Huy Kha | Architetto senior per l'identità e la sicurezza

Forest Druid è uno strumento gratuito di individuazione dei percorsi di attacco per ambienti di identità ibridi, come Active Directory ed Entra ID. A differenza degli strumenti tradizionali che mappano i percorsi di attacco dal perimetro esterno verso l'interno, Forest Druid si concentra sulla protezione degli asset più critici.

Questo metodo dà priorità all'identificazione e alla protezione degli asset di livello 0, che sono le parti più privilegiate e sensibili della rete(Figura 1). Tali risorse comprendono gli account amministrativi e i server con controllo sui sistemi di gestione delle identità come Active Directory. Proteggendo questi asset di livello 0, le organizzazioni possono proteggere meglio la loro infrastruttura IT complessiva.

Figura 1. Attività preconfigurate di livello 0 che sono note per essere rischiose.

La sfida delle identità compromesse

La risposta a un incidente può essere travolgente, soprattutto quando si ha a che fare con identità compromesse in un ambiente Active Directory. Durante la risposta a un incidente in corso, come un incidente di ransomware, è fondamentale identificare il rischio rappresentato dalle nuove identità compromesse e capire come gli aggressori potrebbero scalare i privilegi per accedere alle risorse di livello 0.

Gli aggressori spesso prendono di mira questi account con privilegi elevati per ottenere il controllo della rete e diffondere il ransomware. Pertanto, è essenziale dare priorità alla protezione di queste risorse per mitigare l'impatto di un attacco di questo tipo.

La visualizzazione fornita da Forest Druid facilita la comprensione dell'impatto potenziale di un account compromesso, offrendo una migliore comprensione dei rischi associati.

Nell'esempio seguente, si può notare che l'identità specificata impiegherebbe tre hops per elevare i propri privilegi a un asset di livello 0(Figura 2). Identificando il numero di hops necessari a un'identità compromessa per raggiungere gli asset di livello 0, è possibile valutare meglio il livello di esposizione di tali asset. In questo modo è possibile dare priorità ai percorsi di attacco critici che necessitano di rimedio e comprendere lo sforzo necessario a un attaccante per raggiungere il livello 0.

Figura 2. Una panoramica visualizzata del numero di hops necessari a questa identità compromessa per raggiungere il Tier 0.

Supponiamo di osservare un'altra identità compromessa. È possibile impostare questo account come filtro di origine per mappare tutti i percorsi di attacco diretti al Tier 0(Figura 3).

Figura 3. Impostando un account come filtro di origine, vengono tracciati tutti i percorsi di attacco da quell'account agli asset critici, come il Tier 0.

Una volta impostato un account come filtro di origine, Forest Druid inizia a tracciare visivamente tutti i percorsi di attacco che portano da quell'account al Tier 0(Figura 4).

Figura 4. Impostando un filtro di origine, vengono visualizzati tutti i percorsi di attacco da quell'account al Tier 0.

Risposta agli incidenti insieme al contenimento e al recupero

Con l'aumento degli attacchi ransomware, i ruoli di incident response si sono ampliati fino a includere il contenimento e il recupero. Questo cambiamento evidenzia la necessità di gestire contemporaneamente le indagini e gli sforzi di contenimento. Il contenimento si concentra sull'arresto della diffusione di un attacco, sulla minimizzazione dei danni, sulla riduzione della superficie di attacco degli asset di livello 0 e sull'indurimento dei sistemi critici come Active Directory. Il recupero prevede il ripristino dei sistemi e dei dati al normale funzionamento, in particolare dei sistemi di identità critici come Active Directory, e la garanzia che siano sicuri e funzionanti.

I responsabili degli incidenti possono utilizzare Forest Druid come parte del loro kit di strumenti. Sebbene non sia una soluzione valida per tutti, Forest Druid fornisce una visione visualizzata della rete e del potenziale impatto degli account compromessi. Lo strumento mappa le connessioni e i percorsi di attacco, aiutando i soccorritori a identificare e correggere rapidamente i percorsi verso gli asset più critici (ad esempio, Tier 0) e a rendere più rigida Active Directory(Figura 5). Lo strumento aggiunge valore alle attività di contenimento e recupero.

Figura 5. Impostando un filtro di destinazione sul contesto di denominazione del dominio, ad esempio, si visualizzano i percorsi di attacco comuni dei gruppi e degli account integrati che devono essere esaminati.

Come raccogliere dati con Forest Druid

Quando si esegue Forest Druid per la prima volta, lo strumento chiede di selezionare il tipo di dati da raccogliere: da Active Directory o da Entra ID. In questo esempio, ho selezionato Active Directory.

Forest Druid inizia quindi a eseguire query LDAP in background, raccogliendo tutte le informazioni all'interno dell'ambiente(Figura 6). Questa raccolta di dati point-in-time consente a Forest Druid di iniziare a visualizzare i percorsi di attacco.

Figura 6. In questa fase, le query LDAP vengono eseguite in background per raccogliere i dati.

Tutti i dati raccolti vengono archiviati in una sottocartella denominata Database all'interno della cartella Backend di Forest Druid (Figura 7). I dati raccolti nella cartella Database possono essere compressi in un file ZIP e condivisi in modo sicuro con il team di risposta agli incidenti per l'analisi.

Figura 7. I dati raccolti da Forest Druid vengono salvati in una cartella chiamata Database.

Per analizzare i dati offline, il team deve solo copiare i file nella propria cartella Database all'interno della directory Forest Druid . Questa azione fornisce la stessa vista della foresta Active Directory di quando è stato eseguito inizialmente Forest Druid .

Scaricate Forest Druid e iniziate a mappare i percorsi di attacco alle vostre risorse di livello 0.

Altre risorse per l'analisi dei percorsi di attacco di Forest Druid