Fino ad oggi gli hacker hanno colpito con successo Active Directory (AD), che per loro rappresenta la chiave di accesso per sbloccare il resto della rete. AD fornisce servizi di directory che consentono agli amministratori di gestire le autorizzazioni e controllare l’accesso alle risorse in tutta la rete, per cui è uno strumento essenziale per le operazioni quotidiane di un’organizzazione, ma è anche un obiettivo per i malintenzionati. Dal momento che gestisce le autorizzazioni e le autenticazioni, AD deve essere facilmente accessibile alla base di utenti. Questo fattore, però, lo rende notoriamente difficile da proteggere. Una protezione adeguata di Active Directory consente di colmare le lacune di sicurezza non rilevate in precedenza, aumentando la capacità di difesa dell’organizzazione.
Il ruolo di Active Directory nelle operazioni di rete
Il ruolo di AD nelle operazioni di rete è così ampio che la maggior parte dei clienti (comprensibilmente) non dispone delle conoscenze necessarie per risolvere i problemi di sicurezza di AD. Non si tratta solo di correggere le vulnerabilità note o le configurazioni errate. Qualsiasi impostazione esposta o parametro non impostato correttamente può consentire a un hacker di infiltrarsi nel sistema. La protezione di AD richiede la visibilità delle esposizioni, il rilevamento degli attacchi in tempo reale, la gestione dei criteri di sicurezza e informazioni sui problemi di conformità dovuti a una non completa aderenza degli utenti a tali criteri. In altre situazioni più dinamiche, come le fusioni e le acquisizioni, importanti modifiche dell’ambiente possono rendere la gestione notevolmente più complessa.
Comprendere il valore di Active Directory per gli hacker
Per la maggior parte delle aziende, AD è l’archivio centrale per tutti gli account e i sistemi della rete ed è responsabile di tutte le autenticazioni e le autorizzazioni che consentono l’accesso alla rete. Si tratta di un obiettivo ambito per gli hacker, poiché la compromissione di AD può offrire loro l’accesso a tutte le risorse di rete, nonché ai diritti e ai privilegi necessari per apportare modifiche che rendono più difficile individuarli e rimuoverli dall’ambiente.
Purtroppo, molti strumenti open source e gratuiti, come Bloodhound e Mimikatz, rendono pericolosamente semplici le operazioni di attacco e la compromissione di AD. Gli hacker utilizzano questi strumenti per identificare gli account da cui ottenere diritti amministrativi e per lanciare attacchi mediante i quali ampliare i propri privilegi senza lasciare tracce. AD può essere il tallone d’Achille della strategia di preparazione agli attacchi ransomware di un’azienda. Quasi tutti i principali attacchi ransomware includono una fase in cui l’hacker sfrutta AD per ottenere informazioni, privilegi o entrambi. Se non è adeguatamente protetto, AD può diventare rapidamente il miglior alleato di un avversario.
Adottare le misure necessarie per proteggere Active Directory
Vi sono alcune best practice che le aziende dovrebbero seguire, tra cui rafforzare la protezione di AD, ridurre al minimo il numero di account con privilegi, utilizzare “jump box” e attenersi alle indicazioni tecniche per un’implementazione sicura. Da soli, però, questi accorgimenti non sono sufficienti per garantire la sicurezza di AD. Le organizzazioni responsabili devono implementare soluzioni di sicurezza delle identità che forniscano visibilità sulle credenziali esposte, le quali creano potenziali percorsi di attacco e consentono l’accesso ad AD. Anche la visibilità delle esposizioni e delle vulnerabilità di AD è essenziale.
Nuovi strumenti per proteggere Active Directory
Sono disponibili nuovi strumenti in grado di aiutare le organizzazioni a proteggere AD. Le soluzioni per il rilevamento e la risposta alle minacce (ITDR) sono oggi considerate un elemento essenziale della protezione di AD, in quanto possono aiutare a difendersi dagli hacker che prendono di mira l’infrastruttura AD all’interno della rete. Per un rilevamento delle minacce più rapido e completo e per migliorare i tempi di indagine e di risposta, le aziende devono individuare gli hacker che prendono di mira le credenziali, i diritti nel cloud e Active Directory, e in questo senso l’IDR può essere di aiuto. Recentemente Peter Firstbrook, vicepresidente di Gartner Research, ha dichiarato che “Identity Threat Detection and Response è una funzionalità fondamentale per qualsiasi soluzione che si definisca XDR”, enfatizzando ulteriormente il valore di ITDR.
Rendere la sicurezza di Active Directory una priorità
Persino Microsoft stima che 95 milioni di account AD vengano attaccati ogni giorno, e tale numero è quasi certamente in aumento. Gli hacker sanno che, per via della sua unicità, AD è uno strumento molto prezioso e allo stesso tempo difficile da proteggere, per cui lo considerano un obiettivo prioritario. In ultima analisi, i difensori non possono proteggere i propri servizi di directory se non comprendono i rischi o non sanno con certezza quando queste risorse sono sotto attacco. L’ITDR fornisce una visibilità continua su esposizioni, configurazioni errate e credenziali che gli hacker cercano di sfruttare durante un attacco basato sulle identità. Gli avversari continueranno a prendere di mira AD, ma le organizzazioni di oggi hanno a disposizione strumenti e risorse in grado di individuare e bloccare rapidamente gli hacker che cercano di sfruttare le credenziali e Active Directory.