Nel 2019, la Financial Conduct Authority (FCA) ha proposto delle modifiche alle modalità con cui gli istituti del settore finanziario britannico garantiscono la resilienza operativa, in particolare contro la minaccia di attacchi informatici. La FCA inizierà ad applicare le linee guida il 31 marzo 2022. Tutte le organizzazioni regolamentate dalla FCA dovranno sottoporsi a verifiche per dimostrare la propria conformità e avranno una finestra ristretta per affrontare i problemi di conformità. Un passo fondamentale per conformarsi alle nuove norme FCA è garantire la resilienza informatica dell'ambiente Microsoft Active Directory (AD), dato il ruolo critico di AD nell'autenticazione degli utenti e nell'accesso alle applicazioni e ai servizi critici per l'azienda.
Le linee guida della FCA dettagliano i requisiti per gli istituti che devono fissare le tolleranze d'impatto per i servizi aziendali importanti, stabilendo che "le imprese dovrebbero fissare le loro tolleranze d'impatto al primo punto in cui un'interruzione di un servizio aziendale importante causerebbe livelli intollerabili di danno ai consumatori o di rischio per l'integrità del mercato". Le norme stabiliscono inoltre che "le imprese devono verificare la loro capacità di rimanere entro le tolleranze d'impatto per ciascuno dei loro servizi aziendali importanti in caso di una serie di scenari avversi, compresa un'interruzione grave ma plausibile delle loro operazioni".
La prevenzione dell'interruzione dei servizi aziendali inizia con la protezione del sistema di identità dell'organizzazione. La maggior parte delle organizzazioni si affida ad AD per i servizi di identità di base, che a sua volta controlla l'accesso alla maggior parte degli altri sistemi. Per questo motivo, garantire che le tolleranze di impatto di AD siano definite e testate è fondamentale per conformarsi alla guida FCA.
L'irrobustimento dell'AD contro i cyberattacchi dovrebbe essere una priorità assoluta per ogni organizzazione, nonostante le norme FCA. L'AD è altamente vulnerabile e rappresenta un obiettivo primario per gli attori delle minacce:
- I consulenti di Mandiant stimano che il 90% degli incidenti su cui indagano coinvolge l'AD in una forma o nell'altra.
- Enterprise Management Associates (EMA) ha rilevato che il 50% delle organizzazioni ha subito un attacco all'AD negli ultimi 1-2 anni e che il 40% di questi attacchi è andato a buon fine.
- In un sondaggio condotto tra le organizzazioni aziendali, il 97% ha dichiarato che l'AD è mission-critical per le operazioni aziendali e che un'interruzione dell'AD avrebbe un impatto "grave" o "catastrofico".
Poiché AD controlla l'accesso degli utenti alle app e ai servizi, detiene le chiavi del regno. Accedendo a una configurazione rischiosa o a una falla di sicurezza, i criminali informatici possono muoversi lateralmente nell'ambiente, utilizzando l'AD come una mappa del tesoro per raggiungere dati sensibili che possono essere sfruttati per ottenere un riscatto. Inoltre, AD è un percorso spesso sfruttato per diffondere il malware.
La protezione dell'AD contribuisce a soddisfare i requisiti di FCA
Proteggere l'AD dalle minacce e creare un piano di ripristino dell'AD testato e cyber-first è l'elemento fondamentale di una strategia di sicurezza che soddisferà i requisiti della normativa FCA. Le azioni chiave includono:
- Migliorare la resilienza operativa assicurando che l'AD possa essere ripristinato rapidamente in uno stato di sicurezza noto.
- Superare la deriva della configurazione identificando e correggendo automaticamente le modifiche pericolose e dannose all'AD.
- Colmare le lacune di competenze specialistiche assumendo persone e implementando tecnologie specializzate in AD.
- Stabilire un benchmark di "propensione al rischio" per misurare il livello di rischio accettabile per quanto riguarda le patch di vulnerabilità, identificare e affrontare gli indicatori di esposizione e compromissione nell'AD e stabilire le tempistiche e i processi di ripristino.
- Utilizzo di informazioni sulle minacce tempestive e attuabili per proteggersi dalle minacce emergenti che prendono di mira l'AD.
Purtroppo, alcune tecnologie di sicurezza (come i SIEM) non sono in grado di rilevare molte delle vulnerabilità di AD e la maggior parte delle soluzioni di backup tradizionali non soddisfano le tolleranze di impatto di AD. Nik Simpson, analista di Gartner, ha recentemente sottolineato la necessità per le aziende di implementare soluzioni di ripristino specifiche per AD per contrastare la recente impennata di cyberattacchi mirati ad AD, affermando che i leader che si concentrano sulla sicurezza dell'infrastruttura del data center dovrebbero "accelerare il ripristino dagli attacchi aggiungendo uno strumento dedicato per il backup e il ripristino di Microsoft Active Directory".
Poiché un attacco riuscito all'AD può paralizzare le operazioni aziendali, le organizzazioni hanno bisogno di soluzioni che proteggano l'AD prima, durante e dopo un attacco. Le organizzazioni possono allinearsi ai requisiti FCA per la resilienza operativa implementando una strategia di sicurezza a più livelli che includa:
- Misure di pre-attacco per identificare il rischio e proteggere il servizio monitorando AD per Indicators of Exposure (IOEs) e Indicators of Compromise (IOCs)
- Capacità di rilevare e rispondere a attacchi in corso, tra cui:
- Rilevamento delle minacce e visibilità delle azioni degli aggressori
- Correzione automatica delle modifiche indesiderate o dannose
- Risposta agli incidenti specifici per l'AD
- Dopo l'attacco per il ripristino dell'intera foresta AD in uno stato privo di malware, tra cui:
- Un approccio cyber-first al disaster recovery, che assicura che le minacce informatiche non vengano reintrodotte.
- Backup e ripristino dell'AD automatizzati, veloci e verificabili
- Analisi forense post-attacco per prevenire compromissioni ripetute
La conformità alle normative FCA è una questione di igiene della sicurezza AD
Il mandato della FCA non chiede altro che un'adeguata sicurezza dei sistemi business-critical, che è già una priorità assoluta per qualsiasi organizzazione. Ma se, come molte organizzazioni, avete lacune non colmate nella vostra postura di sicurezza AD, sviluppare un piano documentato per affrontare queste vulnerabilità è un primo passo essenziale per soddisfare i requisiti di resilienza operativa della FCA.