Protezione di Active Directory 101

La maggior parte delle aziende oggi si affida a Microsoft Active Directory (AD) per mantenere in esecuzione le proprie operazioni. Ma cos'è esattamente l'AD?

AD è, in sostanza, il gateway che connette i dipendenti alle loro risorse su una rete aziendale (come e-mail o condivisioni di file di rete). Viene utilizzato dagli amministratori per gestire i permessi di ciascun utente, autenticandoli all'accesso e determinando a quali risorse possono accedere.

AD ha molti vantaggi. È facile da usare, esiste da molti anni ed è estremamente affidabile. Eppure molte aziende semplicemente non conoscono i rischi per la sicurezza che ne derivano.

Una breve storia dell'ANNUNCIO

Prima del lancio di AD nel 2000, i server di directory IT di Microsoft non erano scalabili per supportare adeguatamente le esigenze delle medie e grandi imprese ed erano necessari così tanti server. Ad esempio, un'azienda di circa 1.000 persone potrebbe aver bisogno di 200 server diversi.

Questo è stato un grande punto dolente per le aziende. Non solo tutti questi singoli server erano difficili da gestire, ciascuno dei quali richiedeva credenziali di accesso univoche, ma rendeva anche difficili attività come la condivisione di file poiché non potevano comunicare facilmente tra loro.

AD ha risolto questa sfida. Integrandosi facilmente con le applicazioni e fornendo funzionalità di single sign-on in un intero ambiente aziendale, ha trasformato l'esperienza di rete, diventando rapidamente onnipresente.

La sua prevalenza non è cambiata in due decenni. Piuttosto che svanire, questa tecnologia vecchia di quasi un quarto di secolo è ora più importante che mai, fungendo da base per la maggior parte dei sistemi di identità cloud utilizzati dalle aziende a livello globale.

Tuttavia, sebbene l'AD sia ancora essenziale per la maggior parte delle organizzazioni in tutto il mondo, è diventata anche una responsabilità per la sicurezza.

Perché l'AD è un problema oggi

AD è vulnerabile per diversi motivi.

Innanzitutto, non è stato progettato per affrontare complesse minacce alla sicurezza. È stato rilasciato in un'era precedente al ransomware, a sofisticati cyber-abiti sostenuti dagli stati nazionali e all'adozione diffusa del cloud computing. È una tecnologia di un'altra epoca e quindi non può affrontare efficacemente molte delle minacce avanzate che dobbiamo affrontare oggi.

In secondo luogo, AD è stato progettato per essere aperto per facilitare la facilità d'uso. Si fida di quegli utenti che hanno effettuato l'accesso a una rete per dare la priorità a un'esperienza utente senza interruzioni. Eppure questa apertura oggi è una sfida difficile per i difensori, poiché presenta pochi ostacoli agli infiltrati di successo.

In terzo luogo, la sua età significa che, in molti casi, ha ospitato oltre 20 anni di decisioni inadeguate sulla sicurezza originariamente prese per convenienza che si sono accumulate per creare un bersaglio enorme che anche gli attaccanti dilettanti farebbero fatica a mancare.

È per questo motivo che circa il 90% di tutte le aziende è esposto a violazioni della sicurezza a causa di vulnerabilità di AD e nove su 10 di tutti gli attacchi informatici coinvolgono in qualche modo AD.

Tali statistiche sono davvero spaventose, così come la semplicità dei metodi di attacco utilizzati per prendere di mira AD. Vediamo il processo passo dopo passo...

1. Un utente malintenzionato comprometterà un PC tramite phishing : un utente malintenzionato invierà un messaggio o un'e-mail fraudolenta progettata per indurre il proprio obiettivo a rivelare informazioni riservate, come le credenziali di accesso per AD.
2. Quindi lavorano per ottenere i privilegi su quella macchina locale - Gli aggressori possono elevare i propri privilegi sulla macchina in vari modi, sfruttando le vulnerabilità del dispositivo.
   Usano AD per trovare altri dispositivi – Gli aggressori utilizzano quindi AD per trovare altri computer, mappando tutte le macchine collegate e utilizzate all'interno di quella rete.
3. Successivamente, gli aggressori puntano su più dispositivi : da qui, gli aggressori si spostano su una rete effettuando ricognizioni difficili da rilevare, attaccando molte macchine per trovarne una con diritti di amministratore di AD.
4. E infine l'accesso sicuro a un account privilegiato : alla fine ottengono l'accesso alle credenziali di un account privilegiato o amministratore. Una volta che lo hanno, hanno il pieno controllo di AD e tutto ciò che dipende da esso.

Un esempio di attacco AD popolare è il cosiddetto attacco Golden Ticket. Conosciamo tutti il ​​biglietto d'oro nel romanzo di Roald Dahl Charlie e la fabbrica di cioccolato. Nel mondo digitale, i biglietti d'oro forniscono anche l'accesso all'ambiente IT della tua organizzazione. Un attacco Golden Ticket offre agli attori delle minacce un accesso illimitato alle risorse di rete e la possibilità di risiedere in rete a tempo indeterminato, mascherati da utenti con credenziali a livello di amministratore.

Delineare la minaccia

AD non è semplicemente un problema perché è facile da attaccare. Allo stesso modo, le ricompense per gli attaccanti sono significative.

L'AD possiede essenzialmente le chiavi del tuo regno. Immagina una cassaforte in cui conservi le chiavi fisiche del tuo ufficio: AD è proprio come quella cassaforte. È l'hub centrale di accesso ai tuoi sistemi critici: computer, applicazioni software e altre risorse.

È pericoloso perché è sia semplice che redditizio. Nel 2021, una società ha pagato un riscatto fino a 40 milioni di dollari per riottenere l'accesso alla propria rete.

Allo stesso tempo, le barriere all'ingresso degli attaccanti si stanno abbassando. Grazie a un mercato in forte espansione del ransomware-as-a-service (RaaS), non è più necessario essere tecnicamente esperti. Invece, acquistano semplicemente strumenti e servizi da coloro che lo sono.

È un ciclo devastante. Le ricompense per gli attaccanti aumentano mentre le conoscenze tecniche necessarie continuano a diminuire, ampliando esponenzialmente il panorama degli attacchi.

È quindi facile capire perché uno studio sul ransomware del 2021 di International Data Corporation ha recentemente rivelato che più di un terzo (37%) delle organizzazioni globali è stato vittima di un attacco ransomware nel 2021. In effetti, le probabilità sono decisamente orientate a favore degli aggressori .

Come possono rispondere le aziende?

Le aziende devono rispondere per invertire questa tendenza crescente.

Per ridurre al minimo le tue vulnerabilità, devi prima sapere dove sei vulnerabile. Per molte aziende, cercare di acquisire questa comprensione può sembrare opprimente, specialmente per chi ha poca o nessuna conoscenza della sicurezza informatica. Tuttavia, stai tranquillo, ci sono soluzioni e supporto disponibili per aiutarti.

Purple Knight è un buon punto di partenza. Uno strumento gratuito di valutazione della sicurezza di Active Directory creato e gestito da un gruppo leader di esperti di identità Microsoft, può aiutarti a individuare i punti deboli della tua Active Directory prima che lo facciano gli aggressori, evidenziando le vulnerabilità comuni che dovrebbero essere affrontate.

Una gamma completa di potenziali vulnerabilità è elencata nell'ultimo rapporto di Purple Knight. Ma per cominciare, alcuni esempi comuni includono:

• Deriva della configurazione: la deriva della configurazione è il risultato di anni di pratiche AD inadeguate. Le app devono essere configurate in AD per funzionare, ma questa operazione richiede tempo. Una soluzione rapida a questo problema consiste nel concedere troppi diritti amministrativi all'applicazione, cosa che le aziende hanno fatto storicamente, desiderando che il loro nuovo strumento brillante sia attivo e funzionante il prima possibile. Di conseguenza, i conti amministrativi iniziano ad accumularsi in AD. Eppure basta solo uno di questi per essere attaccato perché ne derivino conseguenze catastrofiche.
  
• Account amministratore legacy: gli account amministratore legacy pongono problemi simili. Sono scheletri nell'armadio. Se un utente malintenzionato riesce ad accedere a questi account privilegiati, torneranno a perseguitarti.
  
• Password deboli o comuni : gli aggressori cercheranno comunque di accedere a più account provando una gamma di password comunemente utilizzate. Questo è noto come password spraying, una tecnica che può essere facilmente contrastata eliminando l'uso di password deboli o comuni nella rete.

Naturalmente, identificare e affrontare queste vulnerabilità è solo una piccola parte del puzzle. Per combattere efficacemente la crescente minaccia della criminalità informatica a lungo termine, le organizzazioni devono adottare attivamente una serie di best practice.

Questi possono includere qualsiasi cosa, dallo svolgimento di regolari audit di sicurezza interna e apportare concisi miglioramenti operativi alla fornitura di formazione regolare del personale sul phishing e all'investimento in processi di ripristino per garantire un rapido rimbalzo in caso di attacco.

Per il supporto o la guida nello sviluppo di una solida difesa su tutta la linea, vale la pena consultare professionisti dedicati specializzati nella sicurezza AD per comprendere i cambiamenti fondamentali che è necessario apportare. Gli attacchi ad Active Directory non sono più una questione di se, ma di quando. Se le aziende affrontano le loro vulnerabilità critiche di AD, hanno una possibilità di lotta. In caso contrario, continueranno a essere anatre sedute preparate ad affrontare i peggiori risultati possibili.