In un recente webinar che ho organizzato insieme a Semperis (i responsabili dello strumento di valutazione della sicurezza Purple Knight ), ci siamo concentrati su un denominatore comune fondamentale per i recenti attacchi di alto profilo: Active Directory. Nella sessione "Come gli attaccanti sfruttano Active Directory: Lessons Learned from High-Profile Breaches", Sean Deuby e Ran Harel di Semperis si sono uniti a me per discutere di quattro recenti attacchi che hanno fatto notizia: SolarWinds, l'attacco Hafnium Exchange 0-day, l'attacco Colonial Pipeline e l'attacco all'Ireland Health Service. Sebbene ogni violazione sia stata diversa in termini di tattiche e sia stata eseguita da diversi malintenzionati, tutte hanno avuto conseguenze devastanti. Nel corso della nostra discussione, abbiamo affrontato tre delle più importanti misure preventive che le organizzazioni possono adottare per proteggersi dai cyberattacchi.
"Per non essersi accorti degli eventi significativi in materia di sicurezza informatica che si sono verificati di settimana in settimana, bisogna aver vissuto sotto una roccia nell'ultimo anno. Passiamo molto tempo a parlare dei nuovi modi in cui i cattivi attaccano. Ma in realtà gli attori delle minacce non vogliono trovare nuovi modi; vogliono solo entrare e la superstrada per gli attori delle minacce è Active Directory".
Sean Deuby, Direttore dei servizi di Semperis
1. Proteggere le e-mail dalle minacce avanzate
Uno dei punti di ingresso più comuni per gli aggressori è la posta elettronica. Le campagne di phishing avanzate sono estremamente convincenti per gli utenti finali e offrono agli aggressori la possibilità di ottenere credenziali valide e/o di inviare malware agli endpoint. È di fondamentale importanza che le organizzazioni adottino un approccio multiforme per proteggersi da queste minacce. La formazione sulla sicurezza e le simulazioni di phishing sono importanti per educare e misurare il rischio. Per quanto si possa fare formazione, gli aggressori avranno comunque successo. Per combattere questo problema, una soluzione avanzata di protezione dalle minacce via e-mail, che vada oltre gli strumenti anti-spam e anti-virus, deve far parte della vostra strategia di difesa. Un servizio che utilizza algoritmi di apprendimento automatico e altri rilevamenti avanzati per individuare e bloccare i messaggi di phishing e gli allegati sospetti deve essere presente nel panorama odierno delle minacce.
2. Impedire il movimento laterale
Una volta compromesso un computer client o un server membro, l'aggressore cercherà di spostarsi lateralmente attraverso la rete e di aumentare i privilegi. Impedire il movimento laterale rende il lavoro dell'attaccante molto più difficile. È possibile mettere in atto alcuni controlli tecnicamente semplici, ma a volte impegnativi dal punto di vista operativo, per bloccare gli spostamenti laterali. Innanzitutto, la password dell'amministratore locale su ogni endpoint deve essere diversa. Microsoft offre una soluzione gratuita chiamata Local Administrator Password Solution (LAPS) per raggiungere questo obiettivo. In secondo luogo, non è possibile annidare gli account di dominio nel gruppo degli amministratori locali per facilitare l'assistenza IT. Il personale IT deve utilizzare LAPS per recuperare le credenziali amministrative di endpoint specifici.
3. Accesso sicuro alle credenziali privilegiate
Impedire agli avversari di ottenere un accesso privilegiato, in particolare all'amministratore di dominio, è una difesa fondamentale. Se un avversario riesce ad aumentare i propri privilegi, può ottenere un controllo maggiore o addirittura completo dell'intera rete. L'implementazione di controlli efficaci per isolare e proteggere le credenziali di privilegio è estremamente importante. Due delle serie di controlli più comuni che implementiamo presso Ravenswood Technology Group sono i concetti di controlli di sicurezza a livelli e di postazioni di lavoro ad accesso privilegiato (PAW). I controlli di sicurezza a livelli impediscono che le credenziali ad alto privilegio siano esposte a risorse a rischio più elevato, come i computer client, dove le credenziali potrebbero essere rubate. Le PAW isolano le attività che un amministratore esegue dalla propria postazione di lavoro quotidiana a una postazione di lavoro altamente protetta, proteggendo la credenziale e la sessione dell'amministratore da vettori di minacce come la posta elettronica, l'accesso a Internet e alcuni tipi di malware.
Il vostro AD è pronto per il panorama odierno delle minacce?
Gli attacchi di cui abbiamo parlato in questo webinar sono solo quattro delle innumerevoli violazioni che fanno notizia ogni giorno. La protezione avanzata dell'ambiente IT dell'organizzazione è fondamentale e, praticamente per qualsiasi azienda, Active Directory deve essere un componente fondamentale della strategia di protezione avanzata. Per una valutazione gratuita dei controlli di sicurezza di Active Directory, Purple Knight per un test drive gratuito per valutare la tua Active Directory. Tra Ravenswood e Semperis, probabilmente non ci sono due organizzazioni (al di fuori di Microsoft stessa) con più esperienza combinata nella sicurezza di AD. Abbiamo una partnership estremamente potente che aiuta le organizzazioni di tutto il mondo ad alzare l'asticella della sicurezza delle identità ibride.
Per ottenere ulteriori consigli su come proteggere la vostra organizzazione, consultate il seminario web on-demand. Inoltre, è possibile scaricare gratuitamente il sito Purple Knight per identificare e risolvere le lacune di sicurezza dell'AD e acquisire fiducia nella sicurezza del vostro ambiente AD, indipendentemente dalla sua complessità, dalla sua complessità o dalla sua trascuratezza.