[N.d.T.: questo articolo è stato pubblicato dal CEO e fondatore di TAG Ed Amoroso].
Chiunque osservi la sicurezza informatica del settore pubblico riconoscerà le gravi sfide che le agenzie pubbliche statunitensi hanno dovuto affrontare negli ultimi decenni per quanto riguarda la protezione delle tecnologie dell'informazione (IT). Incidenti gravi, come la violazione dei dati del 2015 presso l'Office of Personnel Management (OPM) degli Stati Uniti, nonché violazioni di agenzie importanti da parte di Stati nazionali, come il Dipartimento di Stato degli Stati Uniti, illustrano la sfida continua per i funzionari del settore pubblico.
In che modo Active Directory influisce sulla sicurezza informatica del settore pubblico?
Non dovrebbe sorprendere che le agenzie del settore pubblico siano soggette alle stesse vulnerabilità di cybersecurity di tutti gli altri settori. L'appartenenza al settore pubblico non sembra offrire grandi vantaggi in termini di prevenzione delle minacce o di protezione informatica. A tal fine, è ragionevole supporre che una delle vulnerabilità di cybersecurity più comuni e intense del settore pubblico riguardi le debolezze di Microsoft Active Directory (AD).
AD è la base per la gestione delle identità e il controllo degli accessi nella maggior parte degli enti pubblici.
- L'integrità dell'AD è fondamentale per garantire che solo il personale autorizzato possa accedere a informazioni governative sensibili, sistemi critici e risorse classificate.
- Una violazione della sicurezza dell'AD può compromettere la sicurezza nazionale, esporre i dati dei cittadini e interrompere i servizi pubblici essenziali.
- Le agenzie del settore pubblico devono rispettare rigorosi mandati di conformità e regolamentazione che richiedono protocolli di sicurezza AD.
- La complessità degli ecosistemi IT governativi e l'aumento degli ambienti di lavoro ibridi accentuano ulteriormente la necessità di misure di sicurezza AD avanzate.
Le organizzazioni del settore pubblico devono quindi dare priorità alla protezione dell'AD per prevenire accessi non autorizzati, garantire la conformità e mantenere la continuità operativa di fronte all'evoluzione delle minacce informatiche.
Ulteriori informazioni sull'hardening di Active Directory
Che cos'è il rilevamento degli attacchi AD?
Il raggiungimento di un livello sufficiente di sicurezza dell'AD dipende da un'ampia gamma di funzioni, controlli e servizi. A loro volta, questi dipendono non solo da buone capacità di sicurezza, ma anche da una corretta amministrazione quotidiana. Detto questo, la nostra osservazione è che l'aspetto più difficile della sicurezza dell'AD per il settore pubblico riguarda il rilevamento e l'attenuazione degli attacchi prima, durante e dopo il loro inizio su un obiettivo reale.
Il rilevamento degli attacchi AD comporta l'identificazione delle attività dannose che hanno come obiettivo i sistemi AD. Tali attività includono:
- Accessi non autorizzati
- Escalation dei privilegi
- Modifiche alle strutture delle directory
Un efficace rilevamento degli attacchi AD si basa sul monitoraggio continuo, sull'uso dell'intelligenza artificiale e sull'analisi comportamentale per segnalare le attività sospette. Queste funzionalità consentono di rilevare rapidamente le anomalie, come un aumento insolito dei privilegi di accesso o le modifiche ai criteri di gruppo.
Dato il ruolo critico dell'AD nella gestione dell'accesso ai sistemi governativi, il rilevamento degli attacchi in tempo reale è essenziale per ridurre al minimo l'impatto dei cyberattacchi. Il rilevamento precoce migliora significativamente gli sforzi di risposta agli incidenti, riducendo al minimo il rischio di gravi violazioni. Identificando proattivamente le minacce, le agenzie del settore pubblico possono:
- Riduzione del tempo di permanenza
- Limitare i movimenti degli aggressori all'interno delle reti
- Intervenire immediatamente per proteggere i dati e i servizi sensibili
Minacce attuali legate all'identità per la sicurezza informatica del settore pubblico
Come suggerito in precedenza, le agenzie del settore pubblico sono un obiettivo a causa del valore delle loro risorse. Gli attacchi ransomware sono tra le minacce più diffuse e spesso sfruttano le vulnerabilità dell'AD per diffondersi nei sistemi governativi e interrompere i servizi.
Questi attacchi mirano spesso a paralizzare le infrastrutture o a estorcere alle agenzie ingenti somme in cambio della decrittazione di dati essenziali. Anche gli attori degli Stati nazionali che prendono di mira le credenziali AD a scopo di spionaggio costituiscono una seria preoccupazione.
Inoltre, molti ambienti IT del settore pubblico sono sistemi legacy, che spesso contengono vulnerabilità non patchate e configurazioni errate che vengono sfruttate dagli aggressori. Il passaggio al lavoro da remoto ha ulteriormente complicato gli sforzi di sicurezza, ampliando la superficie di attacco ed esponendo l'AD a potenziali violazioni. Queste minacce in continua evoluzione sottolineano l'urgente necessità di una solida sicurezza dell'AD negli enti pubblici.
Più in generale, il problema della cybersicurezza del settore pubblico evidenzia le debolezze generali degli ecosistemi di gestione delle identità e degli accessi (IAM) messi in atto per gestire le identità degli utenti e per integrarsi con l'AD. Questa sfida non dovrebbe sorprendere gli addetti ai lavori, poiché l'IAM rappresenta uno degli aspetti più difficili della sicurezza aziendale moderna. La sicurezza del settore pubblico non è diversa.
Mandati federali per la sicurezza informatica del settore pubblico
Negli Stati Uniti esistono diversi mandati federali per l'applicazione di misure di cybersecurity nel settore pubblico, in particolare nell'ambito dell'IAM e dei sistemi correlati, come i servizi di directory. Uno dei principali quadri legislativi è il Federal Information Security Modernization Act (FISMA), che richiede alle agenzie federali di proteggere i sistemi informatici e i dati degli utenti, compresa la gestione delle identità.
In base al FISMA, le agenzie devono implementare salvaguardie come l'autenticazione multifattoriale (MFA) e i controlli di accesso degli utenti per garantire un accesso sicuro alle risorse governative. Inoltre, l'Executive Order 14028 (Improving the Nation's Cybersecurity) ha spinto l'adozione della Zero Trust Architecture (ZTA), imponendo alle agenzie di passare da una sicurezza basata sul perimetro a un approccio più incentrato sull'identità, che presuppone che ogni richiesta di accesso non sia attendibile finché non viene verificata.
I sistemi IAM del settore pubblico sono anche regolamentati da mandati come la Special Publication 800-63 del NIST sulle linee guida per l'identità digitale, che stabilisce le migliori pratiche per la verifica dell'identità, l'autenticazione e la gestione del ciclo di vita degli utenti federali. Queste linee guida hanno un impatto diretto sulla sicurezza dei sistemi di identità e dei servizi di directory del settore pubblico, tra cui l'imposizione di processi di verifica rigorosi e il miglioramento dei meccanismi di federazione delle identità.
Pertanto, sebbene non siano esplicitamente presenti mandati per migliorare l'AD, le implicazioni più ampie di queste politiche suggeriscono una spinta verso la sicurezza dei sistemi di identità aziendali. L'AD svolge un ruolo cruciale nella gestione delle identità e nell'applicazione delle policy in tutto il settore pubblico, compresi gli appaltatori. Nell'ambito dell'enfasi posta dal governo su Zero Trust, la Cybersecurity and Infrastructure Security Agency (CISA) ha pubblicato le best practice per la sicurezza dei controlli di identità e accesso, incoraggiando le agenzie e gli appaltatori ad adottare strategie di sicurezza delle directory più solide.
Utilizzo di Semperis per la sicurezza AD nel settore pubblico
Una buona notizia è che, sebbene l'IAM continuerà a essere un'impresa complessa (le cui soluzioni esulano dallo scopo di questo articolo), possiamo affermare che esistono opzioni efficaci per i gruppi del settore pubblico, comprese le agenzie federali, per ridurre i rischi associati alla loro implementazione di AD. Questa situazione dovrebbe essere benvenuta, visto il ruolo fondamentale che l'AD svolge nell'ambiente complessivo delle identità per la maggior parte delle agenzie.
In particolare, l'azienda di cybersecurity Semperis offre una suite di soluzioni per la sicurezza dell'AD adattate alle esigenze delle organizzazioni del settore pubblico, concentrandosi sul monitoraggio in tempo reale, sul rilevamento rapido degli attacchi e sul disaster recovery. La loro piattaforma rileva le modifiche non autorizzate all'AD, come le escalation di privilegi o le modifiche ai criteri di gruppo, e fornisce avvisi automatici ai team di sicurezza, garantendo l'adozione di misure immediate.
Semperis offre alle agenzie del settore pubblico solidi strumenti di ripristino AD che riducono al minimo i tempi di inattività e prevengono la diffusione di ransomware. Se un ambiente AD viene compromesso, le funzionalità di recupero automatico di Semperis consentono alle organizzazioni di ripristinare rapidamente le directory interessate a uno stato precedente alla compromissione. Per le agenzie che devono rispettare rigorosi requisiti di conformità e di tempo di attività, una risposta e un ripristino rapidi dagli attacchi AD sono essenziali.
Rafforzare la cybersecurity del settore pubblico con un piano d'azione per l'hardening dell'AD
Il consiglio di TAG è che i CISO del settore pubblico sviluppino una strategia di sicurezza che enfatizzi l'hardening dell'AD, il monitoraggio continuo e la risposta agli incidenti. Un primo passo fondamentale è l'esecuzione di valutazioni periodiche della sicurezza per identificare le configurazioni errate dell'AD, le vulnerabilità non ancora risolte e le aree che potrebbero essere sfruttate. L'implementazione di soluzioni avanzate per la sicurezza dell'AD, come la piattaforma di Semperis, può consentire alle agenzie di rilevare gli attacchi in tempo reale, garantendo una risposta e una mitigazione rapide. Le agenzie interessate a impegnarsi con Semperis devono contattare direttamente l'azienda per identificare il miglior veicolo contrattuale disponibile per l'implementazione del proof-of-concept (POC).
Esplorate le strategie degli esperti per l'hardening di Active Directory
Informazioni su TAG: Riconosciuta da Fast Company, TAG è una società di ricerca e consulenza di nuova generazione che utilizza una piattaforma SaaS alimentata dall'intelligenza artificiale per fornire approfondimenti, indicazioni e raccomandazioni su richiesta a team aziendali, agenzie governative e fornitori commerciali nei settori della cybersicurezza, dell'intelligenza artificiale e della scienza del clima.