Daniel Lattimer | Vicepresidente Area EMEA Ovest

Il Digital Operational Resilience Act (DORA) è un quadro legislativo dell'Unione Europea (UE) che mira a rafforzare la resilienza operativa dei sistemi digitali nel settore finanziario. Tutte le entità finanziarie che operano nell'UE o con l'UE devono raggiungere la conformità al DORA entro l'inizio del 2025, così come i fornitori di tecnologie dell'informazione e della comunicazione (ICT) che supportano tali entità. Questo articolo illustra i 5 pilastri della conformità DORA dal punto di vista della sicurezza di Active Directory, in modo che la vostra organizzazione sia ben preparata a soddisfare i requisiti di questa normativa.

Leggete "Conformità DORA e ITDR".

I 5 pilastri della conformità DORA

Il DORA contiene cinque pilastri della resilienza:

  • Gestione del rischio ICT
  • Gestione, classificazione e segnalazione degli incidenti legati alle TIC
  • Test di resilienza operativa digitale
  • Gestione del rischio ICT di terzi
  • Condivisione delle informazioni

Per raggiungere la conformità DORA nel suo complesso, ogni pilastro deve essere considerato e affrontato. Come ho spiegato in "Conformità DORA e ITDR", una parte essenziale della conformità DORA è la comprensione e la mappatura dei servizi essenziali, dei sistemi e delle loro dipendenze per garantire che siano ben protetti dalle minacce digitali e che ogni servizio abbia un piano di risposta agli incidenti completo e verificabile.

La gestione e il monitoraggio di Active Directory sono la pietra miliare di un'efficace sicurezza dell'ambiente attraverso la gestione delle identità e degli accessi degli utenti (IAM). Ciò pone la sicurezza di Active Directory sotto la responsabilità di DORA.

Un quadro chiaro e accurato della vostra configurazione AD è fondamentale per mantenere la postura di sicurezza del vostro ambiente e dimostrare la conformità DORA. Ecco come soddisfare i requisiti dei cinque pilastri critici di resilienza del DORA nel contesto di Active Directory e delle sue sfide specifiche.

Pilastro 1 della conformità DORA: gestione del rischio ICT e governance

La gestione del rischio richiede che le aziende dispongano di quadri di gestione del rischio ICT ben documentati per tutti i loro asset aziendali chiave. Questo quadro dovrebbe includere gli strumenti, la documentazione e i processi appropriati per la difesa informatica, i disturbi operativi e qualsiasi scenario che possa interrompere o interrompere la continuità operativa dei sistemi critici.

Active Directory è un servizio fondamentale, che fornisce l'autenticazione e l'accesso alla maggior parte dei servizi critici per l'azienda, tra cui l'accesso a e-mail, documenti, dati e applicazioni. Se Active Directory si blocca, si blocca anche tutto il resto.

Per soddisfare i requisiti del pilastro di gestione del rischio del DORA in relazione ad Active Directory, la vostra organizzazione deve dimostrare che:

  • Avete piena visibilità della vostra configurazione di Active Directory e dei sistemi e servizi che ne dipendono.
  • È possibile controllare ciò che accade in Active Directory
  • È possibile ripristinare Active Directory se qualcosa va storto

Da dove cominciare per la gestione del rischio?

Le aziende non devono necessariamente partire da zero con il DORA e la gestione del rischio. È possibile utilizzare come punto di partenza i quadri, le norme e le linee guida del settore esistenti, come MITRE ATT&CK®(una base di conoscenza globale delle tattiche e delle tecniche di attacco informatico).

Anche le norme storiche, come la SANS Top 20 o la CIS Controls, sono risorse complete su cui costruire un quadro di gestione del rischio. Queste norme esaminano sia le risorse hardware e software che lo stato di configurazione.

Questi framework e conformità costituiscono la base da cui partire per prendere decisioni basate sul rischio per il vostro ambiente.

La tecnologia e gli strumenti devono fare il lavoro pesante

La DORA richiede un approccio proattivo e continuo alla valutazione dei rischi e alle strategie di mitigazione. La legislazione richiede che i quadri di gestione del rischio "siano documentati e riesaminati almeno una volta all'anno ... nonché al verificarsi di gravi incidenti legati alle TIC e in seguito ... alle conclusioni derivanti dai pertinenti test di resilienza operativa digitale o dai processi di audit. Deve essere continuamente migliorato sulla base degli insegnamenti tratti dall'implementazione e dal monitoraggio".1

Le revisioni periodiche e il miglioramento continuo sono le migliori pratiche per una gestione efficace del rischio. Tuttavia, queste pratiche comportano anche una notevole pressione e lavoro per i team che devono mantenere e rivedere questi framework.

La tecnologia e gli strumenti sono preziosi per svolgere il lavoro pesante attraverso l'automazione e il monitoraggio proattivo, assicurando che la conformità continua richieda tempo e sforzi minimi. Ad esempio, Semperis Directory Services Protector (DSP) fornisce una visione completa delle risorse software di Active Directory e del loro stato di configurazione, rendendo la valutazione del rischio e la mappatura dell'ambiente senza soluzione di continuità, anche per le organizzazioni più complesse.

Oltre a fornire queste informazioni, DSP fornisce anche un contesto a tutte le modifiche apportate, anche in ambienti in cui si verificano migliaia di modifiche ad Active Directory. DSP è in grado di rilevare, avvisare e ripristinare automaticamente le modifiche in base a regole di avviso e risposta configurabili dal cliente. La soluzione monitora inoltre costantemente gli indicatori di esposizione e di attacco, in modo da poter identificare le vulnerabilità prima che possano essere sfruttate; se vengono rilevate tracce di un exploit, DSP le rileva come indicatori di compromissione.

"DSP... ci aiuta a proteggere Active Directory. Siamo riusciti a rafforzare la nostra infrastruttura Active Directory come mai prima d'ora. Siamo in grado di selezionare tutte le caselle di controllo e di assicurarci che sia assolutamente sicura".

Paul Ladd, vicepresidente dei sistemi informativi e della tecnologia, Unione di credito federale AMOCO

Per coloro che necessitano di ulteriore assistenza, i nostri servizi di preparazione alle violazioni possono fornire una valutazione completa della sicurezza AD.

La conoscenza è potere quando si parla di conformità. Prendersi il tempo necessario per comprendere appieno ciò che si ha a disposizione prima di passare alle fasi di pianificazione e test è fondamentale.

Pilastro 2: Segnalazione degli incidenti

Il DORA richiede la standardizzazione delle modalità di classificazione degli incidenti legati alle TIC. Le organizzazioni devono utilizzare processi e modelli definiti per la segnalazione degli incidenti e le autorità di regolamentazione richiederanno i rapporti in tre fasi:2

  • Iniziale
  • Intermedio
  • Fase finale di un incidente

Come per il pilastro della gestione del rischio del DORA, le linee guida e i quadri di riferimento esistenti per la rendicontazione possono essere utili per sviluppare il processo di rendicontazione.

L'approccio di DORA alla resilienza non consiste necessariamente nell'esaminare ogni singolo componente, ma nel riesaminare l'intera catena di attacco o di difesa che avete in atto, nonché le interdipendenze dei componenti. È qui che può essere utile il framework MITRE ATT&CK. Tracciate scenari teorici e poi fate un rapporto su tali scenari. La base di conoscenze e i modelli del MITRE sono standard industriali, gratuiti e open source. È un ottimo modo per capire come gli aggressori cercano di colpirvi e come dovreste difendervi da queste minacce.

La normativa descrive i componenti essenziali di un processo di segnalazione degli incidenti olistico ed efficace. Analizziamo questi requisiti e le loro implicazioni per la segnalazione degli incidenti di Active Directory.

Identificare e classificare gli incidenti

In primo luogo, il DORA richiede che le entità finanziarie "stabiliscano procedure per identificare, tracciare, registrare, classificare e classificare gli incidenti legati all'ICT in base alla loro priorità e alla gravità e criticità dei servizi impattati".3 In altre parole, ora che avete identificato e valutato i vostri rischi, il passo successivo è quello di concordare e standardizzare il modo in cui i diversi incidenti vengono classificati all'interno dell'azienda.

La classificazione è una fase cruciale. Raggruppando i tipi di incidenti e i relativi piani di risposta, è possibile risolvere gli incidenti in modo tempestivo e accurato.

Come parte del pilastro di gestione del rischio di DORA, dovreste aver mappato tutti i probabili scenari di incidenti di Active Directory e averne considerato gli impatti, preparando tali incidenti per la classificazione. Come ho spiegato in precedenza, Active Directory è fondamentale per la continuità aziendale, quindi la classificazione deve riflettere questa criticità.

Nel Microsoft 2023 Digital Defense Report, Microsoft ha evidenziato che durante le attività di incidenting, il 43% dei clienti che hanno subito incidenti aveva configurazioni di Active Directory non sicure:

Le lacune più frequenti che abbiamo riscontrato durante le attività di risposta reattiva agli incidenti sono state:

  • Mancanza di protezione adeguata per gli account amministrativi locali.
  • Una barriera di sicurezza infranta tra amministrazione on-premise e cloud.
  • Mancanza di adesione al modello del minimo privilegio.
  • Protocolli di autenticazione legacy.
  • Configurazioni Active Directory non sicure.

Per quasi tutte le entità finanziarie, Active Directory dovrebbe essere classificato come ad alta priorità e gravità a causa del potenziale impatto di compromissione, infiltrazione o interruzione.

Semperis" gratuito Purple Knight e Forest DruidPurple Knight rileva gli indicatori di esposizione e compromissione e fornisce un piano chiaro e attuabile per affrontare queste aree e risolvere eventuali problemi. Forest Druid mappa i percorsi di attacco ad Active Directory e Entra ID. Eseguendo Purple Knight e Forest Druid come parte del vostro regolare ciclo di revisione, farete un altro passo avanti verso la conformità.

Scaricare Purple Knight e Forest Druid ora

Assegnazione dei ruoli di risposta agli incidenti

Inoltre, il DORA stabilisce che le organizzazioni "assegnano ruoli e responsabilità che devono essere attivati per diversi tipi di incidenti e scenari legati alle TIC "4 .

Il rilevamento e il tempo di risposta sono due dei fattori più importanti per risolvere con successo gli incidenti e ridurre al minimo l'impatto. Questa finestra di opportunità si chiude rapidamente. Microsoft e altre fonti hanno rilevato che in genere passano meno di 2 ore tra il momento in cui un aggressore compromette un dispositivo e il movimento laterale dell'aggressore attraverso la rete, dando ai team solo poco tempo per contenere un attacco. Pertanto, assicurarsi che ogni persona e ogni team conosca il proprio ruolo nella risposta agli incidenti e disponga di un manuale e di un kit di strumenti ben collaudati per svolgere tali ruoli mette l'organizzazione nella migliore posizione possibile per affrontare rapidamente qualsiasi scenario di incidente.

Comunicazione e notifica

Il DORA richiede inoltre che le organizzazioni "definiscano piani per la comunicazione al personale, agli stakeholder esterni e ai media [...] e per la notifica ai clienti, per le procedure interne di escalation" e "garantiscano che almeno gli incidenti più importanti legati alle TIC siano segnalati all'alta dirigenza competente e informino l'organo di gestione di almeno gli incidenti più importanti legati alle TIC, spiegando l'impatto, la risposta e i controlli aggiuntivi da stabilire di conseguenza".5

Una comunicazione efficace e la notifica degli incidenti richiedono visibilità sulle azioni degli attaccanti. Questa visione non solo favorisce una rapida risoluzione, ma può anche aiutarvi a creare un processo di notifica definito e semplice, in modo da poter comunicare rapidamente gli incidenti, il loro impatto e la vostra risposta.

Rispondere agli attacchi di Active Directory

Infine, il DORA indica alle organizzazioni di "stabilire procedure di risposta agli incidenti legati alle TIC per mitigare gli impatti e garantire che i servizi diventino operativi e sicuri in modo tempestivo".6

L'automazione può accelerare la risposta agli incidenti. Ad esempio, Semperis DSP è in grado di automatizzare il processo di bonifica e di intervenire contro le azioni dannose, annullando automaticamente le modifiche indesiderate in Active Directory ed Entra ID fino a quando i team IT o di sicurezza non possono rivederle e approvarle. È inoltre possibile creare avvisi personalizzati per notificare automaticamente al personale attività sospette o pericolose in AD e Entra ID.

Naturalmente, la semplice documentazione del piano di reporting non è sufficiente a soddisfare i requisiti DORA. È necessario anche rivedere, testare e formare il personale sulle procedure e sugli strumenti di reporting e comunicazione. Ciò contribuisce a garantire la conformità del piano.

Pilastro 3: test di resilienza operativa digitale

Finora abbiamo affrontato le componenti di pianificazione, mappatura e reporting dei pilastri DORA. Ora è il momento dei test di resilienza. Il DORA stabilisce che le organizzazioni devono "mantenere e rivedere un programma di test di resilienza operativa digitale solido e completo" che includa "una serie di valutazioni, test, metodologie, pratiche e strumenti" e stabilire "procedure e politiche per dare priorità, classificare e porre rimedio a tutti i problemi emersi durante l'esecuzione dei test "7 .

I test di resilienza sono una componente cruciale della normativa, in quanto la conformità al DORA richiede la prova che i test siano stati eseguiti con successo.

Il problema di testare gli scenari di Active Directory

I test di resilienza previsti dal DORA devono comprendere una serie di possibili disturbi, da sofisticati attacchi informatici che mirano a violare o interrompere i sistemi a errori operativi come la cancellazione accidentale dei dati. Il problema è che il test di Active Directory non è semplice. Inoltre, la criticità del directory store può indurre i team a diffidare dall'eseguire test dal vivo:

  • Se si disattiva Active Directory, non funziona nient'altro.
  • I test di Active Directory richiedono tempo e lavoro.
  • Qualsiasi errore comporta un elevato rischio di perdita di dati e di interruzione dell'attività.

Per questi motivi, molte organizzazioni preferiscono eseguire esercizi di test cartacei quando si tratta di AD. Tuttavia, questo approccio non è sufficiente per ottenere la conformità DORA.

Quali sono gli scenari chiave da testare?

Ogni potenziale scenario di attacco ad Active Directory richiede un diverso playbook di test, a causa dei diversi livelli di accesso alla piattaforma da parte dei team di risposta. Considerate le seguenti possibilità:

  • Active Directory è sparita. La piattaforma è compromessa e non ci si può fidare.
  • L'AD è operativo ma è sotto attacco attivo. Active Directory non è stato criptato, ma una qualche forma di minaccia informatica o malware ha violato il sistema.
  • Si è verificato un errore catastrofico. Ad esempio, un database è danneggiato, un gruppo di utenti critici è stato eliminato o alcuni utenti non hanno più accesso.

Per ognuno di questi scenari, le esercitazioni in tempo reale e l'implementazione di processi manuali svolgono un ruolo fondamentale nei test di resilienza.

Ad esempio, di recente abbiamo condotto un'esercitazione dal vivo con un cliente. Durante l'esercitazione, abbiamo scoperto che l'organizzazione avrebbe avuto bisogno di 48 ore per riportare Active Directory alle normali operazioni, utilizzando processi manuali e backup storici. Questo lasso di tempo è ben al di là della tolleranza al rischio della maggior parte delle aziende.

Simulazione e strategie di risposta

Una buona opzione per ridurre il rischio e l'ansia di testare il ripristino AD è la creazione di un ambiente di test alternativo dove i potenziali scenari possono essere simulati in modo sicuro senza mettere a rischio l'infrastruttura operativa principale. Questo approccio consente di valutare in modo realistico la preparazione e le strategie di risposta dell'entità senza esporre a rischi i sistemi principali.

Pilastro 4: Gestione del rischio ICT di terzi

Il penultimo pilastro riguarda il rischio di terzi da parte dei fornitori di ICT. Il DORA stabilisce che questo rischio deve essere gestito dall'organizzazione di servizi finanziari, ma che i fornitori terzi sono contrattualmente obbligati a supportare l'azienda in caso di incidente di cybersecurity. In questi casi, i fornitori di ICT devono fornire le informazioni appropriate e i più alti standard di sicurezza possibili per i servizi che forniscono.8

In che modo la gestione dei rischi di terze parti influisce su Active Directory?

Molti utenti di terze parti, partner esterni o fornitori, accedono ai sistemi di un'organizzazione tramite Active Directory. Pur essendo esterni, questi utenti appaiono e funzionano all'interno del sistema come legittimi utenti interni, utilizzando gli account forniti dall'organizzazione.

Questa pratica, pur essendo essenziale, introduce delle complessità nella gestione e nella protezione degli accessi. Aumenta la potenziale esposizione al rischio, in quanto gli account di terzi possono essere vulnerabili all'uso improprio o agli attacchi informatici.

Le organizzazioni devono essere preparate a combattere questo rischio. Ad esempio, grazie al monitoraggio continuo delle modifiche all'ambiente e al rilevamento degli attacchi basato su ML, Semperis è in grado di identificare e mitigare gli attacchi basati sull'identità, riducendo così al minimo i rischi di terze parti in Active Directory.

Pilastro 5: Condivisione delle informazioni

L'ultimo pilastro della resilienza riguarda la condivisione delle informazioni, richiedendo alle entità finanziarie di delineare strategie per la condivisione di informazioni sulle minacce e lo scambio di informazioni in modo sicuro all'interno di comunità fidate.9

Questa pratica è già in atto in molti casi. Ad esempio, il National Cyber Security Centre (NCSC) e la Bank of England facilitano queste discussioni all'interno della comunità dei servizi finanziari. Ma con il DORA, le entità finanziarie sono obbligate a contribuire con l'obiettivo di migliorare la posizione di sicurezza complessiva del settore.

Condivisione di informazioni su incidenti e minacce AD

Semperis partecipa a queste discussioni, condividendo intuizioni e ricerche per educare il settore a proteggersi meglio dalle minacce emergenti e in evoluzione. Il nostro team di ricerca specializzato scopre regolarmente nuovi e interessanti modi in cui gli aggressori abusano di Active Directory e Entra ID. Tutte queste ricerche vengono inserite nei nostri strumenti gratuiti per la comunità come Purple Knight e Forest Druide, di conseguenza, ogni organizzazione può beneficiare della potenza di queste informazioni.

Ottenete subito un quadro completo della vostra configurazione AD ibrida

Una delle sfide principali della conformità al DORA è che il regolamento delinea le aspettative di conformità, ma non fornisce alcun quadro specifico su come le aziende possono mettere in atto queste misure e, in definitiva, da dove dovrebbero iniziare.

L'analisi di questi cinque pilastri e dei loro requisiti all'interno di Active Directory è un ottimo primo passo, se si dispone di una buona visibilità della configurazione. Ma come abbiamo visto, è impossibile proteggere qualcosa senza una sufficiente conoscenza.

Da dove cominciare? Scarica Purple Knight e Forest Druid per avere un quadro dello stato di configurazione di Active Directory e delle potenziali esposizioni. Otterrete un piano chiaro, attuabile e gratuito per affrontare queste aree e risolvere eventuali problemi, mettendovi nella posizione migliore per iniziare il vostro percorso di conformità DORA per Active Directory.

Scarica subito gli strumenti gratuiti

Altri articoli della nostra serie sulla conformità DORA

Risorse

1 https://www.digital-operational-resilience-act.com/Article_6.html

2 https://www.digital-operational-resilience-act.com/Article_19.html

3,4,5,6 https://www.digital-operational-resilience-act.com/Article_17.html

7 https://www.digital-operational-resilience-act.com/Article_24.html

8 https://www.digital-operational-resilience-act.com/Article_28.html

9 https://www.digital-operational-resilience-act.com/Article_45.html