Risorse · Guida · MDR · 5 min di lettura

Perché la difesa dell'identità (ITDR) è prioritaria

In breve

Nel cloud il perimetro non è più la rete: è l'identità. Gli attaccanti hanno smesso di forzare il firewall e hanno iniziato ad autenticarsi, rubando sessioni e token che aggirano l'MFA classico. L'ITDR (Identity Threat Detection and Response) difende ciò che conta davvero oggi: chi accede, come, e se quell'accesso è stato compromesso o abusato dopo l'autenticazione. Senza ITDR, l'attaccante entra dalla porta principale con credenziali valide.

La tesi: l’identità è il nuovo perimetro

Per anni la sicurezza ha difeso il perimetro di rete: firewall, VPN, segmentazione. Ma dati e applicazioni si sono spostati nel cloud, e con loro il punto debole. Oggi il threat actor non sfonda il firewall, si autentica. L’unico confine che resta costante, ovunque vivano i dati, è uno solo: chi accede. L’identità è il nuovo perimetro, e l’ITDR (Identity Threat Detection and Response) è la difesa di quel perimetro.

Il problema è che la difesa classica dell’identità si ferma all’autenticazione: MFA, password forte, controllo all’ingresso. Ma l’attacco moderno comincia dopo che l’autenticazione è andata a buon fine.

La catena dell’attacco basato sull’identità

Un attacco identity-based non assomiglia a un’intrusione: assomiglia a un login normale. Ecco perché l’endpoint e il firewall non lo vedono. La catena tipica, dal phishing al movimento laterale:

CATENA · ATTACCO IDENTITY-BASED PHISHING AiTM FURTO TOKEN sessione rubata ACCESSO MFA già passato ITDR rileva l'anomalia post-auth RESPONSE revoca sessione blocca account EDR e firewall: ciechi · sembra un login legittimo ITDR: vede l'abuso post-autenticazione
Phishing AiTM, furto del token di sessione, accesso con MFA già superato: l'endpoint non vede nulla. L'ITDR rileva l'abuso post-autenticazione e revoca la sessione.

Il punto critico è il terzo riquadro: l’accesso avviene con MFA già superato. Non è un «MFA bypass»: l’autenticazione è avvenuta davvero, ma è il token di sessione a essere stato rubato e riusato. Da quel momento l’attaccante si muove come l’utente legittimo, e l’unico sistema che può accorgersene è quello che osserva il comportamento dell’identità dopo il login.

Il costo del non difendere l’identità

Una credenziale o una sessione rubata vale più di un exploit: dà accesso legittimo, silenzioso, che l’EDR non vede e il firewall lascia passare. Da lì partono BEC, frodi, esfiltrazione, tutto con API e token legittimi. Senza ITDR, l’intrusione assomiglia a un normale accesso, e i tempi di scoperta si misurano in settimane.

«Abbiamo l'MFA» non chiude il fronte. L'MFA è necessario, ma gli attacchi AiTM e il furto del token di sessione catturano l'accesso dopo che l'MFA è scattato. Servono FIDO2/passkey resistenti al phishing e, soprattutto, un sistema che rilevi l'abuso quando l'autenticazione è già avvenuta.

Cosa fornisce di unico l’ITDR

L’ITDR è detection e response sul livello dell’identità: monitora gli identity provider e intercetta gli abusi che gli altri sensori lasciano passare. Le quattro capacità che lo distinguono:

  • Monitoraggio di AD ed Entra ID. Rileva Kerberoasting, Pass-the-Hash, DCSync, Golden Ticket, escalation di privilegi: attacchi alla directory che spesso non toccano l'endpoint.
  • Anomaly detection post-autenticazione. Uso anomalo di sessioni e token, accessi da contesti impossibili, comportamenti che deviano dalla baseline dell'utente, dopo che il login è andato a buon fine.
  • Rilevamento dell'abuso di token e OAuth. Furto del token di sessione, abuso di OAuth Device Code Flow, consenso a applicazioni malevole: il vettore che aggira l'MFA classico.
  • Response sull'identità. Revoca rapida delle sessioni, blocco dell'account compromesso, reset forzato: contenere l'accesso abusato, non solo segnalarlo.

L'ITDR completa l'MDR, non lo sostituisce. L'endpoint resta coperto dall'EDR, la rete dalla detection di rete, ma l'identità ha bisogno di un sensore proprio. Nel modello Fortgale i tre domini convergono in un unico presidio: SOC italiano 24·7·365, analisti senior con mandato di revocare una sessione senza attendere autorizzazioni.

Quando serve davvero (e quando basta meno)

Appena usate Microsoft 365, Entra ID o accessi cloud diffusi, l’identità è il fronte principale: l’ITDR è prioritario. In un ambiente minuscolo, interamente on-premise e con pochissimi account, la priorità può stare altrove (backup, patch, hardening base). Ma per la quasi totalità delle aziende moderne, difendere l’identità non è opzionale. Vedi anche sicurezza Microsoft 365 e cos’è un MDR.


Quando la minaccia non sfonda ma si autentica, difendere l'identità è il primo atto. Conoscere l'avversario è il primo atto della difesa, fermarlo in tempo è il secondo: e sull'identità si gioca proprio il secondo.

Confronto

Difesa perimetrale classica vs difesa dell'identità

Perimetro classicoITDR
AssuntoLa minaccia è fuoriLa minaccia si autentica
MFA classicoConsiderato sufficienteAggirato da furto di sessione
CoperturaRete, firewallAD, Entra ID, sessioni, accessi
RilevaIntrusione di reteAbuso di credenziali e token post-auth
Prova field-observed · la sessione è la nuova credenziale

L'analisi della piattaforma PhaaS Kali365 (800 domini mappati) mostra come il furto del token OAuth dopo l'autenticazione legittima aggiri l'MFA classico: la prova che la difesa va spostata sull'identità post-autenticazione, dove l'endpoint non vede nulla.

Leggi l'analisi →
FAQ

Domande frequenti.

Non basta l'MFA a proteggere le identità?

No, non da solo. Gli attacchi AiTM e il furto del token di sessione rubano l'accesso dopo l'autenticazione: l'MFA scatta, ma la sessione è già compromessa. Servono FIDO2/passkey, anti-phishing AiTM e ITDR che rilevi l'abuso post-autenticazione.

Cosa rileva l'ITDR che l'EDR non vede?

Abusi su Active Directory ed Entra ID: Kerberoasting, Pass-the-Hash, DCSync, Golden Ticket, escalation di privilegi, uso anomalo di sessioni. Sono attacchi che spesso non toccano l'endpoint, quindi sfuggono al solo EDR.

Perché 'l'identità è il nuovo perimetro'?

Perché dati e applicazioni vivono nel cloud: l'unico confine costante è chi accede. Compromessa l'identità, l'attaccante si muove come un utente legittimo. Per questo l'identità è il primo asset da difendere.

Cos'è l'abuso di OAuth Device Code Flow?

È una tecnica in cui il threat actor sfrutta il flusso di autorizzazione pensato per i dispositivi senza browser per indurre la vittima ad approvare un accesso, ottenendo così token validi. Non è un «MFA bypass»: l'autenticazione avviene davvero, ma è il token di sessione che viene rubato e riusato. L'ITDR rileva l'uso anomalo di quei token.

Quando l'ITDR è meno urgente?

In ambienti molto piccoli, on-premise e con pochissime identità, la priorità può essere altrove (backup, patch). Ma appena ci sono Microsoft 365, Entra ID o accessi cloud diffusi, l'identità diventa il fronte principale.

Come Fortgale lo eroga

Dalla teoria al presidio reale.

Quello che leggi qui, Fortgale lo opera ogni giorno con un SOC italiano 24·7·365: 287 tra tool e attori profilati, contenimento mediano <30 min. Approfondisci il servizio: Protezione Identità · ITDR.

Risorse correlate: Sicurezza Microsoft 365 · Cos'è un MDR · Cos'è un EDR

Vuoi approfondire con un analista?

Una conversazione tecnica, non un funnel.

Lasciate i contatti: un nostro analista vi richiama entro un giorno lavorativo. SOC italiano, stesso fuso orario, intelligence proprietaria sugli attori attivi in Italia.

Tempo di risposta: < 1 giorno lavorativo.