Daniel Lattimer | Vicepresidente Area EMEA Ovest

Questa settimana entra in vigore il Digital Operational Resilience Act (DORA) dell'Unione Europea, nel tentativo di fornire una chiara tabella di marcia per il miglioramento della sicurezza informatica nel settore dei servizi finanziari. Tutte le entità finanziarie che operano nell'UE o con essa, nonché i fornitori di tecnologie dell'informazione e della comunicazione (TIC) che le supportano, sono ora tenuti a raggiungere la conformità al DORA.

Se i requisiti DORA si applicano alla vostra organizzazione e non avete ancora valutato il loro effetto sulla vostra strategia e sulle vostre procedure di rilevamento e risposta alle minacce all'identità (ITDR), non c'è tempo da perdere.

Perché il DORA è necessario?

La rapida digitalizzazione ha accelerato notevolmente l'innovazione nel settore dei servizi finanziari. Le aspettative dei clienti sono aumentate di pari passo con lo sviluppo della tecnologia, e gli operatori del settore cercano ora di allinearsi e di capitalizzare le opportunità di quote di mercato attraverso la fornitura di servizi istantanei e personalizzati.

Per le imprese e le loro attività, le opportunità sono numerose. Tuttavia, dal punto di vista della sicurezza, questi progressi tecnologici presentano delle sfide, rendendo il settore finanziario più vulnerabile a una serie crescente di minacce informatiche sofisticate.

3 fasi da includere nella lista di controllo della conformità DORA

In precedenza, abbiamo fornito una panoramica dei cinque pilastri della resilienza delineati da DORA e della loro applicazione nel contesto di Active Directory (AD). Per adottare questi pilastri in modo efficace, è fondamentale includere le tre fasi seguenti nella lista di controllo della conformità DORA:

  1. Identificare chi è responsabile di garantire che la sicurezza di Active Directory soddisfi i requisiti di resilienza DORA.
  2. Identificare con precisione i rischi per l'ambiente Active Directory ibrido.
  3. Gestite i rischi in modo efficace assicurandovi la capacità di correggere automaticamente le modifiche sospette ad Active Directory ed Entra ID per ripristinare rapidamente e in modo sicuro Active Directory ed Entra ID nel caso in cui gli aggressori dovessero superare le vostre difese.

Fase 1: Chi è responsabile della conformità ITDR e DORA?

La crescente diffusione delle minacce informatiche sta spingendo Active Directory fuori dalle competenze dei team dell'infrastruttura IT e verso i professionisti della sicurezza o della gestione degli accessi alle identità (IAM).

Active Directory si integra facilmente con le applicazioni e fornisce funzionalità di single sign-on in tutto l'ambiente aziendale. Nel quarto di secolo trascorso dalla sua introduzione, AD è rimasto onnipresente come servizio di directory fondamentale per collegare gli utenti alle risorse di rete di cui hanno bisogno per svolgere le loro attività. Infatti, oggi continua a semplificare la vita degli amministratori fornendo una piattaforma centralizzata per le configurazioni di computer e utenti e per la gestione dei diritti.

Per questo motivo, l'AD è tradizionalmente di competenza dei team dell'infrastruttura IT responsabili dello sviluppo, della gestione e della manutenzione dei processi e dei servizi digitali che garantiscono il funzionamento dell'azienda. Negli ultimi tempi, però, il quadrante si è spostato.

Il mondo moderno ha portato una complessità molto maggiore, con molte aziende che ora dipendono da un'ampia gamma di applicazioni critiche, dati e altre risorse che risiedono in paesaggi digitali sempre più complessi. Allo stesso tempo, le minacce e gli attacchi informatici sono aumentati in modo esponenziale e le aziende di ogni forma e dimensione si trovano ora ad affrontare minacce che vanno dalla fuga di proprietà intellettuale agli attacchi denial-of-service (DDoS) e ransomware.

Di conseguenza, l'AD non è più solo uno strumento di networking. Oggi è diventato un problema critico per la sicurezza e la gestione delle identità.

Essendo una piattaforma centralizzata che consente agli amministratori di gestire le autorizzazioni e controllare l'accesso alle risorse di rete, l'AD detiene di fatto le "chiavi del regno" per le aziende. Di conseguenza, è diventato un obiettivo primario per i cyber-attaccanti. La compromissione di AD può garantire l'accesso a quasi tutti i sistemi, le applicazioni e le risorse di un'organizzazione.

"Poiché Active Directory fornisce ricche funzionalità di gestione delle identità e degli accessi per utenti, server, workstation e applicazioni, è sempre nel mirino degli aggressori. Se un aggressore ottiene un accesso altamente privilegiato a un dominio o a un controller di dominio di Active Directory, tale accesso può essere sfruttato per accedere, controllare o addirittura distruggere l'intera foresta di Active Directory. "1

Pianificazione del compromesso (Microsoft)

Questa transizione ha sollevato un'importante questione: dove dovrebbe trovarsi ora la gestione dell'AD e chi dovrebbe supervisionarla?

Sempre più spesso, in particolare nel contesto del DORA, le aziende trasferiscono la proprietà dell'AD ai team di sicurezza e di gestione degli accessi alle identità (IAM): un cambiamento dettato dal potenziale impatto di vasta portata di attacchi, errori o tempi di inattività sull'AD e, di conseguenza, sulle operazioni aziendali.

Fase 2: identificare i rischi per l'infrastruttura di identità

Considerate le applicazioni business critical e rivolte ai clienti. Queste si basano su vari componenti, tra cui gli account di servizio e il DNS, che sono gestiti all'interno di Active Directory. Se l'AD non funziona correttamente o non è gestito e protetto in modo efficace, l'applicazione può essere esposta, con conseguenze sulla reputazione dell'azienda, sui ricavi e sulle violazioni della conformità DORA.

Le aziende riconoscono sempre più questi rischi e comprendono la necessità di dare priorità alla gestione efficace e alla sicurezza dell'AD. Tuttavia, comprendere i rischi effettivi associati all'AD può essere complesso.

Non sempre si tratta di problemi informatici; le vulnerabilità e i problemi possono derivare anche da errori umani. L'AD è gestito da persone e le persone commettono errori.

Uno scenario comune prevede l'eliminazione accidentale di componenti critici. Ad esempio, un amministratore potrebbe rimuovere inavvertitamente centinaia di utenti mentre cerca di modificare un gruppo di utenti. Un altro problema frequente è la rimozione di account di servizio percepiti come minacce alla sicurezza. Senza comprenderne appieno le funzioni o la rilevanza, la rimozione di questi account può far deragliare le operazioni in altre parti dell'azienda.

Per mitigare queste minacce - sia interne che esterne, sia dolose che accidentali - le organizzazioni devono avere una comprensione completa del proprio ambiente AD, delle associazioni e delle dipendenze rilevanti e delle vulnerabilità ad esso associate.

"Per comprendere meglio l'ambiente di un'organizzazione, i malintenzionati comunemente cercano informazioni in Active Directory dopo aver ottenuto l'accesso iniziale a un ambiente... In questo modo, i malintenzionati a volte riescono a comprendere meglio l'ambiente Active Directory dell'organizzazione rispetto all'organizzazione stessa. Ciò consente loro di colpire Active Directory con maggiori probabilità di successo. I malintenzionati utilizzano la loro conoscenza dell'ambiente per sfruttare i punti deboli e le configurazioni errate per aumentare i loro privilegi, spostarsi lateralmente e ottenere il pieno controllo del dominio Active Directory.... Per migliorare Active Directory, le organizzazioni devono comprendere a fondo la propria configurazione unica di Active Directory "2.

Rilevamento e mitigazione della compromissione di Active Directory (rapporto Five Eyes Alliance)

Fortunatamente, sono disponibili diversi strumenti gratuiti che forniscono una visibilità immediata delle configurazioni AD, aiutando le organizzazioni a ridurre i rischi più critici.

  • Purple Knight: Specificamente indicato come strumento di auditing AD dal National Cyber Security Centre e da altre agenzie di cybersecurity dell'alleanza Five Eyes, questo strumento offre valutazioni di sicurezza per AD, Entra ID e Okta. Aiuta le organizzazioni a identificare gli indicatori di esposizione (IOE) e gli indicatori di compromissione (IOC) nei loro ambienti AD ibridi, migliorando la sicurezza e la resilienza complessive.
  • Forest Druid: Progettato per risolvere il problema dell'eccesso di autorizzazioni in Active Directory e Entra ID, Forest Druid adotta una gestione dei percorsi di attacco unica nel suo genere. Invece di passare manualmente al setaccio tutte le relazioni tra gruppi e utenti, dà priorità ai percorsi di attacco che portano al perimetro Tier 0 negli ambienti di identità ibridi. Questa concentrazione sugli asset critici consente di risparmiare tempo e di migliorare la sicurezza affrontando per prime le vulnerabilità più significative.

Ottenere visibilità sull'ambiente attuale in questo modo è fondamentale. Questi strumenti forniscono una solida base per identificare le vulnerabilità chiave e i potenziali percorsi di attacco alle risorse critiche per l'azienda, offrendo una panoramica istantanea dei rischi potenziali in un momento specifico.

Fase 3: abbracciare l'automazione per la gestione continua del rischio

Anche se Purple Knight e Forest Druid possano fornire un buon punto di partenza, è importante considerare questi strumenti come l'inizio di un'analisi continua e di un'opera di rimedio. Qualsiasi intervento una tantum è in genere inadeguato a mitigare i rischi potenziali associati all'AD su base continuativa.

Considerate la natura dinamica della maggior parte delle aziende: le acquisizioni portano nuove strutture di Active Directory, gli utenti vengono aggiunti o rimossi ogni giorno, i ruoli lavorativi cambiano e le applicazioni e le impostazioni di rete vengono continuamente aggiornate. In altre parole, l'AD è un ambiente vivo e vegeto in cui le policy cambiano continuamente.

Tracciare una linea oggi non garantisce che la stessa postura di sicurezza sarà valida domani. Al contrario, per gestire e catturare efficacemente questo rischio in evoluzione nel tempo e rimanere conformi al DORA, le aziende devono disporre di un mezzo per catturare il loro profilo di rischio regolarmente o in tempo reale.

In questo caso, gli strumenti automatizzati rappresentano la soluzione più potente e logica. Tentare di monitorare l'AD e porre rimedio a modifiche sospette manualmente può richiedere molto tempo ed essere soggetto a errori umani. Le soluzioni automatizzate possono garantire un monitoraggio e una valutazione continui, assicurandovi di essere sempre all'avanguardia rispetto alle minacce emergenti.

E se dovesse accadere il peggio, come spesso accade a causa della frequenza, della persistenza e della sofisticazione delle moderne minacce informatiche, la capacità di ripristinare in modo rapido e sicuro Active Directory ed Entra ID è fondamentale. Finché l'AD non è operativo, non è possibile ripristinare le normali operazioni aziendali.

Semperis ha a disposizione diversi strumenti per supportare questi processi, tra cui:

  • Directory Services Protector (DSP): Riconosciuta da Gartner, questa soluzione di rilevamento e risposta alle minacce all'identità (ITDR) mette il pilota automatico alla sicurezza di Active Directory ibrida. Offre un monitoraggio continuo e una visibilità senza precedenti sugli ambienti AD on-premises e Entra ID. Le caratteristiche includono il monitoraggio a prova di manomissione e il rollback automatico delle modifiche dannose, assicurando una protezione solida e un recupero rapido.
  • Lightning IRP: questo strumento dotato di ML rileva gli attacchi sofisticati all'identità che le soluzioni tradizionali non riescono a rilevare, tra cui gli attacchi brute force, gli attacchi spray alle password e le attività anomale.
  • Active Directory Forest Recovery (ADFR): Questo strumento aiuta le organizzazioni a prepararsi agli scenari peggiori, garantendo un ripristino rapido e privo di malware della foresta AD in caso di disastro informatico. Consente di impostare facilmente una replica dell'ambiente AD di produzione per le esercitazioni di disaster recovery e automatizza l'intero processo di ripristino della foresta AD per ridurre al minimo i tempi di inattività. Inoltre, ADFR consente di ripristinare l'AD in uno stato di sicurezza noto, prevenendo gli attacchi successivi e garantendo la continuità aziendale.

Completate oggi la lista di controllo della conformità DORA

Essendo l'AD un sistema critico utilizzato per archiviare le informazioni sugli utenti, gestire l'accesso e l'autenticazione degli stessi e allocare le risorse a servizi, asset e dati, è fondamentale che le società di servizi finanziari si impegnino per garantirne la protezione.

Non solo la conformità DORA lo richiede, ma la sicurezza e l'integrità della vostra azienda e dei vostri clienti dipendono da essa. Pertanto, è fondamentale adottare le misure necessarie per ridurre le vulnerabilità e i rischi potenziali su base continuativa.

  1. Assicuratevi che la vostra organizzazione comprenda l'impatto significativo che una singola identità può avere su vari aspetti dell'azienda, tra cui applicazioni, processi e catene di fornitura critici. Data questa interdipendenza, potrebbe essere necessario rivalutare la proprietà e la gestione dell'AD per garantire l'allineamento con le priorità aziendali e le esigenze di sicurezza.
  2. Sfruttate strumenti open-source come Forest Knight e Purple Druid per ottenere una preziosa visibilità sullo stato attuale dell'ambiente AD e identificare le vulnerabilità e i potenziali percorsi di attacco alle risorse critiche per l'azienda. Questa valutazione iniziale è fondamentale per elaborare strategie per gestire e mitigare efficacemente i rischi principali.
  3. Stabilire meccanismi che garantiscano la mitigazione attiva dei rischi AD su base continuativa. Per le aziende con ambienti IT dinamici, vale la pena di investire in strumenti automatizzati che possano contribuire a semplificare questo processo e a dimostrare ai revisori la conformità e la prontezza del DORA.

Seguendo questi passaggi, le organizzazioni possono migliorare la postura di sicurezza dei loro ambienti AD, ridurre i rischi di minacce informatiche e raggiungere e mantenere la conformità DORA in un panorama IT in continua evoluzione.

Ottenere assistenza per la valutazione della conformità della sicurezza AD

Note finali

  1. Pianificazione del compromesso | Microsoft Learn
  2. Rilevamento e mitigazione delle compromissioni di Active Directory