Perché la protezione di Active Directory è la base della strategia Zero Trust

Scienza & Tecnologia

Di

Del 21 Maggio 2023 alle ore 11:03

Di Sean Deuby, Principle Technologist di Semperis

L’approccio Zero Trust è ormai così diffuso in Europa che ben 2 aziende su 3 (dati Forrester) stanno sviluppando strategie di sicurezza incentrate su questo modello per proteggere i dati e le operazioni negli ambienti di lavoro ibridi. Ma c’è un aspetto critico che molti professionisti del settore tendono a sottovalutare, ovvero l’integrità dei sistemi usati come archivi di identità aziendali su cui si basa il modello Zero Trust.

Uno di questi è appunto Active Directory (AD), che però spesso è l’anello debole della catena. Per quanto sia una tecnologia datata, se pensiamo che è sul mercato da più di 20 anni, AD di per sé non è un problema. Se configurato e distribuito a dovere, è un ambiente versatile e sicuro, ma poiché ci sono diversi modi per distribuirlo, possono verificarsi errori di configurazione e gestione che fanno emergere punti deboli e lo rendono un bersaglio facile da colpire, tanto da renderlo uno degli obiettivi principali nella kill chain di un attacco, come è successo ad esempio a Colonial Pipeline. Nel 90% degli attacchi analizzati da Mandiant, azienda di consulenza in sicurezza informatica, AD è stato in qualche modo preso di mira.

Poiché AD contiene la mappa e le chiavi di accesso ai dati aziendali, gli utenti malintenzionati possono sfruttarlo per entrare e muoversi indisturbati nella rete. Gli attacchi ad AD sono il punto di partenza per mettere in atto tecniche di persistenza, scalare i privilegi ed eludere le misure di difesa. Inoltre, dato che AD è alla base dei sistemi di identità su cloud, gli attacchi mirano anche a intercettare le credenziali e usarle per altri scopi, una tattica rilevata nell’80% dei casi di violazioni di dati.

Tante architetture, un solo sistema di identità

I sistemi di identità non vanno trascurati, poiché sono una componente cruciale di qualsiasi infrastruttura Zero Trust. Facciamo un esempio pratico. Molti di noi, chi più, chi meno, ancora oggi lavorano in smart working, reso possibile grazie alle applicazioni basate su cloud con accesso da remoto. Oltre a concentrarsi su questi servizi, le aziende devono adottare strategie di sicurezza attente anche all’integrità dei sistemi di identità in locale.

Fino a qualche anno fa per l’accesso da remoto si ricorreva alle reti private virtuali (VPN). Per poter accedere alla rete aziendale gli utenti dovevano prima autenticarsi tramite un servizio directory (in genere Active Directory). Tuttavia, poiché le VPN hanno problemi di scalabilità e dipendono dalla sicurezza del perimetro di rete, da sole non bastano a garantire un accesso sicuro da remoto.

Sempre più aziende hanno quindi fatto ricorso a servizi di gestione degli accessi e delle identità (IAM) basati sul web per consentire l’accesso con le credenziali aziendali ad applicazioni Software-as-a-Service (SaaS) come Zoom o Microsoft Office 365 direttamente via Internet. Questi servizi si basano su un modello Zero Trust in cui la chiave per l’accesso è data dall’identità dell’utente, non dalla posizione della rete.

Alcune aziende sono andate oltre, applicando il modello Zero Trust anche alle reti interne. In pratica, vengono distribuiti dei dispositivi che creano un perimetro definito dal software tra le applicazioni e gli utenti che vogliono accedervi. Invece di servirsi delle VPN per accedere alla rete, questi dispositivi proxy, come il proxy di applicazione di Azure AD o la soluzione Secure Access Cloud di Symantec, concedono l’accesso solo all’applicazione pubblicata. Siccome il traffico viene indirizzato tramite il servizio IAM, la sessione utente è sottoposta a controlli degli accessi più rigorosi per verificare l’integrità del dispositivo, il rischio della sessione o il tipo di applicazione client utilizzata. Ma, anche in questo caso, tutto dipende sempre dal sistema di identità sottostante. Ci sono attacchi in cui gli autori riescono a eludere i controlli IAM senza problemi e infiltrarsi nella rete senza essere notati.

Proteggere il sistema all’origine

Il sistema di identità va protetto sempre, a prescindere dal mezzo utilizzato per accedere alla rete aziendale. Mentre le VPN dipendono da un sistema di gestione delle identità locale, per i servizi IAM cloud entrano in gioco tanti fattori, quali l’integrità del dispositivo, la posizione e gli schemi di comportamento. Tutto sommato, questi servizi dipendono comunque dalle credenziali degli account utente.

La maggior parte delle aziende applica un modello di identità ibrido per poter utilizzare l’identità locale nei servizi accessibili via Internet, quindi il sistema di identità diventa la chiave di volta che regge l’intera architettura. Per il 90% delle aziende, questo sistema è Active Directory.

In altre parole, qualsiasi strategia Zero Trust, ovvero qualsiasi architettura di sicurezza, dipende da AD. Ma come possiamo assicurare l’integrità di AD e dei dati al suo interno? In tre modi: riducendo al minimo la superficie di attacco, monitorando i comportamenti sospetti in AD e predisponendo un piano di ripristino.

Ridurre al minimo la superficie di attacco

• In primo luogo, occorre adottare un modello con privilegi di amministrazione minimi ed eliminare gli amministratori superflui. Forse potrà sembrare un suggerimento datato, ma è tuttora valido.
• Per bloccare l’accesso amministrativo al servizio AD si possono usare vari livelli di amministrazione e postazioni di accesso con privilegi (PAW).
• Bisogna anche proteggere i controller di dominio di AD dagli attacchi, applicando le impostazioni e le policy consigliate.
• Un’altra mossa consiste nell’analisi periodica dell’ambiente di AD per rilevare errori di configurazione, voluti o accidentali, che possono esporre la foresta di Active Directory al rischio di usi impropri o attacchi.

Monitorare i comportamenti sospetti in AD e annullare le modifiche non autorizzate

• In secondo luogo, bisogna abilitare meccanismi di verifica, di base e avanzati, per rilevare ogni minima modifica in AD. Inoltre, è utile avere una console centralizzata per monitorare tutti gli eventi principali da un’unica interfaccia.
• Occorre monitorare i cambiamenti apportati agli oggetti e agli attributi nella directory. Il registro degli eventi di sicurezza può mostrare quasi tutte (ma non proprio tutte) le modifiche eseguite ad Active Directory. Nonostante tutto esistono alcuni tipi di attacco, come ad esempio DCShadow che sono in grado di bypassarlo. L’unico modo per assicurarsi di avere sotto controllo ogni attività della foresta di Active Directory è monitorare le modifiche condivise attraverso i controller di dominio.

Pianificare la risposta “quando” (e non “se”) si verifica una violazione

• È importante non solo tenere traccia delle modifiche indesiderate, ma anche essere in grado di annullare tali modifiche subito e in automatico per poter contare su una soluzione completa, altrimenti, è una soluzione a metà.
• Bisogna poi prepararsi per far fronte ad attacchi su larga scala e applicare misure di crittografia all’intera rete, AD incluso. Tutto ciò richiede una strategia di ripristino solida e automatizzata, con backup offline di tutti i componenti dell’infrastruttura.

Secondo l’Identity Defined Security Alliance, negli anni 2021-2022 sono stati violati i sistemi di identità dell’84% delle aziende in tutto il mondo. E il 96% di esse ha dichiarato che avrebbero potuto evitare o minimizzare le conseguenze se avessero adottato misure di sicurezza incentrate sul sistema di identità.

Per quanto esistano infiniti modi per distribuire una rete Zero Trust, i principi di base devono ruotare sempre attorno all’identità utente. Comunque avvenga l’accesso alla rete, dalle VPN ai portali web, il sistema di identità è la chiave di volta. Proteggerne l’integrità è fondamentale per la sicurezza di qualsiasi azienda.

Informazioni su Semperis
Per i team incaricati della protezione degli ambienti ibridi e multicloud, Semperis garantisce l’integrità e la disponibilità dei servizi directory aziendali cruciali in ogni fase della cyber kill chain, con tempi di ripristino ridotti del 90%. Studiata appositamente per difendere gli ambienti ibridi di Active Directory, la tecnologia brevettata di Semperis protegge oltre 50 milioni di identità da attacchi informatici, violazioni di dati ed errori operativi. Le più importanti organizzazioni a livello mondiale si affidano a Semperis per rilevare le vulnerabilità nelle directory, intercettare gli attacchi informatici in corso e ripristinare in tempi rapidi l’ambiente in caso di ransomware e altre minacce all’integrità dei dati. Semperis ha sede a Hoboken, in New Jersey, ma lavora a livello internazionale: il suo team di ricerca e sviluppo opera in diverse sedi tra Stati Uniti, Canada e Israele.
Oltre a organizzare la pluripremiata conferenza e la serie di podcast Hybrid Identity Protection (www.hipconf.com), Semperis ha creato Purple Knight (www.purple-knight.com), lo strumento gratuito per valutare la sicurezza di Active Directory. L’azienda ha ricevuto i più importanti riconoscimenti del settore, recentemente è stata inserita da Inc. Magazine nella classifica 2022 dei migliori posti di lavoro e il Finalcial Times l’ha confermata come l’azienda americana in più rapida crescita nel settore della sicurezza informatica. Semperis è parte di Microsoft Enterprise Cloud Alliance e partner di Co-Sell.

 

Facebook
Twitter
RSS Feed

Last modified: Del 21 Maggio 2023 alle ore 11:03

Previous Story:
“L’Italia del cambiamento”,gli edifici intelligenti per la crescita e la modernizzazione del paese
Next Story:
Startup, PMI italiane pronte a investire in Israele

About the Author /

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

CAPTCHA ImageChange Image

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Traduci
Facebook
Twitter
Instagram
YouTube