In passato ho affrontato il tema dei privilegi eccessivi di Active Directory nell'ambito di altri argomenti più ampi. Ma di recente ho pensato che fosse il momento giusto per dedicargli un intero articolo. Non si tratta di un pensiero casuale da parte mia. Basta osservare alcuni fatti per capire perché dovreste rivedere presto, se non oggi, i privilegi di AD nella vostra organizzazione:
- I privilegi eccessivi di Active Directory esistono nella maggior parte delle aziende, ancora oggi.
- È molto più probabile che si verifichino errori (che possono avere costi devastanti) con un numero inutilmente elevato di utenti che possono apportare modifiche che non dovrebbero essere in grado di fare.
- Come è noto, i cyberattacchi incentrati sull'AD utilizzano l'escalation dei privilegi come metodo di base e, con molti utenti privilegiati nel sistema, gli aggressori possono letteralmente rimanere invisibili, anche se si cerca di monitorare le attività dell'AD.
- Non volete accorgervi di avere un dipendente scontento e troppo privilegiato (soprattutto quando è troppo tardi). Non è così raro come si pensa. Il DBIR 2016 di Verizon riporta che quasi l'8% delle violazioni di dati aziendali proviene da fonti interne intenzionali (dipendenti o ex dipendenti malintenzionati).
E ora sapete perché ho voluto farne l'argomento del mio post.
Se tutti sanno che è un male, perché l'eccesso di privilegi di Active Directory è così comune?
Capita che determinati dipendenti debbano svolgere compiti che richiedono maggiori privilegi. È normale che gli amministratori permettano questi privilegi, ma qualcuno si ricorda di rimuovere i privilegi aggiuntivi in seguito? Nella maggior parte dei casi, no. È importante ricordare che è probabile che i dipendenti facciano notare che hanno bisogno di un privilegio che non hanno, ma non è probabile che si lamentino di avere un privilegio che non usano. In questo modo, un privilegio eccessivo può davvero accumularsi nel tempo.
Per quanto riguarda i gruppi privilegiati, i ruoli più privilegiati in AD sono di solito gli amministratori aziendali, gli amministratori di dominio e gli amministratori. Esistono poi altri ruoli che comportano privilegi che a volte vengono assegnati automaticamente ai dipendenti e quasi mai rivisti. In primo luogo, è importante notare che non tutte le persone assegnate a gruppi specifici hanno bisogno di tutti i privilegi del loro gruppo. In secondo luogo, pensate all'ultima volta che avete controllato il numero di persone nella vostra organizzazione che avevano account privilegiati. Probabilmente è passato un po' di tempo e forse l'elenco è già pieno di persone.
Un'altra ragione, che potrebbe essere il fattore chiave: sebbene molti di voi sappiano perché i privilegi eccessivi sono rischiosi, iniziare a rivedere tutti i privilegi dell'organizzazione può essere un compito scoraggiante. Può richiedere molto tempo e risorse, e voi non ne avete da parte. È una cosa importante da fare, ma raramente sembra essere urgente, quindi in molte organizzazioni viene etichettata come una priorità minore.
Cosa può succedere se non si fa nulla
al riguardo?
Abbiamo menzionato la possibilità di imbattersi in uno scenario di dipendenti scontenti. È facile capire perché vogliate assicurarvi che i vostri dati siano più sicuri e che tutti i vostri dipendenti abbiano SOLO i privilegi necessari per lavorare in questo momento (privilegio minimo). Non si può mai sapere chi dei propri dipendenti diventerà disonesto, quindi limitare l'accesso di tutti al minimo indispensabile è un ottimo modo per evitare sorprese.
Naturalmente, non tutti i problemi hanno un'origine dolosa. Siamo tutti esseri umani e a volte commettiamo degli errori. Sebbene sia risaputo che Active Directory è un sistema molto stabile, tutti abbiamo sentito almeno una volta un terribile "oops-moment". Rimuovendo i privilegi non necessari, è possibile ridurre al minimo la possibilità di questi "oops-moments" che potrebbero altrimenti verificarsi.
Abbiamo anche menzionato la possibilità di un attacco informatico. Non è esattamente una novità che Active Directory sia sempre più preso di mira da hacker esterni perché è una porta favolosa attraverso la quale un utente malintenzionato può ottenere molte informazioni. Se disponi di account privilegiati più del necessario, se gli hacker dovessero accedere al tuo sistema, saranno più difficili da scoprire. Anche quando si monitora continuamente l'attività in Active Directory, non è necessario trovare un "ago in un pagliaio". Per aumentare la capacità di rilevare gli utenti malintenzionati, è possibile ridurre al minimo i privilegi il più possibile. E per aggiungere un altro motivo, immagina che uno dei tuoi utenti faccia inavvertitamente clic o scarichi qualcosa che non dovrebbe e finisca per lanciare un codice dannoso. Se l'utente ha effettuato l'accesso con privilegi di amministratore, il virus può accedere a una grande quantità di dati nell'organizzazione. Se il malware viene eseguito con un account non privilegiato, almeno all'inizio accederà solo ai dati di un singolo utente.
Come risolvere responsabilmente l'eccesso di privilegi?
Ci sono molte cose che si possono fare per prevenire l'eccesso di privilegi, ed è importante trovare il giusto equilibrio per il vostro team e la vostra organizzazione. L'implementazione dei criteri più rigidi sembra un modo allettante per essere più prudenti, ma può anche aggiungere un carico di lavoro pesante al team IT. Vediamo qui alcune delle opzioni più gestibili.
È possibile implementare controlli di accesso granulari che applicano il minimo privilegio. In effetti, Microsoft ha visto privilegi eccessivi in molti dei suoi clienti e ha deciso di pubblicare una guida per aiutarvi a implementare modelli amministrativi a minimo privilegio.
Inoltre, quando aggiungete dei privilegi, assicuratevi che siano temporanei per i dipendenti che li richiedono (limite di una settimana o un mese). Nel peggiore dei casi, i dipendenti chiederanno di nuovo gli stessi privilegi in futuro. Nella migliore delle ipotesi, potete risparmiare alla vostra organizzazione un inutile disastro.
Poiché il processo di eliminazione dei privilegi eccessivi nell'organizzazione può sembrare scoraggiante, cercate di dividerlo e conquistarlo. Iniziate a occuparvi degli account con privilegi che comportano un rischio maggiore. È semplice come il principio di Pareto (o regola dell'80/20). A volte è possibile eliminare l'80% del rischio affrontando il 20% delle cause.
L'elenco dei metodi possibili continua, fino all'approccio più radicale che prevede l'assenza di account AD privilegiati nell'organizzazione. Questo viene mantenuto consentendo agli amministratori di accedere a host amministrativi sicuri, dove potranno eseguire tutte le attività di amministrazione. Il motivo per cui lo definisco un approccio radicale è che, come saprete, aumenterà la sicurezza, ma renderà molto più difficile il compito di mantenere un funzionamento regolare. Nelle organizzazioni di oggi, il carico di lavoro dei professionisti AD continua a crescere. Inoltre, le risorse per la gestione delle esigenze AD delle organizzazioni non crescono necessariamente con la stessa rapidità con cui dovrebbero. Pertanto, l'aggiunta di questo strato di ostacoli può sembrare poco produttiva.
E quando si cerca un piano di riserva...
Ci sono altri fattori che possono causare un disastro AD, oltre al problema dell'eccesso di privilegi. Probabilmente si pensa ad aggiornamenti di AD, ad attacchi mirati con intento malevolo o addirittura a disastri naturali. Quindi è sempre più sicuro avere una solida soluzione di automazione del disaster recovery di Active Directory nella propria "cassetta degli attrezzi". Queste tecnologie di automazione/orchestrazione non fanno distinzione tra le cause del disastro: Non importa quale sia la causa che ha portato l'organizzazione a un guasto dell'AD, importa solo che il ripristino sia rapido e semplice. Un buon esempio di soluzione che potete sfruttare è Semperis Active Directory Forest Recovery, che riduce al minimo i tempi di ripristino e semplifica in modo significativo il processo di uscita dai disastri AD.
È inoltre necessario disporre SEMPRE di un buon backup di Active Directory su cui fare affidamento. Se non disponete ancora di una tecnologia AD DR, potete comunque migliorare i vostri backup di Active Directory. Ciò fornirà una rete di sicurezza indispensabile per qualsiasi scenario di disastro. Potete guardare questo tutorial di 20 minuti sulle best practice di backup di AD per verificare se la vostra attuale strategia di backup risponde a tutte le vostre esigenze (alzate il volume degli altoparlanti).
Tutto ciò che ho menzionato qui sui vantaggi della riduzione dei privilegi per gli utenti vale anche per i server, le workstation e le applicazioni, per ragioni simili. La cosa importante da ricordare è che, sebbene il processo per affrontare il problema dell'eccesso di privilegi sia lungo, esistono best practice per aiutarvi a iniziare e tecnologie per proteggere l'AD, prima, durante e dopo aver completato il processo.