Active Directory (AD) è utilizzata dal 90% delle aziende come fonte primaria di affidabilità per identità e accesso. Ma può anche essere un anello debole, sfruttato in molti attacchi informatici moderni.
Abbiamo parlato con Ran Harel, direttore senior della gestione dei prodotti presso Semperis, per esplorare le sfide nella protezione di un ambiente AD ibrido e come le organizzazioni possono difendere al meglio questa superficie di attacco estesa.
BN: Cosa sono Active Directory e Azure Active Directory?
RH: Active Directory (AD) è una tecnologia Microsoft utilizzata per gestire account utente, sistemi informatici e altre risorse all’interno di una rete. AD fornisce autenticazione e autorizzazione centralizzate per computer basati su Windows e può essere utilizzato per gestire una varietà di risorse di rete, come stampanti e file server.
Azure Active Directory (Azure AD) è una versione basata su cloud di AD che fornisce la gestione delle identità e degli accessi per le applicazioni basate su cloud, inclusi i servizi online di Microsoft come Office 365 e Microsoft 365. Azure AD può essere utilizzato per gestire e proteggere l’accesso a risorse locali, cloud e ibride e integra con una varietà di piattaforme e linguaggi di programmazione.
BN: Perché il passaggio a sistemi basati su cloud per soddisfare le esigenze di un ambiente di lavoro ibrido ha creato maggiori vulnerabilità?
RH: La rapida adozione di sistemi basati su cloud per supportare ambienti di lavoro ibridi ha aumentato le vulnerabilità in diversi modi:
Mancanza di familiarità con la sicurezza del cloud: molte organizzazioni non dispongono delle competenze interne per proteggere adeguatamente il cloud-sistemi basati, portando a configurazioni errate o sviste che gli aggressori informatici possono sfruttare. Maggiore superficie di attacco: i sistemi basati su cloud hanno spesso una superficie di attacco più ampia rispetto ai tradizionali sistemi on-premise, poiché sono accessibili da qualsiasi luogo con una connessione Internet. Questo può renderli bersagli più attraenti per gli aggressori. Responsabilità condivisa: con i sistemi basati su cloud, la responsabilità per la sicurezza è spesso condivisa tra il cliente e il fornitore di servizi cloud. Ciò può portare a confusione su chi è responsabile della protezione di aspetti specifici del sistema, con conseguenti lacune di sicurezza. Privacy dei dati: le organizzazioni potrebbero avere difficoltà a mantenere il controllo sui dati sensibili archiviati nel cloud e potrebbero essere vulnerabili ad accessi non autorizzati o violazioni dei dati. Dipendenza dalla connettività Internet: i sistemi basati su cloud si basano su una connettività Internet affidabile, lasciando le organizzazioni vulnerabili ai tempi di inattività o alla perdita di dati durante un’interruzione di Internet.
In breve, il passaggio a sistemi basati su cloud ha creato nuove vulnerabilità che devono essere adeguatamente affrontate per garantire la sicurezza delle informazioni sensibili e la continuità delle operazioni aziendali.
BN: Quali lacune nella sicurezza sono più importanti per le aziende su cui concentrarsi quando operano in un ambiente ibrido?
RH: Le aziende dovrebbero concentrarsi su cinque aree critiche:
Identità: corretta gestione delle identità e degli accessi (IAM ) implica l’implementazione di metodi di autenticazione e autorizzazione sicuri, come l’autenticazione a più fattori (MFA), e il controllo dell’accesso alle risorse in base ai ruoli e alle responsabilità degli utenti. Infrastruttura di rete: proteggere l’infrastruttura di rete aiuta a prevenire l’accesso non autorizzato a risorse e dati. Ciò include l’implementazione di firewall, reti private virtuali (VPN) e altre misure di sicurezza per proteggere sia i sistemi on-premise che quelli basati su cloud. Dati sensibili: la protezione dei dati sensibili include l’implementazione di soluzioni di crittografia dei dati, backup e ripristino di emergenza. Anche il controllo dell’accesso ai dati tramite IAM e le misure di sicurezza della rete è fondamentale.Endpoint: la protezione degli endpoint (laptop, smartphone e altri dispositivi) include l’implementazione di soluzioni antivirus e anti-malware, la protezione delle configurazioni dei dispositivi e il controllo dell’accesso alle risorse aziendali.Applicazioni: La protezione delle applicazioni, spesso il mezzo principale per accedere e manipolare i dati sensibili, comporta l’implementazione di misure di sicurezza come i firewall delle applicazioni, la convalida dell’input e pratiche di codifica sicure.
Concentrandosi su queste potenziali lacune, le aziende possono proteggere meglio le informazioni sensibili e garantire la continuità delle operazioni in un ambiente di lavoro ibrido.
BN: Quali sono i vettori tipici che vedi utilizzare dai criminali informatici come un modo per accedere all’AD di un’organizzazione?
RH: I criminali informatici utilizzano spesso i seguenti vettori per ottenere l’accesso non autorizzato all’AD di un’organizzazione:
Attacchi di phishing: questi attacchi spesso comportano l’invio di e-mail che sembrano provenire da una fonte attendibile e che contengono collegamenti o allegati dannosi che installano malware sul dispositivo dell’utente. Malware: malware, come virus, worm e trojan, possono infettare la rete di un’organizzazione e consentire ai criminali informatici di ottenere l’accesso all’AD dell’organizzazione. Password deboli o compromesse: le password deboli o il riutilizzo delle password possono facilitare ai criminali informatici l’accesso all’AD di un’organizzazione tramite attacchi di forza bruta. Escalation dei privilegi: i criminali informatici possono utilizzare le vulnerabilità nei sistemi o nelle applicazioni di un’organizzazione per ottenere privilegi elevati e accedere all’AD dell’organizzazione. Insider: le minacce interne, siano esse dannose o accidentali, possono rappresentare un rischio significativo per l’AD di un’organizzazione. Tali minacce possono coinvolgere dipendenti, appaltatori o fornitori di terze parti con accesso a informazioni sensibili.
Implementando solide misure di sicurezza come il rilevamento e la risposta alle minacce di identità (ITDR), MFA, aggiornamenti regolari del software e formazione dei dipendenti sulle migliori pratiche di sicurezza informatica, le organizzazioni possono ridurre il rischio che questi vettori vengano utilizzati per compromettere il proprio AD.
BN: Puoi guidarci attraverso uno degli attacchi di alto profilo, ad esempio SolarWinds e cosa è andato storto?
RH: L’attacco SolarWinds nel 2020 ha influenzato più agenzie governative e organizzazioni private. Gli aggressori hanno utilizzato un attacco alla catena di approvvigionamento per infiltrarsi nei sistemi di SolarWinds, un fornitore di software di gestione IT ampiamente utilizzato.
Gli aggressori hanno modificato il software SolarWinds e distribuito la versione dannosa ai clienti, che hanno quindi installato il software infetto su i loro sistemi. Ciò ha fornito agli aggressori una backdoor nelle reti dei clienti, consentendo loro di eseguire ulteriori attacchi e rubare informazioni sensibili.
Cosa è andato storto nell’attacco SolarWinds:
Attacco alla catena di fornitura: gli aggressori sono stati in grado di compromettere la catena di fornitura del software, che ha consentito la distribuzione di software dannoso a migliaia di organizzazioni.Mancanza di visibilità: molte organizzazioni avevano una visibilità inadeguata dell’attività sulle loro reti, rendendo difficile rilevare l’attacco e rispondere in modo tempestivo.Sistemi mal configurati: alcuni le organizzazioni avevano configurato in modo errato i propri sistemi, il che ha reso più facile per gli aggressori ottenere l’accesso e persistere all’interno della rete. Molte organizzazioni potrebbero aver sottovalutato il rischio rappresentato dagli attacchi alla catena di approvvigionamento e non aver implementato misure sufficienti per proteggersi.
Ulteriori attacchi informatici su larga scala negli ultimi anni hanno preso di mira l’AD, tra cui:
Attacchi a Microsoft Exchange Server (2021): sono state scoperte diverse vulnerabilità zero-day in Microsoft Exchange Server. Le vulnerabilità hanno consentito agli aggressori di compromettere i server Exchange e accedere a informazioni sensibili, inclusi i dati archiviati negli attacchi ransomware AD.NetWalker (2021): il gruppo ransomware NetWalker ha preso di mira più organizzazioni, utilizzando tattiche come il phishing e sfruttando le vulnerabilità in sistemi come AD per ottenere accesso alla rete del bersaglio. Attacchi ransomware Ryuk (2021): gli attacchi ransomware Ryuk sono stati una minaccia crescente. È noto che il gruppo prende di mira AD per ottenere l’accesso a informazioni sensibili e chiavi di crittografia, che possono quindi essere utilizzate per crittografare i dati di un’organizzazione e richiedere un pagamento di riscatto.
Questi esempi illustrano la necessità per le organizzazioni di monitorare e proteggere continuamente la loro AD e altre infrastrutture di identità con soluzioni ITDR e di implementare solide misure di sicurezza per proteggersi da attacchi dannosi contro i loro utenti, sistemi e reti.
BN: In che modo i professionisti IT possono passare da on-prem a cloud nel modo più sicuro?
RH: I professionisti IT possono passare da on-prem a cloud in modo sicuro modo seguendo queste best practice:
Pianifica e valuta: inizia pianificando la transizione, inclusa l’identificazione dei carichi di lavoro da spostare, determinando le risorse necessarie e stabilendo la sequenza temporale della migrazione. Valuta i requisiti di sicurezza ed esegui un’analisi dei rischi per identificare eventuali minacce alla sicurezza. Proteggi il tuo ambiente cloud: implementa misure di sicurezza, come segmentazione della rete, IAM e crittografia dei dati, per proteggere l’ambiente cloud. Usa strumenti e servizi di sicurezza come ITDR per monitorare e proteggere continuamente il tuo ambiente. Gestisci l’accesso e le autorizzazioni: implementa il controllo degli accessi in base al ruolo (RBAC) per gestire le autorizzazioni degli utenti. Assicurati che solo gli utenti autorizzati abbiano accesso a dati e risorse sensibili. Implementa l’MFA per migliorare la sicurezza. Implementa un piano di ripristino di emergenza: assicurati di disporre di un piano di ripristino di emergenza per ripristinare sistemi e dati in caso di guasto o perdita di dati. Questo piano potrebbe includere il backup dei dati e l’implementazione del ripristino di emergenza come servizio. Testare regolarmente il piano. Monitorare e controllare: monitorare continuamente l’ambiente cloud per attività insolite e controllare i registri e gli eventi di sicurezza per rilevare potenziali incidenti di sicurezza. Rispondere tempestivamente a eventuali incidenti di sicurezza e implementare contromisure appropriate.
Seguendo queste best practice, i professionisti IT possono garantire una transizione sicura da on-premise al cloud e ridurre il rischio di incidenti di sicurezza e violazioni dei dati.
Credito immagine: IgorVetushko/depositphotos.com