La sicurezza informatica moderna si basa su una difesa a strati. Ogni livello supporta gli altri e presenta ulteriori ostacoli agli attori delle minacce. Dalla gestione delle patch ai firewall perimetrali, ogni livello rende più difficile per gli aggressori compromettere la rete. L'autenticazione a più fattori (MFA) è uno di questi livelli. L'MFA ha diverse caratteristiche, ma tutte prevedono una combinazione di:
- Qualcosa di cui si dispone, come uno smartphone o un gettone rigido
- Qualcosa che si conosce, ad esempio una password
- Qualcosa che siete, come un'impronta digitale o altri dati biometrici
Data la prevalenza di phishing, password deboli e credenziali rubate che vengono acquistate e vendute online, l'implementazione dell'MFA per Active Directory può fornire una difesa aggiuntiva contro gli attacchi.
Lettura correlata: Cos'è la sicurezza di Active Directory?
Come funziona l'MFA per Active Directory?
L'MFA eleva le protezioni contro gli attacchi basati sull'identità. Per Active Directory, che è il cuore della vostra infrastruttura di identità, l'MFA fornisce un livello di garanzia che gli utenti legittimi siano quelli che effettuano il login e accedono alle vostre risorse IT.
Proteggere l'ambiente Active Directory on premises con l'MFA è una sfida. Active Directory fornisce un supporto nativo per l'MFA solo attraverso l'autenticazione con smartcard, da non confondere con l'MFA per Active Directory Federation Services (AD FS), che fornisce un secondo fattore di autenticazione per le applicazioni integrate in AD FS.
In assenza di un supporto MFA diretto per Active Directory, le organizzazioni possono integrare soluzioni MFA, come Windows Hello for Business o Cisco Duo, negli endpoint dei loro PC o dei server amministrativi (cioè di salto). In questo modo è possibile rafforzare l'accesso a questi punti di accesso tipici di Active Directory per i login interattivi o RDP. Sono disponibili altri strumenti per analizzare le richieste di autenticazione di Active Directory e applicare l'MFA come stabilito dai criteri dell'organizzazione.
Come si può implementare l'MFA per Active Directory in ambienti con identità ibride?
A causa dell'adozione del cloud, molte aziende hanno bisogno di un approccio MFA che comprenda sia l'ambiente Active Directory on-premises che i fornitori di servizi di identità cloud, come Entra ID. Per supportare questo tipo di ambiente ibrido, le organizzazioni possono utilizzare Microsoft Entra Connect (ex Azure AD Connect) per sincronizzare le identità tra Active Directory e il tenant Entra.
All'interno di Entra ID, i valori predefiniti di sicurezza sono forniti agli affittuari di Entra, indipendentemente dal fatto che abbiano o meno una licenza premium. Nella versione gratuita di Entra ID, tuttavia, manca la funzione di "accesso condizionato", che consente di configurare regole con azioni per specifici scenari di accesso.
I criteri di accesso condizionato offrono un approccio più granulare al controllo dell'accesso in base a condizioni specificate dall'utente, come la richiesta di MFA per chiunque acceda a un servizio quando non si trova su una rete aziendale. Questa funzione è inclusa nei piani premium. Allo stesso modo, tutti i piani Microsoft 365 consentono alle organizzazioni di implementare l'MFA utilizzando le impostazioni di sicurezza predefinite. Microsoft 365 for Business e altri piani dispongono di funzionalità aggiuntive.
Sia Microsoft 365 che Office 365 supportano l'MFA attraverso i seguenti metodi:
- Un messaggio di testo, inviato al telefono dell'utente, che richiede l'inserimento di un codice di verifica.
- Una chiamata vocale
- Autenticatore Microsoft
Come Microsoft 365, Entra ID supporta diverse forme di verifica:
- Autenticatore Microsoft
- Authenticator Lite (in Outlook)
- Windows Hello per le aziende
- Chiavi di sicurezza FIDO2
- Gettoni hardware OATH
- Gettoni del software OATH
- SMS
- Una chiamata vocale
Le applicazioni che si autenticano direttamente con Entra ID e che dispongono di un'autenticazione moderna, come OpenID Connect, possono utilizzare criteri di accesso condizionato. Tuttavia, le applicazioni legacy e on-premises che non si autenticano direttamente con Entra ID devono essere integrate utilizzando Entra ID Application proxy o network policy services (NPS).
Nel settembre 2022, Microsoft ha comunicato ai clienti l'abbandono di Azure MFA Server. A partire dal 30 settembre 2024, le implementazioni di Azure MFA Server non saranno più in grado di gestire le richieste MFA. Per evitare errori di autenticazione, le organizzazioni devono migrare i dati di autenticazione degli utenti al servizio Entra ID MFA basato sul cloud utilizzando l'utilità di migrazione fornita da Microsoft.
E l'autenticazione adattiva?
Le protezioni MFA si stanno evolvendo per fornire una sicurezza più granulare e adeguata. L'autenticazione adattiva riprende l'approccio tradizionale dell'MFA e aggiunge un ulteriore livello basato sul rilevamento dei rischi.
In questo modello, l'utente è costretto a sottoporsi a un livello di autenticazione superiore in base a criteri dinamici. Ad esempio, un utente potrebbe avere caratteristiche specifiche, come un ruolo, un tipo di dispositivo o una posizione geografica. Se l'utente tenta improvvisamente di accedere da un dispositivo o da un Paese diverso, il rischio associato al tentativo può essere utilizzato per giustificare una richiesta di MFA. Al contrario, questo modello può diminuire l'attrito degli utenti, riducendo il numero di volte in cui questi devono ripetere l'autenticazione quando operano secondo il loro comportamento normale.
Entra ID Protection (ex Azure Identity Protection) è un servizio che esegue l'autenticazione adattiva in base al rischio dell'utente e dell'accesso. Se viene rilevato un rischio, le azioni di rimedio comprendono l'obbligo per gli utenti di reimpostare le password o il blocco dell'accesso fino all'intervento di un amministratore. L'autenticazione adattiva costituisce un'ulteriore barriera contro le minacce che tentano di penetrare nel vostro ambiente.
L'MFA per Active Directory è la migliore difesa?
L'implementazione dell'MFA per Active Directory può contribuire a ridurre la minaccia rappresentata dal furto di credenziali. Quando si inizia a implementare l'MFA, il punto di partenza più ovvio sono gli account con diritti di accesso privilegiati. Questi account sono i più interessanti per gli aggressori, perché possono essere utilizzati per ampliare la loro posizione e persistere nell'ambiente senza essere rilevati.
Altri account potrebbero avere valore in virtù del ruolo del dipendente nell'azienda. Ad esempio, la violazione dell'identità di un membro chiave del team di ingegneria del software o del responsabile del reparto risorse umane può offrire agli aggressori la possibilità di mettere le mani su informazioni preziose.
L'implementazione di funzionalità di sicurezza come l'MFA può aggiungere un'ulteriore barriera tra gli aggressori e il vostro ambiente. Ma da sola l'MFA non è una difesa sufficiente.
Rafforzare la sicurezza di Active Directory
Per rendere veramente sicure le identità dell'ambiente è necessario un approccio completo. Per proteggere Active Directory:
- Identificare e correggere le vulnerabilità.
- Identificare e correggere le potenziali configurazioni errate.
- Monitorare Active Directory (e servizi come Okta o Entra ID, in ambienti ibridi) alla ricerca di attività sospette.
- Se possibile, automatizzate la correzione o il rollback delle modifiche rischiose.
- Testare e mantenere un backup di Active Directory e delle risorse critiche di identità, separato dai backup del sistema operativo o dei dati.
- Includete un piano di ripristino specifico per Active Directory come parte della vostra strategia di disaster recovery.
Altri strumenti, tra cui endpoint, MFA e soluzioni basate su log o eventi, possono essere valide aggiunte alla vostra strategia di rilevamento e risposta alle minacce all'identità (ITDR). Una difesa stratificata che si concentri sulla protezione di Active Directory e di altri sistemi e servizi critici è il modo migliore per rafforzare la resilienza operativa dell'organizzazione.