Elettronica Plus

Perché la protezione di Active Directory è la base della strategia Zero TrustERT

Di Sean Deuby, Principle Technologist di Semperis

L’approccio Zero Trust è ormai così diffuso in Europa che ben 2 aziende su 3 (dati Forrester) stanno sviluppando strategie di sicurezza incentrate su questo modello per proteggere i dati e le operazioni negli ambienti di lavoro ibridi. Ma c’è un aspetto critico che molti professionisti del settore tendono a sottovalutare, ovvero l’integrità dei sistemi usati come archivi di identità aziendali su cui si basa il modello Zero Trust.

Uno di questi è appunto Active Directory (AD), che però spesso è l’anello debole della catena. Per quanto sia una tecnologia datata, se pensiamo che è sul mercato da più di 20 anni, AD di per sé non è un problema. Se configurato e distribuito a dovere, è un ambiente versatile e sicuro, ma poiché ci sono diversi modi per distribuirlo, possono verificarsi errori di configurazione e gestione che fanno emergere punti deboli e lo rendono un bersaglio facile da colpire, tanto da renderlo uno degli obiettivi principali nella kill chain di un attacco, come è successo ad esempio a Colonial Pipeline. Nel 90% degli attacchi analizzati da Mandiant, azienda di consulenza in sicurezza informatica, AD è stato in qualche modo preso di mira.

Poiché AD contiene la mappa e le chiavi di accesso ai dati aziendali, gli utenti malintenzionati possono sfruttarlo per entrare e muoversi indisturbati nella rete. Gli attacchi ad AD sono il punto di partenza per mettere in atto tecniche di persistenza, scalare i privilegi ed eludere le misure di difesa. Inoltre, dato che AD è alla base dei sistemi di identità su cloud, gli attacchi mirano anche a intercettare le credenziali e usarle per altri scopi, una tattica rilevata nell’80% dei casi di violazioni di dati.

Tante architetture, un solo sistema di identità

I sistemi di identità non vanno trascurati, poiché sono una componente cruciale di qualsiasi infrastruttura Zero Trust. Facciamo un esempio pratico. Molti di noi, chi più, chi meno, ancora oggi lavorano in smart working, reso possibile grazie alle applicazioni basate su cloud con accesso da remoto. Oltre a concentrarsi su questi servizi, le aziende devono adottare strategie di sicurezza attente anche all’integrità dei sistemi di identità in locale.

Fino a qualche anno fa per l’accesso da remoto si ricorreva alle reti private virtuali (VPN). Per poter accedere alla rete aziendale gli utenti dovevano prima autenticarsi tramite un servizio directory (in genere Active Directory). Tuttavia, poiché le VPN hanno problemi di scalabilità e dipendono dalla sicurezza del perimetro di rete, da sole non bastano a garantire un accesso sicuro da remoto.

Sempre più aziende hanno quindi fatto ricorso a servizi di gestione degli accessi e delle identità (IAM) basati sul web per consentire l’accesso con le credenziali aziendali ad applicazioni Software-as-a-Service (SaaS) come Zoom o Microsoft Office 365 direttamente via Internet. Questi servizi si basano su un modello Zero Trust in cui la chiave per l’accesso è data dall’identità dell’utente, non dalla posizione della rete.

Alcune aziende sono andate oltre, applicando il modello Zero Trust anche alle reti interne. In pratica, vengono distribuiti dei dispositivi che creano un perimetro definito dal software tra le applicazioni e gli utenti che vogliono accedervi. Invece di servirsi delle VPN per accedere alla rete, questi dispositivi proxy, come il proxy di applicazione di Azure AD o la soluzione Secure Access Cloud di Symantec, concedono l’accesso solo all’applicazione pubblicata. Siccome il traffico viene indirizzato tramite il servizio IAM, la sessione utente è sottoposta a controlli degli accessi più rigorosi per verificare l’integrità del dispositivo, il rischio della sessione o il tipo di applicazione client utilizzata. Ma, anche in questo caso, tutto dipende sempre dal sistema di identità sottostante. Ci sono attacchi in cui gli autori riescono a eludere i controlli IAM senza problemi e infiltrarsi nella rete senza essere notati.

Proteggere il sistema all’origine

Il sistema di identità va protetto sempre, a prescindere dal mezzo utilizzato per accedere alla rete aziendale. Mentre le VPN dipendono da un sistema di gestione delle identità locale, per i servizi IAM cloud entrano in gioco tanti fattori, quali l’integrità del dispositivo, la posizione e gli schemi di comportamento. Tutto sommato, questi servizi dipendono comunque dalle credenziali degli account utente.

La maggior parte delle aziende applica un modello di identità ibrido per poter utilizzare l’identità locale nei servizi accessibili via Internet, quindi il sistema di identità diventa la chiave di volta che regge l’intera architettura. Per il 90% delle aziende, questo sistema è Active Directory.

In altre parole, qualsiasi strategia Zero Trust, ovvero qualsiasi architettura di sicurezza, dipende da AD. Ma come possiamo assicurare l’integrità di AD e dei dati al suo interno? In tre modi: riducendo al minimo la superficie di attacco, monitorando i comportamenti sospetti in AD e predisponendo un piano di ripristino.

Ridurre al minimo la superficie di attacco

Monitorare i comportamenti sospetti in AD e annullare le modifiche non autorizzate

Pianificare la risposta “quando” (e non “se”) si verifica una violazione

Secondo l’Identity Defined Security Alliance, negli anni 2021-2022 sono stati violati i sistemi di identità dell’84% delle aziende in tutto il mondo. E il 96% di esse ha dichiarato che avrebbero potuto evitare o minimizzare le conseguenze se avessero adottato misure di sicurezza incentrate sul sistema di identità.

Per quanto esistano infiniti modi per distribuire una rete Zero Trust, i principi di base devono ruotare sempre attorno all’identità utente. Comunque avvenga l’accesso alla rete, dalle VPN ai portali web, il sistema di identità è la chiave di volta. Proteggerne l’integrità è fondamentale per la sicurezza di qualsiasi azienda.