Di recente, dei ricercatori delle agenzie di sicurezza informatica nazionali di Australia, Canada, Nuova Zelanda, Stati Uniti e Regno Unito hanno pubblicato un importante report dal titolo Detecting and Mitigating Active Directory Compromises (Rilevare e mitigare le violazioni di Active Directory). Quando lo leggerai, tieniti forte.
Il report svolge un’analisi approfondita della complessità di Active Directory (AD) e delle sfide di sicurezza associate. Le sue conclusioni sono definitive. E se la tua azienda ha implementato Active Directory da diversi anni, questo report probabilmente susciterà delle preoccupazioni relativamente alle vulnerabilità e agli errori di configurazione nella tua istanza AD. Naturalmente, ora che sei a conoscenza dell’esistenza di queste falle, dovresti prendere i provvedimenti del caso.
Una chiave del successo dei criminali informatici
Nel settore della sicurezza informatica, è consuetudine scherzare sul fatto che Active Directory è così utile ai criminali informatici che dovrebbe essere considerato uno dei loro strumenti principali, al pari di Mimikatz, BloodHound o Impacket. Questa battuta è indice di una verità più ampia, che gli autori sottolineano nella loro introduzione:
“I criminali informatici spesso annoverano Active Directory per estrarre informazioni dopo aver ottenuto l’accesso iniziale a un ambiente con Active Directory. Utilizzando le informazioni raccolte, cercano di stabilire la struttura, gli oggetti, le configurazioni e le relazioni uniche di ogni azienda. In questo modo, questi criminali informatici alcune volte riescono a comprendere meglio l’ambiente Active Directory dell’azienda che l’azienda stessa”.
Perché la sicurezza e le best practice relative a AD sono così importanti? Semplicemente perché i criminali informatici ci confermano costantemente che lo sono. Solo quest’anno, numerose violazioni importanti rese pubbliche erano legate allo sfruttamento e all’utilizzo di AD per lo spostamento laterale e l’escalation dei privilegi. L’elenco di queste violazioni include:
- Violazione di Microsoft da parte di Midnight Blizzard
- Violazione di TeamViewer da parte di Cozy Bear
- Attacchi di ransomware da parte di Black Basta
I criminali informatici devono spostarsi lateralmente a partire dal punto di violazione iniziale lungo l’intera catena d’attacco per arrivare al loro obiettivo finale, solitamente la sottrazione di dati o la distribuzione di ransomware. Tenendo conto di ciò, è facile capire perché l’accesso a AD e lo sfruttamento di tale risorsa siano critiche per la riuscita di un attacco.
Barriere all’aggiramento di Active Directory
Stai pensando di eliminare Active Directory e migrare verso il cloud per risolvere tutte queste problematiche di sicurezza legate a AD? Sicuramente è la scelta che fanno alcune aziende. Per le startup e le piccole aziende, un approccio 100% cloud può essere una strategia perseguibile.
Tuttavia, l’elevato livello di complessità della migrazione può renderlo un compito durissimo. La gestione delle identità e degli accessi deve essere ripensata in toto. È necessario rispettare le esigenze normative e di conformità, in particolare in termini di residenza dei dati. Per non parlare del tempo di adattamento dei collaboratori e delle interruzioni operative che si verificano durante la transizione. Inoltre, tutto ciò ha un costo. Con così tante barriere al cambiamento, è probabile che Active Directory e i suoi problemi di sicurezza associati persistano presso la maggior parte delle aziende per il prossimo futuro.
La via da seguire
Una delle cause di questa difficile situazione in cui si trovano le aziende è una mancanza di governance storica sulle implementazioni di Active Directory. Questo problema è in aumento da anni, addirittura da decenni nella maggior parte delle aziende, alimentato da una serie di sfide correlate. Gli amministratori di AD vanno e vengono. Le priorità aziendali e le applicazioni associate cambiano. Vengono implementate, e mai eliminate, scorciatoie in termini di diritti. Si verificano fusioni e acquisizioni. In tutto ciò, la pulizia di AD non è quasi mai una priorità.
Di conseguenza, le sue autorizzazioni e configurazioni diventano così complesse e interdipendenti che gli amministratori hanno spesso timore di avviare il processo di pulizia. Spesso non hanno visibilità sui processi aziendali che rischiano di interrompere. Inoltre, non conoscono i rischi prioritari e non sanno quali account e diritti danno direttamente accesso alle loro risorse IT più preziose.
Ciò di cui le aziende hanno davvero bisogno, è un sistema che scopra, assegni le priorità e corregga i loro rischi specifici legati a Active Directory, oltre ai loro rischi di sicurezza legati alle identità. Esattamente ciò che permettono di fare le soluzioni di rilevamento e neutralizzazione delle minacce legate alle identità (ITDR). Proofpoint Identity Threat Defense è un buon esempio.
La prospettiva di Proofpoint
L’unica lacuna di questo report, dal mio punto di vista, è che avrei voluto che gli autori avessero dato più risalto alla categoria emergente della sicurezza che sono le soluzioni ITDR. Se non mi aspetto che i rappresentanti delle autorità pubbliche mostrino favoritismi nei confronti dei diversi fornitori, ritengo che un riferimento all’ITDR e ai suoi punti di forza nel contrastare le vulnerabilità di Active Directory sarebbe stato utile per il lettore.
Per Proofpoint, una soluzione ITDR deve offrire una copertura costante e una visibilità completa sulle vulnerabilità e gli errori di configurazione di AD in termini di identità. Ma non è tutto. Deve anche coprire gli endpoint e utilizzare altri sistemi di identità, come i sistemi di gestione degli accessi con privilegi (PAM, Privileged Access Management) per offrire la visione più completa della sicurezza delle identità.
Inoltre, i sistemi ITDR devono supportare gli aspetti di rilevamento e risposta. In altre parole, devono poter rilevare i criminali informatici che cercano di spostarsi lateralmente e di elevare i privilegi a loro insaputa. Inoltre, i responsabili delle indagini devono avere accesso a dati forensi in tempo reale per poter espellere il criminale informatico prima che causi un danno reale.
Per saperne di più
Per una prospettiva esperta e obiettiva sui rischi che Active Directory comporta per un’azienda, consulta questa nuova pubblicazione.
Per saperne di più di come Proofpoint può aiutarti a portare un po’ di ordine nella tua implementazione di AD, consulta la nostra pagina web su Proofpoint Identity Threat Defense.