Gli ambienti informatici ibridi saranno la norma nel prossimo futuro: Secondo un rapporto Gartner del 2021, solo il 3% delle organizzazioni di medie e grandi dimensioni migrerà completamente da Active Directory (AD) on-premise a un servizio di identità basato sul cloud entro il 2025. Ma i responsabili IT che gestiscono ambienti ibridi devono affrontare una sfida sempre più complessa: proteggere efficacemente i sistemi di identità che comprendono sia l'AD on-premise che l'Azure AD. Questo mondo ibrido presenta un panorama di rischi molto diverso da quello che gli amministratori di Active Directory (AD) dovevano affrontare due decenni fa.
Con l'esplosione dell'uso del cloud, gli aggressori hanno preso atto di questo cambiamento e si sono concentrati sulla compromissione delle credenziali del cloud, che possono utilizzare per ottenere privilegi elevati in tutto il sistema, anche nell'ambiente AD on-prem e per lanciare malware.
La protezione e il monitoraggio di Azure AD, anche per le organizzazioni che utilizzano Azure AD solo come prodotto secondario dell'implementazione di Microsoft 365, è diventata una parte fondamentale del mantenimento delle operazioni aziendali. Così come la protezione di AD comporta il rilevamento di modifiche non autorizzate e la correzione di eventuali configurazioni errate e vulnerabilità, lo stesso vale per Azure AD.
Per aiutare le organizzazioni ad affrontare queste sfide, abbiamo aggiornato la nostra soluzioneDirectory Services Protector ( DSP) con nuovi indicatori di minaccia progettati specificamente per aiutare a valutare la postura di sicurezza di Azure AD. In combinazione con gli indicatori di minaccia per Active Directory di DSP, le nuove funzionalità consentono alle organizzazioni di proteggere le identità negli ambienti on-premises e cloud.
Ogni cliente è responsabile dell'impostazione e della personalizzazione dei controlli di sicurezza di Azure AD in modo sensato per la propria organizzazione. Poiché Azure AD consente l'accesso sicuro alle risorse interne, a Microsoft 365 e a innumerevoli altre applicazioni software-as-a-service (SaaS), la mancata identificazione di configurazioni rischiose e di modifiche non approvate o accidentali in Azure AD può portare l'azienda moderna a una battuta d'arresto.
Nell'introdurre gli indicatori di Azure AD in DSP, abbiamo dato priorità agli indicatori che aiutano le organizzazioni ad affrontare alcuni dei vettori di attacco più comuni che gli attori delle minacce utilizzano per ottenere l'accesso all'ambiente AD, che può portare a un'escalation di privilegi e infine alla distribuzione di malware. Ecco un riepilogo degli indicatori di sicurezza di Azure AD in DSP e perché sono importanti da tenere sotto controllo per migliorare la postura di sicurezza di Azure AD.
1. Le unità amministrative non vengono utilizzate
In Azure AD, le unità amministrative sono una risorsa che può contenere utenti, gruppi o dispositivi. Possono essere utilizzate per limitare le autorizzazioni di un ruolo a qualsiasi porzione dell'organizzazione specificata, ad esempio una particolare business unit o area geografica. Gli aggressori che compromettono un account amministrativo potrebbero avere un accesso ampio alle risorse, quindi l'uso delle unità amministrative consente di limitare la portata di amministratori specifici e di garantire che una singola compromissione delle credenziali sia limitata e non influisca sull'intero ambiente.
2. Registrazione dell'applicazione Azure con accesso in lettura
Vedi #4.
3. Registrazione dell'applicazione Azure con accesso in scrittura
Vedi #4.
4. Registrazioni di applicazioni Azure aggiunte o rimosse
Quando questi indicatori di registrazione delle applicazioni Azure vengono eseguiti, controllano se tali autorizzazioni sono state concesse (o revocate) negli ultimi sette giorni. Sebbene queste azioni non rappresentino sempre un problema di sicurezza, un'applicazione dannosa o mal configurata può portare all'esposizione dei dati o alla compromissione di un tenant Azure.
5. Verificare che gli ospiti abbiano il permesso di invitare altri ospiti
Gli utenti guest non devono essere in grado di invitare altri ospiti ad accedere alle risorse cloud. Questo potere dovrebbe essere limitato agli amministratori per mantenere uno stretto controllo e DSP verificherà che questa impostazione sia configurata correttamente.
6. Verificare la presenza di autorizzazioni API a rischio concesse ai principali servizi applicativi.
Un oggetto service principal viene creato quando un'applicazione riceve il permesso di accedere alle risorse. Se l'amministratore di un'applicazione ha privilegi eccessivi, potrebbe aprire la porta ad attività dannose.
7. Verificare se l'autenticazione legacy è consentita
Azure AD supporta diversi protocolli di autenticazione. Purtroppo, i metodi di autenticazione tradizionali potrebbero non supportare l'autenticazione a più fattori (MFA), una componente critica della protezione degli account. Consentire l'autenticazione legacy aumenta il rischio che un utente malintenzionato acceda utilizzando credenziali precedentemente compromesse.
8. L'MFA non è configurato per gli account privilegiati.
L'MFA è fondamentale per proteggere gli account dal furto di credenziali. Nel caso degli account privilegiati, l'MFA è ancora più importante e DSP emette un avviso se la funzione non è abilitata.
9. Il gruppo Privilegiati contiene un account ospite
Il numero di account privilegiati deve essere limitato secondo il principio del minimo privilegio. La presenza di un account ospite in un gruppo privilegiato potrebbe essere un segno di autorizzazioni eccessive o di compromissione da parte di un aggressore.
10. Predefiniti di sicurezza non abilitati
Le impostazioni predefinite di sicurezza, come il blocco dei protocolli di autenticazione legacy e la richiesta di MFA per gli amministratori, offrono un importante livello di protezione per Azure AD. Le impostazioni predefinite di sicurezza devono essere utilizzate per i tenant che non hanno configurato criteri di accesso condizionato. Questa impostazione notifica le organizzazioni se queste impostazioni predefinite non sono attive.
11. Consenso illimitato dell'utente
Questo indicatore controlla se gli utenti possono aggiungere applicazioni di editori non verificati. Questa impostazione può creare ulteriori rischi, in quanto tali applicazioni potrebbero intraprendere azioni invasive o rischiose.
12. Utenti privilegiati in Azure AD che sono anche privilegiati in AD
Questo indicatore controlla gli utenti privilegiati in Azure AD che sono privilegiati anche in AD on-premises. La compromissione di un account con privilegi sia in AD che in Azure AD può comportare la compromissione di entrambi gli ambienti.
13. Gli utenti non amministratori possono registrare applicazioni personalizzate
Questo indicatore verifica l'esistenza di un criterio di autorizzazione che consente agli utenti non amministratori di registrare le applicazioni dei clienti. Se agli utenti non amministratori è consentito registrare applicazioni aziendali sviluppate su misura, gli aggressori potrebbero sfruttare questa scappatoia per registrare applicazioni dannose, che potrebbero poi sfruttare per ottenere ulteriori autorizzazioni.
Protezione di un ambiente di identità ibrido
Con l'evolversi dei rischi di minaccia, le strategie di sicurezza dovrebbero cambiare di pari passo. Modifiche rischiose ad Azure AD, che siano attribuibili a un cyberattacco o a un incidente, possono comportare tempi di inattività significativi e interruzioni dell'attività. Le organizzazioni hanno bisogno di un approccio alla gestione delle identità ibride che abbracci l'intero ambiente e che richieda non solo il rilevamento delle violazioni delle policy e delle configurazioni errate, ma anche il monitoraggio delle modifiche e la loro correlazione con le attività che si svolgono in sede e nel cloud. Armate di indicatori di minaccia basati sulla comprensione del rischio, le organizzazioni possono combattere proattivamente i problemi prima che si presentino.