Il team di Azure, l'infrastruttura Cloud di Microsoft, ha rilasciato un nuovo aggiornamento per la funzionalità di Active Directory Identity Protection. Tale update va a migliorare il tasso di rilevazione delle attività sospette, andando quindi a rendere più semplice l'identificazione di account compromessi all'interno di una rete aziendale.
L'azienda di Redmond dichiara di aver elevato l'accuratezza dell'algoritmo di Active Directory Identity Protection del 100% e di aver ridotto i falsi positivi del 30%.
Azure Active Directory Identity Protection consente alle aziende che sfruttano il servizio Cloud di Microsoft di configurare risposte automatiche in base alle azioni sospette eseguite da un utente e rilevate all'interno della propria rete.
La maggior parte delle violazioni della sicurezza si verificano quando degli utenti malintenzionati ottengono l'accesso al sistema aziendale tramite il furto delle credenziali.
Tali credenziali di login, anche se appartenenti ad utenti con privilegi limitati, permettono ad un cracker di ottenere l'accesso a risorse aziendali importanti.
Gli account compromessi si spostano nella rete aziendale sfruttando le strategia del Lateral Movement, ovvero delle tecniche usate per muoversi all'interno di un sistema, alla ricerca di una risorsa target, senza essere notati.
Per proteggere gli utenti da questa tipologia di attacchi Active Directory Identity Protection analizza costantemente la rete aziendale alla ricerca di un determinato "evento trigger", come ad esempio un comportamento anomalo di un utente, che possa corrispondere ad un tentativo di manomissione o ad un furto di dati.
Dunque di base Active Directory Identity Protection si occupa di:
- rilevare le vulnerabilità e gli account sospetti;
- analisi dei rischi.
Active Directory Identity Protection si basa su un sistema di risk score. Se il comportamento di un utente supera un certo punteggio negativo scattano le contromisure e viene avvisato l'utente amministratore.
Il risk score si basa su diversi fattori. Ad esempio viene preso in considerazione il device usato per il login, l'IP, la posizione geografica dalla quale si è effettuato l'accesso o il browser utilizzato.