Di recente ho avuto il piacere di collaborare con Ran Harel, principal security product manager di Semperis, per un webinar incentrato sul rendere il MITRE ATT&CK Framework rilevante e attuabile per le organizzazioni che desiderano potenziare la propria sicurezza. Nel webinar ci siamo concentrati sull'obiettivo più attaccato - Active Directory - e abbiamo dimostrato come gli aggressori sfruttano l'AD, come questi attacchi si adattano al MITRE Framework e abbiamo mostrato alcuni strumenti preziosi che possono aiutare a scoprire e combattere questi attacchi incessanti.
Un punto interessante emerso dal webinar è stato il falso senso di sicurezza che la maggior parte dei professionisti prova nei confronti delle proprie implementazioni AD. Abbiamo iniziato la sessione chiedendo a tutti i partecipanti di valutare quanto ritengono sicuro il loro AD. Il 50% ha risposto che ritiene l'AD "molto sicuro", mentre il 43% ha risposto "un po' sicuro". Questi risultati sono in diretto contrasto con i dati reali generati da centinaia di valutazioni di Semperis Purple Knight sull'AD. Il punteggio medio di sicurezza di Purple Knight per l'AD nel suo complesso è pari al 64%, un voto insufficiente sotto ogni punto di vista. Questo non è sorprendente, visto lo stato della protezione AD attuale.
Lettura correlata
Durante la sessione ho suggerito che molte organizzazioni hanno "rinunciato" alla protezione dell'AD. La migliore protezione oggi esiste sotto forma di linee guida e best practice di Microsoft, ma non è sufficiente per proteggere le chiavi del regno. Le organizzazioni hanno dedicato molto tempo e denaro all'audit e alla gestione di AD, ma non alla protezione e al rilevamento. Direi che l'AD è l'asset più sprovvisto di protezione nella maggior parte delle organizzazioni. Per violare l'AD è sufficiente compromettere un account utente.
Ran Harel ha ribadito questo punto con una grande dimostrazione delle tattiche di attacco AD. Ha mostrato come l'attuale exploit Print Nightmare viene eseguito su implementazioni AD standard e, se si seguissero i consigli di Microsoft, si sarebbe comunque vulnerabili. Microsoft ha poi fornito patch per eliminare le vulnerabilità, ma non prima che migliaia di organizzazioni fossero vittime dell'attacco. Se lo si confronta con il MITRE ATT&CK Framework, è facile capire come, anche con le migliori intenzioni, la maggior parte delle organizzazioni si trovi in difficoltà nel rilevare e contrastare le tattiche di movimento laterale e di escalation dei privilegi utilizzate dagli aggressori e che il Framework aiuta a smascherare.
Il valore del MITRE ATT&CK Framework deriva dal suo utilizzo da parte degli operatori, non solo come approfondimento teorico, ma come guida per la correzione e la prevenzione pratiche e attuabili. Gli attori delle minacce pensano in modo diverso dai professionisti della sicurezza e il Framework ci permette di pensare come gli aggressori e quindi di proteggerci meglio.
La cosa meravigliosa di questo passaggio dalla teoria alla pratica è che ci sono organizzazioni in grado di aiutarvi. La mia organizzazione, ISSQUARED, fornisce la visione e la consulenza per aiutarvi a mettere in pratica il Framework. E Semperis fornisce gli strumenti più potenti del settore per l'intero ciclo di vita degli attacchi: prima, durante e dopo. Gli strumenti di Semperis forniscono un monitoraggio continuo di livello aziendale e una correzione automatica attraverso la soluzione Directory Services Protector (DSP) - che Ran ha dimostrato in modo efficace - e una valutazione point-in-time attraverso Purple Knight, uno strumento gratuito che aiuta a generare una linea di base e fornisce una visione realistica della sicurezza effettiva del vostro ambiente AD. Entrambi gli strumenti sono accuratamente mappati sul MITRE ATT&CK Framework e su molte normative di settore e best practice framework come CIS e NIST.
Vi invito a guardare la registrazione di questo webinar per saperne di più sul MITRE ATT&CK Framework e su come passare dalla teoria alla pratica. Potete trovare la registrazione qui. E mentre lo fate, vi consiglio di scaricare ed eseguire Semperis Purple Knight per verificare la vostra posizione attuale e la sua corrispondenza con il framework. Una volta che lo saprete, potrete iniziare a difendere.