Active Directory è stato uno dei principali strumenti di sicurezza informatica per oltre due decenni. Il problema della protezione di AD, utilizzato da circa il 90% delle aziende Fortune 1000, dagliattacchi ransomware è semplicemente che non è stato progettato per il panorama della sicurezza odierno. Molte organizzazioni non conoscono nemmeno la mappa completa della loro implementazione, rendendo AD il bersaglio perfetto per gli attori delle minacce.
Le organizzazioni sanitarie, in particolare, sono esposte a rischi significativi. Un tempo considerato "off limits" dagli aggressori, questo settore è sempre più bersagliato. Cosa possono fare le organizzazioni sanitarie per proteggersi?
Cosa rende Active Directory un obiettivo così interessante?
Per quanto riguarda l'infrastruttura IT, Active Directory è la base dell'intera infrastruttura IT. Vedetela in questo modo: Quando un'implementazione AD viene compromessa, l'aggressore non ha solo le chiavi del regno: ora ha una mappa del tesoro che gli mostra dove trovare qualsiasi cosa di valore, oltre a una superstrada per arrivarci.
"Le informazioni memorizzate in Active Directory sono molte", spiega Matt Sickles, Strategic Architect di Sirius Healthcare. Una mappa della rete, un elenco di siti e servizi, l'ubicazione e i dettagli di tutti gli amministratori, persino un organigramma". Questo permette agli aggressori di utilizzare Active Directory come arma per attacchi molto sofisticati".
La prevenzione inizia dalle basi
I cyberattacchi sofisticati come quello di SolarWinds possono essere oggetto di grande attenzione da parte della stampa, ma questi casi di alto profilo non sono la norma. La maggior parte degli aggressori cerca i frutti più bassi. Vogliono trovare obiettivi che garantiscano il miglior rapporto sforzo/rendimento possibile.
La maggior parte degli attacchi coinvolge un aggressore che sfrutta una svista, ad esempio un server non patchato. Le misure di sicurezza di base possono contribuire notevolmente a eliminare questo tipo di minacce, compreso il ransomware.
"Poiché molti scenari di attacco si basano su credenziali elevate compromesse, il concetto di minor privilegio è importante per la protezione di Active Directory", spiega Sickles. "Limitare i permessi, assicurarsi di avere un catalogo delle politiche di gruppo e monitorare eventuali modifiche. È inoltre necessario assicurarsi che ogni account di servizio abbia una password forte.
"Le aziende hanno anche bisogno di un modo per filtrare gli avvisi di sicurezza AD e gestire o controllare gli account di servizio", aggiunge. "Infine, l'autenticazione a più fattori è una delle migliori difese contro il ransomware".
Perché la sicurezza "tradizionale" è insufficiente
Quando si parla di sicurezza informatica, Active Directory si rivela un problema unico. A causa della complessità intrinseca di AD e della natura degli account di servizio, rilevare gli indicatori di compromissione e proteggere proattivamente AD dalle minacce può essere difficile, soprattutto se il rilevamento si basa sull'esame dei log di sicurezza.
"Quando si ottiene una password per un account di servizio con autorizzazioni elevate, spesso sembra un'attività normale", osserva Sickles. "Di solito non ci si accorge che è stato compromesso fino a quando non viene consegnato un qualche tipo di carico utile o un attacco diretto". Inoltre, sebbene esistano alcuni strumenti forniti da Microsoft per proteggere Active Directory, non esiste un unico download che copra facilmente i problemi di sicurezza di base".
"Affrontare le complessità di Active Directory è molto difficile", continua. "Essendo un fornitore specializzato, Semperis ha degli strumenti eccellenti per questo".
I criminali prendono sempre più di mira i backup
I backup sono la migliore difesa contro il ransomware. Purtroppo i criminali lo sanno. Di conseguenza, molti attori del ransomware aspettano settimane o addirittura mesi per attivare il loro payload. Peggio ancora, molti prendono di mira direttamente i backup di Active Directory.
Quando si esegue un backup convenzionale di un controller di dominio AD, si esegue il backup dell'intero server e di tutto ciò che contiene, compreso qualsiasi malware in agguato.
"Uno dei rischi maggiori per ogni organizzazione è quello di collegare l'SSO da Active Directory al sistema di backup", afferma Sickles. "I backup devono quindi essere domini separati e completamente isolati o account locali. La mia massima raccomandazione, tuttavia, è quella di assicurarsi che i backup siano veramente immutabili e di mantenere copie con gap d'aria di tutti i sistemi critici, non solo di Active Directory".
Conoscere la distribuzione di Active Directory
Molte organizzazioni danno per scontata la presenza di Active Directory. Non ne comprendono l'importanza o non hanno visibilità su AD. Inoltre, presumono che il loro piano di disaster recovery copra Active Directory, ma spesso non è così.
"Active Directory è uno dei servizi fondamentali dell'organizzazione", osserva Sickles. "È importante avere una rete di sicurezza per quando è offline, ad esempio un controller di dominio in modalità Safe Harbor. Ed è fondamentale che le aziende sappiano come tutto si incastra".
Non limitatevi a implementare le soluzioni di sicurezza, ma abbiate un piano.
Le soluzioni di sicurezza da sole non saranno mai sufficienti. Per proteggersi veramente, le aziende devono esaminare anche i processi organizzativi.
La differenza tra una risposta rapida e una lenta, tra il riuscire a bloccare o a riprendersi da un attacco e il cadere vittima degli aggressori, spesso dipende da quanto bene avete pianificato in anticipo.
"Le organizzazioni devono chiedersi come ripristinare Active Directory in caso di perdita del sistema di backup", afferma Sickles. "Questo inizia con l'assicurarsi che il centro operativo di sicurezza abbia pianificato e praticato i giusti casi d'uso e scenari. Devono eseguire tabletops su base ricorrente per assicurarsi che i loro piani e strumenti funzioninodavvero".
Affrontare le maggiori minacce AD nel settore sanitario
Per proteggere le organizzazioni sanitarie dalla criminalità informatica è necessario valutare proattivamente le minacce, mitigare gli attacchi informatici e disporre di un piano collaudato per ripristinare Active Directory. Strumenti di valutazione gratuiti come Purple Knight possono analizzare gli indicatori di esposizione e compromissione e sono un ottimo punto di partenza per migliorare la sicurezza di AD. Strumenti e servizi di backup e ripristino incentrati sull'AD, tra cui Semperis Directory Services Protector (DSP) e Active Directory Forest Recovery (ADFR), possono fornire backup AD affidabili e persino automatizzare il processo di ripristino di modifiche sospette ad AD.