Perché la protezione di Active Directory è la base della strategia Zero Trust
Di Sean Deuby, Principle Technologist di Semperis
L’approccio Zero Trust è ormai così diffuso in Europa che ben 2 aziende su 3 (dati Forrester) stanno sviluppando strategie di sicurezza incentrate su questo modello per proteggere i dati e le operazioni negli ambienti di lavoro ibridi. Ma c’è un aspetto critico che molti professionisti del settore tendono a sottovalutare, ovvero l’integrità dei sistemi usati come archivi di identità aziendali su cui si basa il modello Zero Trust.
Uno di questi è appunto Active Directory (AD), che però spesso è l’anello debole della catena. Per quanto sia una tecnologia datata, se pensiamo che è sul mercato da più di 20 anni, AD di per sé non è un problema. Se configurato e distribuito a dovere, è un ambiente versatile e sicuro, ma poiché ci sono diversi modi per distribuirlo, possono verificarsi errori di configurazione e gestione che fanno emergere punti deboli e lo rendono un bersaglio facile da colpire, tanto da renderlo uno degli obiettivi principali nella kill chain di un attacco, come è successo ad esempio a Colonial Pipeline. Nel 90% degli attacchi analizzati da Mandiant, azienda di consulenza in sicurezza informatica, AD è stato in qualche modo preso di mira.
Poiché AD contiene la mappa e le chiavi di accesso ai dati aziendali, gli utenti malintenzionati possono sfruttarlo per entrare e muoversi indisturbati nella rete. Gli attacchi ad AD sono il punto di partenza per mettere in atto tecniche di persistenza, scalare i privilegi ed eludere le misure di difesa. Inoltre, dato che AD è alla base dei sistemi di identità su cloud, gli attacchi mirano anche a intercettare le credenziali e usarle per altri scopi, una tattica rilevata nell’80% dei casi di violazioni di dati.
Tante architetture, un solo sistema di identità
I sistemi di identità non vanno trascurati, poiché sono una componente cruciale di qualsiasi infrastruttura Zero Trust. Facciamo un esempio pratico. Molti di noi, chi più, chi meno, ancora oggi lavorano in smart working, reso possibile grazie alle applicazioni basate su cloud con accesso da remoto. Oltre a concentrarsi su questi servizi, le aziende devono adottare strategie di sicurezza attente anche all’integrità dei sistemi di identità in locale.
Fino a qualche anno fa per l’accesso da remoto si ricorreva alle reti private virtuali (VPN). Per poter accedere alla rete aziendale gli utenti dovevano prima autenticarsi tramite un servizio directory (in genere Active Directory). Tuttavia, poiché le VPN hanno problemi di scalabilità e dipendono dalla sicurezza del perimetro di rete, da sole non bastano a garantire un accesso sicuro da remoto.
Sempre più aziende hanno quindi fatto ricorso a servizi di gestione degli accessi e delle identità (IAM) basati sul web per consentire l’accesso con le credenziali aziendali ad applicazioni Software-as-a-Service (SaaS) come Zoom o Microsoft Office 365 direttamente via Internet. Questi servizi si basano su un modello Zero Trust in cui la chiave per l’accesso è data dall’identità dell’utente, non dalla posizione della rete.
Alcune aziende sono andate oltre, applicando il modello Zero Trust anche alle reti interne. In pratica, vengono distribuiti dei dispositivi che creano un perimetro definito dal software tra le applicazioni e gli utenti che vogliono accedervi. Invece di servirsi delle VPN per accedere alla rete, questi dispositivi proxy, come il proxy di applicazione di Azure AD o la soluzione Secure Access Cloud di Symantec, concedono l’accesso solo all’applicazione pubblicata. Siccome il traffico viene indirizzato tramite il servizio IAM, la sessione utente è sottoposta a controlli degli accessi più rigorosi per verificare l’integrità del dispositivo, il rischio della sessione o il tipo di applicazione client utilizzata. Ma, anche in questo caso, tutto dipende sempre dal sistema di identità sottostante. Ci sono attacchi in cui gli autori riescono a eludere i controlli IAM senza problemi e infiltrarsi nella rete senza essere notati.
Proteggere il sistema all’origine
Il sistema di identità va protetto sempre, a prescindere dal mezzo utilizzato per accedere alla rete aziendale. Mentre le VPN dipendono da un sistema di gestione delle identità locale, per i servizi IAM cloud entrano in gioco tanti fattori, quali l’integrità del dispositivo, la posizione e gli schemi di comportamento. Tutto sommato, questi servizi dipendono comunque dalle credenziali degli account utente.
La maggior parte delle aziende applica un modello di identità ibrido per poter utilizzare l’identità locale nei servizi accessibili via Internet, quindi il sistema di identità diventa la chiave di volta che regge l’intera architettura. Per il 90% delle aziende, questo sistema è Active Directory.
In altre parole, qualsiasi strategia Zero Trust, ovvero qualsiasi architettura di sicurezza, dipende da AD. Ma come possiamo assicurare l’integrità di AD e dei dati al suo interno? In tre modi: riducendo al minimo la superficie di attacco, monitorando i comportamenti sospetti in AD e predisponendo un piano di ripristino.
Ridurre al minimo la superficie di attacco
- In primo luogo, occorre adottare un modello con privilegi di amministrazione minimi ed eliminare gli amministratori superflui. Forse potrà sembrare un suggerimento datato, ma è tuttora valido.
- Per bloccare l’accesso amministrativo al servizio AD si possono usare vari livelli di amministrazione e postazioni di accesso con privilegi (PAW).
- Bisogna anche proteggere i controller di dominio di AD dagli attacchi, applicando le impostazioni e le policy consigliate.
- Un’altra mossa consiste nell’analisi periodica dell’ambiente di AD per rilevare errori di configurazione, voluti o accidentali, che possono esporre la foresta di Active Directory al rischio di usi impropri o attacchi.
Monitorare i comportamenti sospetti in AD e annullare le modifiche non autorizzate
- In secondo luogo, bisogna abilitare meccanismi di verifica, di base e avanzati, per rilevare ogni minima modifica in AD. Inoltre, è utile avere una console centralizzata per monitorare tutti gli eventi principali da un’unica interfaccia.
- Occorre monitorare i cambiamenti apportati agli oggetti e agli attributi nella directory. Il registro degli eventi di sicurezza può mostrare quasi tutte (ma non proprio tutte) le modifiche eseguite ad Active Directory. Nonostante tutto esistono alcuni tipi di attacco, come ad esempio DCShadow che sono in grado di bypassarlo. L’unico modo per assicurarsi di avere sotto controllo ogni attività della foresta di Active Directory è monitorare le modifiche condivise attraverso i controller di dominio.
Pianificare la risposta “quando” (e non “se”) si verifica una violazione
- È importante non solo tenere traccia delle modifiche indesiderate, ma anche essere in grado di annullare tali modifiche subito e in automatico per poter contare su una soluzione completa, altrimenti, è una soluzione a metà.
- Bisogna poi prepararsi per far fronte ad attacchi su larga scala e applicare misure di crittografia all’intera rete, AD incluso. Tutto ciò richiede una strategia di ripristino solida e automatizzata, con backup offline di tutti i componenti dell’infrastruttura.
Secondo l’Identity Defined Security Alliance, negli anni 2021-2022 sono stati violati i sistemi di identità dell’84% delle aziende in tutto il mondo. E il 96% di esse ha dichiarato che avrebbero potuto evitare o minimizzare le conseguenze se avessero adottato misure di sicurezza incentrate sul sistema di identità.
Per quanto esistano infiniti modi per distribuire una rete Zero Trust, i principi di base devono ruotare sempre attorno all’identità utente. Comunque avvenga l’accesso alla rete, dalle VPN ai portali web, il sistema di identità è la chiave di volta. Proteggerne l’integrità è fondamentale per la sicurezza di qualsiasi azienda.
Contenuti correlati
-
Sicurezza per le smart factory: come prevenire gli attacchi basati sull’identità
di Guido Grillenmeier, Principal Technologist, Semperis In ambito industriale le smart factory rappresentano senza dubbio il futuro dei paradigmi produttivi. Capgemini Research Institute nel 2019 aveva stimato che entro il 2023 le smart factory avrebbero costituito a livello...
-
Come proteggere la propria azienda dall’insider threat
Igor Baikalov, Semperis Chief Scientist ed ex-SVP Global Information Security di Bank of America, vanta 20 anni di esperienza nel monitoraggio di minacce e rischi interni. L’insider threat, ovvero le minacce informatiche causate da utenti interni, è...
-
Le cinque funzionalità chiave delle soluzioni ITDR per le aziende
di Darren Mar-Elia, VP of Products, Semperis La sicurezza incentrata sulle identità sarà sulla bocca di tutti nel 2023. Negli ultimi anni le aziende sono passate a modelli più flessibili per adattarsi alla così detta epoca della...
-
Resilienza operativa: oltre il semplice ripristino di emergenza
Di Sean Deuby, Semperis Principle Technologist Per contrastare l’incremento di attacchi informatici e le relative conseguenze sulle attività aziendali, molte organizzazioni stanno adattando le proprie procedure di ripristino di emergenza con misure per rispondere a questo tipo...
-
Conosci l’AikidoWiper?
di Guido Grillenmeier, Chief Technologist di Semperis Durante conferenza Blackhat, il ricercatore di SafeBreach Or Yair, ha svelato una lacuna sulla sicurezza nelle soluzioni EDR (Endpoint Detection and Response) e ha effettuato una dimostrazione. Attraverso un account...
-
La cybersecurity del 2022 vista da Semperis
Guido Grillenmeier, Chief Technologist di Semperis Nel 2022 abbiamo avuto dimostrazione più di quanto si potesse prevedere che la guerra informatica è quantomai reale e che non fa distinzione fra confini fisici dei Paesi. Attacchi che hanno...
-
Indicatori di sicurezza di Azure AD nella nuova release di Purple Knight
Semperis ha rilasciato la versione 1.5 di Purple Knight, lo strumento gratuito per la valutazione della sicurezza di Active Directory (AD) che consente ora di identificare e risolvere le lacune di sicurezza nel proprio ambiente di identità...
-
Come proteggersi dagli attacchi RansomCloud
Di Guido Grillenmeier, chief technologist, Semperis Il ransomware classico generalmente cripta i computer, i server e tutti i dati che risiedono su di essi. Dopo aver estratto alcuni di quei dati, i criminali informatici sono in grado...
-
La cybersicurezza nel 2022
Guido Grillenmeier, Chief Technologist di Semperis, descrive, secondo la sua esperienza, quali eventi possiamo aspettarci il prossimo anno nello scenario delle reti aziendali e della cybersicurezza. L’innalzamento del grado di sicurezza delle reti è direttamente proporzionale all’esperienza...