Iniziamo con una piccola lezione di storia... Nel 2014, ci sono stati una serie di articoli che chiedevano lo smantellamento e la morte di Active Directory (AD) per vari motivi. Arriviamo al 2018, e abbiamo fatto appello alla sua scomparsa, o semplicemente al fatto che le aziende dovrebbero prendere i loro server AD, buttarli giù dalla scogliera e saltare sul carrozzone cloud dei servizi di directory gestiti e dell'identità come servizio...
Oggi, se ascoltate alcuni dei venditori di identità, vi spiegheranno che l'AD è vecchio di 20 anni e deve essere mandato in pensione e ridotto a stick di colla, perché loro possono occuparsi di tutto. E diamine, chi ha bisogno di occuparsi di stampanti condivise e di tutte queste minuzie in ufficio? Non c'è problema, c'è il cloud, e qualsiasi cosa manchi se ne occuperanno loro, o non è un problema.
Hmmm, controllo della realtà, per favore.
In primo luogo, sì, Active Directory ci accompagna da circa 20 anni e si è evoluto, maturato ed è diventato poliedrico per essere in grado di gestire molte delle complessità moderne che gli abbiamo proposto. Non è perfetto, come non lo è nessun altro, ma è in grado di funzionare come parte di una soluzione ibrida per occuparsi di molte delle applicazioni legate al cloud che tutti utilizziamo.
In secondo luogo, chiunque pensi che risorse come le stampanti "si prenderanno cura di loro stesse" deve farsi esaminare la testa. In qualità di hacker, le stampanti sono uno dei miei luoghi preferiti per frequentare, mappare il paesaggio, sorvegliare l'ufficio, raccogliere, collezionare ed esfiltrare dati... sono fantastiche. A nessuno piace metterci l'antivirus, applicare le patch o aggiungerle alle regole di blocco della rete perché sono una rottura di scatole da gestire... quindi sono come un posto in prima fila all'opera per chiunque abbia una mentalità di attacco.
In terzo luogo, dovete essere fuori di testa se pensate che quello che avete oggi possa essere tolto e consegnato a un'organizzazione di gestione delle identità. Sì, molte delle loro attività sono eccellenti e integrano parte dell'architettura AD. Aggiunge un livello e fornisce meccanismi di autenticazione aggiuntivi che AD semplicemente non ha. Ma di sicuro NON gestirà tutti i sistemi, le architetture, le condivisioni, gli ambienti e le sfumature all'interno dell'azienda.
Il che ci porta alla sezione "PERCHE'"...
Come indicato al punto 3, Active Directory è complessa e vasta. Ha più tentacoli incorporati nella vostra azienda di quanti ne abbia Cthulhu in una giornata buona, il che significa che presenta vulnerabilità e problemi. Alcuni di questi problemi sono dovuti al modo in cui l'AD è impostato, altri alla gestione e alla sua evoluzione, altri ancora al fatto che amministrare l'AD (intendo amministrare davvero) è un'arte nera conosciuta solo da poche brave persone... la maggior parte delle quali è impazzita nel corso degli anni.
Tutto questo fa sì che AD sia un obiettivo primario per qualsiasi avversario che voglia entrare nel vostro ambiente. Facendo un rapido conto dei vari database delle vulnerabilità, AD ne ha abbastanza da richiedere l'intervento di un gruppo di amici per contare le dita delle mani e dei piedi su come penetrarlo o sfruttarlo. E il povero LDAP ha abbastanza problemi da essere sottoposto a terapie quasi settimanali da quando è entrato in scena (quasi 600 modi di usare LDAP per violare i sistemi... e non solo).
Quindi, congratulazioni, al centro della vostra azienda c'è una fantastica soluzione tecnologica che gestisce tutti gli asset, gli utenti, i sistemi, le policy, i profili e i diritti... eppure è inefficiente come un colabrodo e vulnerabile come un puledro di un giorno.
Che cosa fate? Lo si circonda di una pletora di acronimi progettati per proteggere e servire, eppure come avversario ci entrerò comunque. In media, sono già dentro. Probabilmente sono seduto in quella stampante e sono lì da diversi mesi a guardare... e voi non sapevate nemmeno che ero qui. Ne abbiamo già discusso in passato, ma ve lo ricordo. Non potete tenermi fuori, nessuna possibilità, niente di ciò che comprate, niente di ciò che sottoscrivete o in cui investite mi impedirà di raggiungere la prima base nella vostra rete (o nella vostra rete). La sfida è: cosa fare dopo?
Se la vostra filosofia è quella di "assumere la violazione", allora avrete già alcune considerazioni da fare. Avrete fatto esercitazioni da tavolo. Conoscerete i vostri problemi e le vostre sfide. Avrete implementato varie tecnologie per fornire avvisi più proattivi e preventivi, ed è qui che entrano in gioco i collaboratori di Semperis. Ed è anche la logica del motivo per cui li sto frequentando e li sto aiutando a capire un po' di più. (Loro hanno già un sacco di informazioni su come lavora l'avversario... io sono qui solo per le cose più subdole...).
Con un approccio proattivo... che ne dite di prendere il concetto di strumento di monitoraggio della salute, della sicurezza e della protezione dell'AD... portarlo a 11 e rilasciarlo gratuitamente alla comunità? Sì, sarà qualcosa che uscirà presto per i ricercatori e gli smanettoni.
Con l'approccio dell'audit... che ne dite se prendiamo le sfide dell'AD, mappiamo i vettori di attacco nel framework MITRE ATT&CK e poi vi aiutiamo a capire come attenuiamo questi problemi? Sì, è un'iniziativa che uscirà a breve e che dovrebbe rendere felici l'audit e la direzione.
Nella peggiore delle ipotesi... quando verrete colpiti, che ne dite di elaborare un processo di recupero che vi permetta di passare il tempo a rimettervi in piedi NON pagando riscatti a identità senza volto su Internet? Sì, ci pensiamo noi... questo farà felici sia i geek che gli assicuratori.
L'idea è chiara. Il team sta adottando un approccio proattivo. Si sta rivolgendo alla comunità per creare una struttura di ricerca che favorisca la condivisione delle conoscenze e porti un senso di collaborazione tanto necessario alle conversazioni.
Da qui la logica di frequentarli: ci tengono.
Tutto per ora
Chris
