Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Poiché gli utenti malintenzionati usano sempre più attacchi sofisticati, è fondamentale proteggersi dall'esfiltrazione dei dati grazie alla protezione avanzata dell'ambiente contro il furto di token e la riproduzione dei token. Sebbene sia una sfida, si possono adottare semplici accorgimenti per ridurre la superficie di attacco e aumentare il costo per gli attaccanti che tentano di rubare e riutilizzare con successo i token. Una strategia affidabile per proteggere i token richiede un approccio di difesa a più livelli, che deve includere:
- Distribuzione di credenziali resistenti al phishing
- Protezione avanzata dei dispositivi da attacchi basati su malware
- Uso dell'accesso condizionale basato su dispositivo e basato sul rischio
- Applicazione dei token associati al dispositivo, se possibile
- Implementazione di imposizione basate sulla rete
Questo documento riepiloga le nozioni di base relative ai token, il modo in cui vengono rubati i token e fornisce passaggi concreti che è possibile eseguire per ridurre il rischio di attacchi riusciti nell'ambiente in uso. A causa della complessità e della vasta gamma di token in Microsoft Entra, alcuni argomenti sono generalizzati per semplicità e potrebbero non coprire tutti i casi limite. Tuttavia, queste linee guida riguardano la maggior parte degli scenari per i client pubblici. Gli scenari client riservati non sono inclusi nell'ambito.
Gli attacchi basati su password comprendono ancora oltre 99% di attacchi rilevati da Microsoft e sono la causa principale della maggior parte delle identità compromesse. Le organizzazioni devono distribuire MFA resistenti al phishing come prima linea di difesa per le proprie identità. In questo modo forza gli avversari a regolare le loro tattiche, passando al successivo vettore di attacco logico, che è probabile furto di token. "Anche se il furto di token comporta un minor numero di compromissioni delle identità rispetto agli attacchi alle password, i rilevamenti indicano che gli eventi imprevisti sono cresciuti fino a un valore stimato di 39.000 al giorno. Inoltre, nell'ultimo anno abbiamo osservato un aumento del 146% degli attacchi di phishing AiTM, che si verificano quando gli attaccanti ingannano gli utenti nel fare clic su un collegamento e completare l'autenticazione a più fattori per conto dell'attaccante.". * Anche se la distribuzione di un MFA resistente al phishing deve essere una priorità assoluta, le organizzazioni devono anche iniziare a preparare una strategia di mitigazione del furto di token, poiché i vettori di attacco legati al furto di token continuano a crescere nel tempo. La protezione contro il furto di token diventa più importante quando gli attacchi basati su password diventano meno validi.
* Tratto da Microsoft Digital Defense Report 2024 (pagina 40)
Che cos'è un token?
I token sono oggetti digitali usati in vari processi di autenticazione e autorizzazione per concedere l'accesso alle risorse. Verificano l'identità di un utente o di un carico di lavoro e concedono l'accesso alle risorse senza richiedere la trasmissione di una password o credenziali per ogni transazione. I token incapsulano informazioni sull'identità dell'utente e sulle relative autorizzazioni in un formato sicuro, assicurando che le informazioni riservate rimangano protette durante il processo di autenticazione.
Negli ambienti digitali i token svolgono un ruolo fondamentale per migliorare la sicurezza abilitando meccanismi di autenticazione sicuri ed efficienti. Consentono di ridurre il rischio di furto di credenziali riducendo al minimo l'esposizione delle credenziali in rete. Tuttavia, hanno la caratteristica che, se il dispositivo o la rete è compromessa, possono essere esfiltrati da un utente malintenzionato. L'utente malintenzionato può quindi usare questi token per ottenere l'accesso alle risorse come utente connesso.
Riepilogo dei tipi di token
Esistono molti tipi di token, ma in genere rientrano in una delle due categorie seguenti:
- Sessioni di accesso: questi token mantengono lo stato di accesso di un utente, consentendo all'utente di accedere alle risorse senza la necessità di ripetere frequentemente l'autenticazione. Vengono passati al provider di identità per richiedere i token presenti nella categoria di sessione dell'app. Sono noti anche come token di aggiornamento nello standard OAuth 2.0.
- Sessioni dell'app : questi token autorizzano l'accesso a applicazioni specifiche. Sono di breve durata e si svolgono tra il client e l'applicazione. Sono noti anche come token di accesso nello standard OAuth 2.0.
I token possono variare anche a seconda dell'applicazione client. Le applicazioni Web a cui si accede tramite browser talvolta usano diversi tipi di token rispetto alle app native, ad esempio Outlook e Teams.
Come procedura consigliata, è consigliabile assegnare priorità alla protezione dei token di sessione di accesso perché questi token possono durare per settimane o mesi, abilitando potenzialmente l'accesso non autorizzato permanente se rubato.
Un'altra differenza tra le due famiglie di token: i token di sessione di accesso sono revocabili per impostazione predefinita, mentre le sessioni dell'app in genere non sono. Ad esempio, i token di accesso con ID Entra possono essere revocati solo se l'applicazione ha integrato la valutazione dell'accesso continuo.
| Tipo di token | Rilasciato da | Scopo | Ambito della risorsa | Durata della vita | Revocabile | Rinnovabile |
|---|---|---|---|---|---|---|
| Token di aggiornamento primario (PRT) | Entra ID | Richiedere token di accesso | No: può richiedere un token di accesso per qualsiasi risorsa | 14 giorni* | Sì | Sì |
| Token di aggiornamento | Entra ID | Richiedere token di accesso | Sì | 90 giorni* | Sì | Sì |
| Token di accesso | Entra ID | Accedere alle risorse | Sì | Variabile da 60 a 90 minuti | Sì, se CAE è compatibile | NO |
| Cookie di autenticazione dell'app | Applicazione Web | Accedere alle risorse | Sì | Determinato dall'applicazione | Dipende dall'applicazione | NO |
*Finestra mobile: la durata di validità viene azzerata con ogni utilizzo del token.
Vettori di attacco del furto di token
Gli avversari possono usare molti vettori di attacco diversi per rubare token. Una volta rubato un token, l'antagonista può quindi rappresentare l'utente, ottenere l'accesso non autorizzato e persino esfiltrare i dati sensibili. Alcuni esempi di questi vettori di attacco includono:
- Avversario nel mezzo: una forma sofisticata di attacco Man-in-the-Middle (MitM). In questo scenario, un utente malintenzionato si posiziona tra due parti di comunicazione, intercettando e modificando potenzialmente la comunicazione senza la conoscenza di entrambe le parti. Questo scenario consente all'utente malintenzionato di acquisire informazioni riservate, ad esempio credenziali, cookie di sessione e altri dati, anche ignorando misure di sicurezza come l'autenticazione a più fattori. Scopri di più sugli attacchi di phishing Adversary-in-the-middle.
- Malware: il malware può rubare token da un dispositivo tramite l'infiltrazione del sistema e il monitoraggio del traffico di rete o l'accesso ai dati archiviati. Una volta installato, il malware può acquisire token di autenticazione, cookie di sessione o altre credenziali intercettando le comunicazioni tra il dispositivo e i servizi legittimi. Può anche sfruttare le vulnerabilità per estrarre i token direttamente dalla memoria o dall'archiviazione.
In questo articolo viene illustrato principalmente come sconfiggere gli attacchi indirizzati agli utenti finali, ad esempio quelli elencati in precedenza. I vettori di attacco, ad esempio il lato server o la compromissione dell'applicazione, non rientrano nell'ambito di questo articolo. Per attenuare questi tipi di attacchi, le organizzazioni devono seguire le procedure consigliate generali di:
- Proteggere l'autenticazione dell'applicazione
- Verificare che le autorizzazioni dell'applicazione siano con privilegi minimi
- Evitare l'acquisizione e la conservazione dei token nei log lato server
- Monitorare le applicazioni OAuth che hanno autorizzazioni ad altre risorse per rilevare compromissioni
Passaggi successivi
Per comprendere come proteggere i token in Microsoft Entra ID, continuare a Proteggere i token in Microsoft Entra ID.