Le organizzazioni sono alla ricerca di tecnologie all'avanguardia per soddisfare le crescenti esigenze aziendali. Ma con la crescita dell'organizzazione cresce anche la sua superficie di attacco. È importante comprendere le potenziali vulnerabilità, soprattutto quelle relative alle risorse di identità Tier 0 come Active Directory. Per individuare tali rischi, molte organizzazioni si rivolgono alle soluzioni SIEM (Security Information and Event Management) o SOAR (Security Orchestration, Automation and Response). Ma quanto sono abili SIEM e SOAR nel proteggere AD?
Attenuazione delle minacce tramite il monitoraggio dei log
La sicurezza informatica è un processo continuo. Con l'emergere costante di nuovi attacchi, è necessario monitorare costantemente l'ambiente per individuare le minacce alla riservatezza, all'integrità e alla disponibilità delle risorse di identità e delle operazioni aziendali dell'organizzazione. Individuare le minacce nelle fasi iniziali è fondamentale per poterle bloccare sul nascere e ridurre al minimo il loro impatto finanziario o reputazionale.
Molte organizzazioni implementano soluzioni che rilevano gli incidenti sulla base dei log di sicurezza. Tuttavia, il monitoraggio della massiccia attività di log che può derivare da questo monitoraggio può essere un compito noioso. Le soluzioni SIEM e SOAR forniscono risposte automatiche che alleggeriscono questo compito.
Le differenze tra SIEM e SOAR
Anche se SIEM e SOAR si assomigliano per alcuni aspetti, esistono diverse differenze tra queste due tecnologie di sicurezza.
Che cos'è il SIEM?
Le aziende possono utilizzare il SIEM per raccogliere, centralizzare e archiviare i log da varie fonti, in tempo reale. È possibile utilizzare questo approccio per monitorare le attività sospette e analizzare gli eventi passati. Il SIEM può raccogliere i log da reti, sistemi, infrastrutture, applicazioni o asset specifici.
Il SIEM può ottenere feed di minacce esterne e utilizzare analisi avanzate per notificare eventi dannosi nel vostro ambiente. Il SIEM alleggerisce gli analisti assumendo gran parte del lavoro manuale ed eseguendo analisi approfondite, facilitate dalla capacità di centralizzare il monitoraggio, la registrazione e gli avvisi. Basato sulla correlazione degli eventi, lo strumento offre visibilità sui registri di tutta l'azienda, aiutandovi a ridurre le potenziali minacce più rapidamente di quanto sia possibile analizzando tali registri separatamente. Ad esempio, i registri degli eventi di Active Directory sono ospitati su ogni controller di dominio, quindi per ottenere una visione olistica dell'attività del servizio è necessario raccogliere e correlare tutti questi registri. È inoltre possibile creare avvisi e dashboard personalizzati per visualizzare più facilmente i dati e i problemi.
Che cos'è il SOAR?
SOAR aiuta le organizzazioni ad automatizzare la risposta agli incidenti, sulla base degli avvisi generati. Inoltre, analizza i modelli di comportamento, fornisce previsioni e unifica le risposte. Queste soluzioni possono essere utilizzate per gestire i casi, oltre a disporre di flussi di lavoro e playbook automatizzati.
SOAR presenta sia vantaggi tecnici che organizzativi. La sua automazione avanzata fa risparmiare tempo agli analisti della sicurezza, riducendo il lavoro manuale e ottimizzando le risorse. SOAR può anche contribuire a ridurre i tempi di risposta agli incidenti, il che influisce direttamente sulla produttività e sull'efficienza. Inoltre, la funzione di gestione dei casi della soluzione consente di accedere agli avvisi passati per scopi di ricerca, ad esempio per comprendere i modelli specifici dell'organizzazione e gli eventi passati.
E gli attacchi basati su AD?
Data l'ampia diffusione di Active Directory e il controllo su dispositivi e utenti, non c'è da stupirsi che i criminali informatici escogitino sempre nuovi modi per compromettere l'AD e ottenere l'accesso alle risorse delle organizzazioni. Ecco perché è indispensabile comprendere i tipi di attacchi che prendono di mira l'AD e come SIEM e SOAR possono (e non possono) aiutare a rilevare queste minacce.
La protezione e il monitoraggio dell'AD possono essere impegnativi a causa del crescente panorama delle minacce e delle tecniche e tattiche avanzate utilizzate dagli hacker per coprire le proprie tracce. Per gli attacchi legati all'AD, è necessario monitorare principalmente i log degli eventi dei controller di dominio (DC). È possibile utilizzare il SIEM per rilevare attività sospette, ma attenzione: Alcuni degli attacchi più dannosi legati all'AD coprono le loro tracce, consentendo loro di nascondersi dalle soluzioni SIEM prive di funzionalità estese.
- DCShadow: questa funzione di Mimikatz registra momentaneamente un DC disonesto creando un nuovo oggetto server nella partizione di configurazione. Una volta creato, il nuovo DC inietta aggiornamenti di oggetti o attributi (ad esempio, aggiungendo il SID noto dell'account Domain Admin nell'attributo sIDHistory per mantenere la persistenza dei diritti amministrativi), quindi si rimuove immediatamente. Poiché il client dell'attore delle minacce è un DC al momento degli aggiornamenti, le modifiche non vengono registrate nel registro degli eventi di sicurezza perché l'attività è una normale replica da DC a DC. Come hanno avvertito i creatori di DCShadow, questo attacco può "rendere cieco il vostro SIEM da un milione di dollari".
- Zerologon: Questa vulnerabilità (CVE-2020-1472) consente a un utente non autenticato con accesso di rete a un controller di dominio di ottenere i privilegi di amministratore di dominio e di scaricare le credenziali AD. Poiché questo archivio di credenziali include anche l'account KRBTGT per il dominio, Zerologon è anche alla base di molti attacchi Golden Ticket, che utilizzano tale account.
- Attacco basato sulla modifica dei Criteri di gruppo: Questo attacco altera i Criteri di gruppo ed esegue azioni distruttive, come la propagazione dell'installazione di ransomware agli endpoint. Purtroppo, le modifiche ai Criteri di gruppo non creano avvisi sospetti.
Limitazioni SIEM e SOAR nella protezione AD
I registri di registrazione e monitoraggio svolgono un ruolo importante nel rilevamento delle minacce, contribuendo a proteggere e mantenere gli standard di sicurezza dell'organizzazione. Tuttavia, poiché non tutti gli attacchi Active Directory lasciano tracce di log, dipendere esclusivamente da una soluzione SIEM o SOAR per individuarli può essere un azzardo rischioso. Pertanto, le organizzazioni devono prendere in considerazione un prodotto in grado di integrarsi con il SIEM e di monitorare più fonti di dati, invece di affidarsi esclusivamente ai log degli eventi relativi al controller di dominio.
Quando prendono di mira l'AD, i criminali informatici mettono in atto diverse tattiche per evitare il rilevamento. Poiché AD svolge un ruolo fondamentale nella gestione degli accessi, è importante mantenerne l'integrità e rilevare immediatamente le modifiche dannose, anche quelle che evitano la registrazione.
Il recente rapporto di Gartner sulle best practice per la gestione dell'identità e dell'accesso (IAM), Implement IAM Best Practices on Your Active Directory, rileva che le soluzioni di rilevamento e risposta alle minacce AD (AD TDR) svolgono una funzione importante nel rilevamento e nella risposta alle minacce all'identità (ITDR) e possono integrarsi con gli strumenti SIEM e SOAR per identificare le minacce che questi strumenti non sono in grado di individuare.
Monitoraggio specifico dell'AD per una protezione completa
Monitorando e valutando più fonti di dati, compreso il flusso di repliche AD, per identificare le minacce, le organizzazioni possono individuarle rapidamente. Se implementate insieme a soluzioni SIEM o SOAR, le soluzioni di monitoraggio costruite per AD forniscono la visibilità più profonda di cui le organizzazioni hanno bisogno.
Strumenti come Purple Knight e Semperis Directory Services Protector (DSP) si concentrano sugli indicatori di sicurezza di Active Directory. Questi indicatori di esposizione (IOE) o indicatori di compromissione (IOC) possono rivelare vulnerabilità ed exploit che le normali soluzioni SIEM o SOAR non catturano. DSP offre anche il rollback automatico delle attività sospette, in modo da poter mitigare gli attacchi anche senza l'intervento umano.
Le soluzioni SIEM e SOAR sono strumenti utili. Ma nell'attuale panorama della sicurezza, la migliore difesa è quella a strati.