Michele Crockett

Secondo un nuovo rapporto di Enterprise Management Associates (EMA), le vulnerabilità sconosciute sono il principale problema di sicurezza di Active Directory per i professionisti della sicurezza IT. Le vulnerabilità AD conosciute ma non affrontate si collocano subito dopo.

I rischi più preoccupanti per la sicurezza generale citati dagli intervistati sono stati:

  • Falle di sicurezza native di Microsoft
  • Attacchi di ingegneria sociale, come il phishing
  • Gli aggressori si muovono tra AD on-premises e Azure AD

Con la crescente attenzione all'AD da parte dei media e delle società di ricerca, tra cui 451 Research e Gartner, non sorprende che le vulnerabilità sconosciute siano state al centro dell'attenzione degli intervistati, tra cui direttori e manager IT, architetti IT, professionisti DevOps e responsabili della sicurezza.

L'anno 2021 ha portato un cambiamento radicale nella consapevolezza di Active Directory, il principale archivio di identità per il 90% delle aziende nel mondo, come vettore di attacco per i criminali informatici. Uno dei maggiori richiami è stato l'attacco SolarWinds. Sebbene gli investigatori abbiano impiegato un po' di tempo per decifrare questo sofisticato attacco, il ruolo di Active Directory era evidente. (Per maggiori dettagli sul ruolo di AD nell'attacco SolarWinds, leggete il post di Guido Grillenmeier "Now Is the Time to Rethink Active Directory Security"). Con il verificarsi di altre violazioni di alto profilo che coinvolgono AD, tra cui l'attacco a Colonial Pipeline, le vulnerabilità di AD sono finite sotto i riflettori.

I risultati dei consulenti di Mandiant confermano il frequente sfruttamento dell'AD: hanno riferito che nel 90% degli attacchi su cui indagano, l 'AD è coinvolto in qualche forma come punto di ingresso iniziale o come parte di un tentativo di escalation dei privilegi. Come scrive Paula Musich, direttore della ricerca EMA, nell'introduzione del rapporto, i professionisti della sicurezza devono affrontare un'ampia gamma di rischi nella gestione dell'AD.

"Poiché la configurazione di Active Directory è in continuo mutamento, i malintenzionati trovano sempre nuovi modi per sfruttare le vulnerabilità e raggiungere i loro obiettivi illeciti".

Falle ben note, come la vulnerabilità del servizio Windows Print Spooler scoperta nel giugno 2021, sono servite da catalizzatore per i professionisti dell'IT e della sicurezza per indagare sulla sicurezza degli ambienti AD delle loro organizzazioni. Dal suo rilascio iniziale nel marzo 2021, più di 5.000 utenti hanno scaricato Purple Knight, uno strumento gratuito di Semperis per la valutazione della sicurezza che analizza l'ambiente AD alla ricerca di indicatori di esposizione e compromissione e genera un report che fornisce un punteggio complessivo di sicurezza e una guida di esperti per la correzione dei difetti. Le organizzazioni hanno riportato un punteggio medio iniziale di circa il 68%, un voto appena sufficiente.

Nelle interviste individuali, molti utenti di Purple Knight hanno dichiarato di essere rimasti spiazzati dai risultati del rapporto.

"So di avere Active Directory", ha detto un CISO di un'azienda manifatturiera canadese. "Ma non sapevo di avere questi problemi. E sono piuttosto attento alla sicurezza. Quindi, è stato un bello schiaffo in testa".

Le preoccupazioni per la ripresa dell'AD sono forti

Oltre alle preoccupazioni per le vulnerabilità dell'AD sconosciute e non affrontate, gli intervistati hanno dichiarato di essere preoccupati anche per i loro piani di ripristino dell'AD, tra cui:

  • Non disponete di un piano di recupero post-attacco informatico
  • L'incapacità di recuperare rapidamente
  • Non è stata definita una responsabilità per il recupero dell'AD

La maggioranza degli intervistati ha dichiarato che l'impatto di un attacco che mettesse fuori uso i loro controller di dominio andrebbe da "significativo" a "catastrofico", alimentando la preoccupazione per un piano di risposta inadeguato. Solo negli ultimi anni le organizzazioni hanno spostato l'attenzione dai piani di continuità aziendale che si occupano di disastri naturali o di errori umani ai piani che forniscono una risposta adeguata a un attacco informatico doloso.

Come hanno scritto Gil Kirkpatrick (Chief Architect di Semperis) e Guido Grillenmeier (Chief Technologist) nel loro whitepaper "Does Your Active Directory Disaster Recovery Plan Cover Cyberattacks?", agli albori dell'AD, i team IT erano preparati a ripristinare l'AD da vari problemi, tra cui l'eliminazione involontaria di oggetti AD, le errate configurazioni dei criteri di gruppo e i controller di dominio guasti. Ma le probabilità di dover recuperare da un'interruzione completa dell'AD, come possono causare i cyberattacchi, erano "molto basse".

Il panorama delle minacce è cambiato radicalmente rispetto agli albori dell'AD, ma non sono cambiate le sfide del ripristino di un'intera foresta AD. Come hanno osservato gli autori del whitepaper, "si tratta ancora di un processo complesso e soggetto a errori, che richiede pianificazione e pratica per tutte le implementazioni AD, tranne quelle più banali".

I risultati del rapporto EMA indicano che i team IT e di sicurezza conoscono e sono preoccupati per le sfide legate al recupero dell'AD da un disastro informatico.

Gli ambienti ibridi aggiungono complessità alla protezione dei servizi di identità

Il trasferimento di carichi di lavoro e applicazioni verso il cloud sarà un processo continuo e prolungato, secondo il rapporto EMA (e confermato da un recente rapporto di Gartner), lasciando ai team IT e di sicurezza il compito di gestire la sicurezza in un ambiente ibrido per il prossimo futuro. Mentre il 47% degli intervistati nello studio EMA ha valutato la propria capacità di gestire e proteggere l'AD on-premises come "molto competente", solo il 37% degli intervistati si è dato questa valutazione per gli ambienti di identità ibridi. Circa un terzo degli intervistati ha valutato la propria capacità di gestire e proteggere un ambiente ibrido come "adeguata".

La fiducia degli intervistati nel recupero delle risorse Azure AD (come utenti, gruppi e ruoli) dopo un cyberattacco non è stata rassicurante: Circa il 55% dei partecipanti ha espresso un livello di fiducia "medio". La gestione adeguata della sicurezza in un ambiente di identità ibrido potrebbe essere una di quelle situazioni in cui i professionisti non sanno ancora cosa non sanno: L'integrazione di Active Directory on-premises con l'autenticazione Azure AD richiede una mentalità diversa e la mancata comprensione di alcune differenze chiave può esporre le organizzazioni a rischi per la sicurezza.

Come le organizzazioni affrontano i problemi di sicurezza dell'AD

Con la maggiore consapevolezza degli attacchi legati all'AD, le organizzazioni stanno apportando modifiche per rafforzare le proprie difese in risposta ad attacchi di alto profilo come la violazione di SolarWinds. Il rapporto EMA ha rilevato che:

  • Il 45% delle organizzazioni ha aumentato la collaborazione tra i team operativi e di sicurezza.
  • Il 44% ha aumentato l'attenzione per colmare le lacune della sicurezza AD, rilevare gli attacchi e garantire backup privi di malware.
  • Il 37% ha aggiunto professionisti qualificati per affrontare le debolezze della sicurezza AD.

La constatazione che le organizzazioni stanno promuovendo la collaborazione tra i team operativi e di sicurezza corrisponde a quella di un rapporto del 2021 dell'Identity Defined Security Alliance (IDSA), "2021 Trends in Securing Digital Identities", che riporta che il 64% delle organizzazioni ha apportato modifiche per allineare meglio le funzioni di sicurezza e identità negli ultimi due anni. Le organizzazioni stanno riconoscendo che un sistema di identità sicuro è il punto di partenza per proteggere ogni altro asset dell'organizzazione.

Questi cambiamenti organizzativi apriranno la strada per affrontare le sfide e l'urgenza di identificare e risolvere le vulnerabilità dell'AD, la principale preoccupazione citata dagli intervistati nel rapporto EMA. Man mano che i team che si occupano di identità e sicurezza condividono le conoscenze e collaborano alle soluzioni, le organizzazioni rafforzeranno le loro difese contro gli attacchi legati all'identità. Solo il 3% degli intervistati ha dichiarato che le proprie organizzazioni continuano a considerare e gestire l'AD come una risorsa operativa. Come ha osservato Musich nel rapporto EMA: "I ritardatari avranno una strada in salita per raggiungere il 56% delle organizzazioni intervistate che considerano Active Directory il fulcro della loro strategia di sicurezza globale".

Altre risorse