Di Sean Deuby, Principle Technologist di Semperis
L’approccio Zero Trust è ormai così diffuso in Europa che ben 2 aziende su 3 (dati Forrester) stanno sviluppando strategie di sicurezza incentrate su questo modello per proteggere i dati e le operazioni negli ambienti di lavoro ibridi. Ma c’è un aspetto critico che molti professionisti del settore tendono a sottovalutare, ovvero l’integrità dei sistemi usati come archivi di identità aziendali su cui si basa il modello Zero Trust.
Uno di questi è appunto Active Directory (AD), che però spesso è l’anello debole della catena. Per quanto sia una tecnologia datata, se pensiamo che è sul mercato da più di 20 anni, AD di per sé non è un problema. Se configurato e distribuito a dovere, è un ambiente versatile e sicuro, ma poiché ci sono diversi modi per distribuirlo, possono verificarsi errori di configurazione e gestione che fanno emergere punti deboli e lo rendono un bersaglio facile da colpire, tanto da renderlo uno degli obiettivi principali nella kill chain di un attacco, come è successo ad esempio a Colonial Pipeline. Nel 90% degli attacchi analizzati da Mandiant, azienda di consulenza in sicurezza informatica, AD è stato in qualche modo preso di mira.
Poiché AD contiene la mappa e le chiavi di accesso ai dati aziendali, gli utenti malintenzionati possono sfruttarlo per entrare e muoversi indisturbati nella rete. Gli attacchi ad AD sono il punto di partenza per mettere in atto tecniche di persistenza, scalare i privilegi ed eludere le misure di difesa. Inoltre, dato che AD è alla base dei sistemi di identità su cloud, gli attacchi mirano anche a intercettare le credenziali e usarle per altri scopi, una tattica rilevata nell’80% dei casi di violazioni di dati.
Tante architetture, un solo sistema di identità
I sistemi di identità non vanno trascurati, poiché sono una componente cruciale di qualsiasi infrastruttura Zero Trust. Facciamo un esempio pratico. Molti di noi, chi più, chi meno, ancora oggi lavorano in smart working, reso possibile grazie alle applicazioni basate su cloud con accesso da remoto. Oltre a concentrarsi su questi servizi, le aziende devono adottare strategie di sicurezza attente anche all’integrità dei sistemi di identità in locale.
Fino a qualche anno fa per l’accesso da remoto si ricorreva alle reti private virtuali (VPN). Per poter accedere alla rete aziendale gli utenti dovevano prima autenticarsi tramite un servizio directory (in genere Active Directory). Tuttavia, poiché le VPN hanno problemi di scalabilità e dipendono dalla sicurezza del perimetro di rete, da sole non bastano a garantire un accesso sicuro da remoto.
Sempre più aziende hanno quindi fatto ricorso a servizi di gestione degli accessi e delle identità (IAM) basati sul web per consentire l’accesso con le credenziali aziendali ad applicazioni Software-as-a-Service (SaaS) come Zoom o Microsoft Office 365 direttamente via Internet. Questi servizi si basano su un modello Zero Trust in cui la chiave per l’accesso è data dall’identità dell’utente, non dalla posizione della rete.
Alcune aziende sono andate oltre, applicando il modello Zero Trust anche alle reti interne. In pratica, vengono distribuiti dei dispositivi che creano un perimetro definito dal software tra le applicazioni e gli utenti che vogliono accedervi. Invece di servirsi delle VPN per accedere alla rete, questi dispositivi proxy, come il proxy di applicazione di Azure AD o la soluzione Secure Access Cloud di Symantec, concedono l’accesso solo all’applicazione pubblicata. Siccome il traffico viene indirizzato tramite il servizio IAM, la sessione utente è sottoposta a controlli degli accessi più rigorosi per verificare l’integrità del dispositivo, il rischio della sessione o il tipo di applicazione client utilizzata. Ma, anche in questo caso, tutto dipende sempre dal sistema di identità sottostante. Ci sono attacchi in cui gli autori riescono a eludere i controlli IAM senza problemi e infiltrarsi nella rete senza essere notati.
Proteggere il sistema all’origine
Il sistema di identità va protetto sempre, a prescindere dal mezzo utilizzato per accedere alla rete aziendale. Mentre le VPN dipendono da un sistema di gestione delle identità locale, per i servizi IAM cloud entrano in gioco tanti fattori, quali l’integrità del dispositivo, la posizione e gli schemi di comportamento. Tutto sommato, questi servizi dipendono comunque dalle credenziali degli account utente.
La maggior parte delle aziende applica un modello di identità ibrido per poter utilizzare l’identità locale nei servizi accessibili via Internet, quindi il sistema di identità diventa la chiave di volta che regge l’intera architettura. Per il 90% delle aziende, questo sistema è Active Directory.
In altre parole, qualsiasi strategia Zero Trust, ovvero qualsiasi architettura di sicurezza, dipende da AD. Ma come possiamo assicurare l’integrità di AD e dei dati al suo interno? In tre modi: riducendo al minimo la superficie di attacco, monitorando i comportamenti sospetti in AD e predisponendo un piano di ripristino.
Ridurre al minimo la superficie di attacco
- In primo luogo, occorre adottare un modello con privilegi di amministrazione minimi ed eliminare gli amministratori superflui. Forse potrà sembrare un suggerimento datato, ma è tuttora valido.
- Per bloccare l’accesso amministrativo al servizio AD si possono usare vari livelli di amministrazione e postazioni di accesso con privilegi (PAW).
- Bisogna anche proteggere i controller di dominio di AD dagli attacchi, applicando le impostazioni e le policy consigliate.
- Un’altra mossa consiste nell’analisi periodica dell’ambiente di AD per rilevare errori di configurazione, voluti o accidentali, che possono esporre la foresta di Active Directory al rischio di usi impropri o attacchi.
Monitorare i comportamenti sospetti in AD e annullare le modifiche non autorizzate
- In secondo luogo, bisogna abilitare meccanismi di verifica, di base e avanzati, per rilevare ogni minima modifica in AD. Inoltre, è utile avere una console centralizzata per monitorare tutti gli eventi principali da un’unica interfaccia.
- Occorre monitorare i cambiamenti apportati agli oggetti e agli attributi nella directory. Il registro degli eventi di sicurezza può mostrare quasi tutte (ma non proprio tutte) le modifiche eseguite ad Active Directory. Nonostante tutto esistono alcuni tipi di attacco, come ad esempio DCShadow che sono in grado di bypassarlo. L’unico modo per assicurarsi di avere sotto controllo ogni attività della foresta di Active Directory è monitorare le modifiche condivise attraverso i controller di dominio.
Pianificare la risposta “quando” (e non “se”) si verifica una violazione
- È importante non solo tenere traccia delle modifiche indesiderate, ma anche essere in grado di annullare tali modifiche subito e in automatico per poter contare su una soluzione completa, altrimenti, è una soluzione a metà.
- Bisogna poi prepararsi per far fronte ad attacchi su larga scala e applicare misure di crittografia all’intera rete, AD incluso. Tutto ciò richiede una strategia di ripristino solida e automatizzata, con backup offline di tutti i componenti dell’infrastruttura.
Secondo l’Identity Defined Security Alliance, negli anni 2021-2022 sono stati violati i sistemi di identità dell’84% delle aziende in tutto il mondo. E il 96% di esse ha dichiarato che avrebbero potuto evitare o minimizzare le conseguenze se avessero adottato misure di sicurezza incentrate sul sistema di identità.
Per quanto esistano infiniti modi per distribuire una rete Zero Trust, i principi di base devono ruotare sempre attorno all’identità utente. Comunque avvenga l’accesso alla rete, dalle VPN ai portali web, il sistema di identità è la chiave di volta. Proteggerne l’integrità è fondamentale per la sicurezza di qualsiasi azienda.