigiorno.
Se il vostro obbiettivo è quindi quello di avere le migliori difese per il proprio business, non possiamo che invitarvi ad approfondire attraverso la documentazione ufficiale Microsoft e toccare con mano le funzionalità di Entra ID Protection e aggiungere uno strato di protezione che può fare seriamente la differenza tra un’infrastruttura digitale sicura e una violazione dei dati.
Entra ID Protection è una soluzione Microsoft che aiuta le organizzazioni a rilevare, indagare e correggere i rischi legati alle identità digitali. Utilizza l'apprendimento automatico avanzato per identificare accessi rischiosi e comportamenti anomali degli utenti, consentendo di applicare misure di protezione come il blocco, la limitazione o la richiesta di autenticazione aggiuntiva. L'obiettivo è prevenire la compromissione degli account aziendali e rafforzare la sicurezza dell'ambiente digitale.
Entra ID Protection offre un'analisi avanzata dei rischi basata su segnali come l'indirizzo IP, la geolocalizzazione, il dispositivo utilizzato e il tipo di client d'accesso. Monitora il comportamento degli utenti per rilevare anomalie, identifica credenziali compromesse, analizza le proprietà di sign-in per individuare accessi insoliti e segnala attività sospette nelle caselle di posta elettronica. Inoltre, integra queste funzionalità con strumenti come Conditional Access per automatizzare la mitigazione delle minacce.
Il sistema rileva due principali categorie di rischio: il rischio utente e il rischio di accesso. Il rischio utente analizza il comportamento generale di un account, individuando attività sospette che potrebbero indicare una compromissione, come accessi da località insolite. Il rischio di accesso valuta invece ogni singola richiesta di autenticazione, segnalando tentativi anomali come login ripetuti con password errate o accessi da indirizzi IP noti per essere associati a malware.
Alcune funzionalità di base di Entra ID Protection sono disponibili con la licenza Microsoft Entra ID P1. Tuttavia, per accedere a tutte le funzionalità avanzate, come l'integrazione completa con il machine learning e l'analisi dei rischi più dettagliata, è necessario disporre di Microsoft Entra ID P2, Entra ID Suite o Microsoft 365 E5. Il servizio è incluso anche nella licenza Enterprise Mobility + Security E5.
Entra ID Protection è progettato per operare esclusivamente nel cloud e proteggere le istanze di Entra ID. Non è pensato per monitorare ambienti Active Directory on-premises. Per la protezione di ambienti locali, Microsoft offre Defender for Identity, che analizza il traffico di rete e il comportamento degli utenti all'interno di infrastrutture on-premises, rilevando movimenti laterali e tentativi di escalation di privilegi.
Entra ID Protection si concentra sulla protezione delle identità nel cloud, monitorando i tentativi di accesso e applicando policy di sicurezza per prevenire la compromissione degli account. Defender for Identity, invece, è pensato per la sicurezza degli ambienti on-premises e ibridi, analizzando il traffico di rete e le attività nei controller di dominio per rilevare attacchi sofisticati come pass-the-hash o golden ticket. Mentre Entra ID Protection integra le sue analisi con Conditional Access per prendere decisioni in tempo reale sugli accessi, Defender for Identity si integra con SIEM e XDR per fornire un monitoraggio più ampio della sicurezza aziendale.
Entra ID Protection utilizza hash delle password per confrontarle con database di credenziali trapelate sul dark web. Se viene rilevata una corrispondenza, segnala l'account come compromesso e può attivare automaticamente misure di protezione, come il reset obbligatorio della password. Inoltre, impedisce agli utenti di impostare password note per essere già state divulgate, riducendo il rischio di attacchi basati su credenziali rubate.
L'integrazione tra Entra ID Protection e Security Copilot permette agli amministratori di sfruttare l'intelligenza artificiale per automatizzare l'analisi dei pattern di rischio e generare report dettagliati sugli incidenti. Security Copilot fornisce suggerimenti automatici per la remediation delle minacce, basandosi sulla vasta knowledge base di Microsoft in materia di sicurezza. Grazie a questa integrazione, gli amministratori possono prendere decisioni più rapide ed efficaci nella gestione dei rischi legati all'identità.
Il team Infra & Security è verticale sulla gestione ed evoluzione dei tenant Microsoft Azure dei nostri clienti. Oltre a configurare e gestire il tenant, si occupa della creazione dei deployment applicativi tramite le pipelines di DevOps, monitora e gestisce tutti gli aspetti di sicurezza del tenant, supportando i Security Operations Centers (SOC).
