I CISO del settore finanziario devono affrontare un'altra nuova sfida normativa. All'inizio di quest'anno, la Securities and Exchange Commission (SEC) statunitense ha adottato nuove regole di risposta e divulgazione degli incidenti di cybersecurity, richiedendo nuovi approcci alla pianificazione del disaster recovery. Per le organizzazioni interessate, i nuovi requisiti della SEC Regulation S-P richiedono un nuovo sguardo alla sicurezza della vostra infrastruttura di identità.
Active Directory (AD), in quanto sistema critico che controlla l'accesso alla rete, richiede un'attenzione particolare in questo miglioramento. Una compromissione dell'AD potrebbe facilmente costituire un incidente da segnalare, rendendo le solide capacità di ripristino dell'AD essenziali per rispettare le strette tempistiche di divulgazione della SEC. Per prepararsi, i CISO dovrebbero iniziare a valutare (e testare) i loro attuali piani di disaster recovery AD, identificare le lacune nel soddisfare i nuovi requisiti e implementare soluzioni di ripristino automatizzate per migliorare la reattività.
Cosa significano per i CISO i nuovi requisiti della SEC Regulation S-P
La SEC richiede alle aziende di informare i clienti interessati entro 30 giorni da una violazione informatica. L'azienda deve condurre un'analisi forense della violazione:
- Cosa è successo
- Come è successo
- Cosa è stato violato
Per soddisfare anche i requisiti di reporting di base, nel 90% degli attacchi le aziende devono innanzitutto ripristinare Active Directory. Senza una AD funzionante, la rete più ampia e i sistemi operativi potrebbero non essere disponibili.
Per illustrare ulteriormente le conseguenze di una protezione AD inadeguata, si consideri quanto segue:
- Il 74% delle violazioni dei dati inizia con l'abuso di credenziali privilegiate
- Il tempo medio di accesso all'AD da parte di un malintenzionato è di 16 ore
- Il tempo mediano in cui un attaccante si sposta lateralmente dopo la compromissione del dispositivo è di 1 ora e 42 minuti
- Il tempo medio di ripristino di Active Directory dopo un attacco è di 21 giorni
Ora, secondo i requisiti della SEC Regulation S-P, le società devono anche essere in grado di "riprendersi dall'accesso non autorizzato e dall'uso non autorizzato delle informazioni sui clienti". La SEC riconosce che le società "devono prevedere e prepararsi alla possibilità che venga loro negato l'accesso a un particolare sistema e disporre di procedure per conformarsi ai requisiti di notifica".
Un piano dettagliato e documentato per il ripristino dell'AD è fondamentale per soddisfare questi requisiti.
Active Directory: l'obiettivo principale
Negli ultimi tre anni, molti attacchi su larga scala hanno preso di mira Active Directory, la spina dorsale della maggior parte delle reti aziendali. Se AD è fuori uso, in genere tutti i sistemi sono fuori uso.
Si tratta di una situazione che si discosta nettamente da obiettivi di attacco prevedibili come i dati dei pazienti e i file contabili dell'organizzazione. Per proteggere queste risorse critiche dagli attacchi, è necessario innanzitutto identificare i sistemi che ne controllano l'accesso.
Active Directory, che gestisce l'autenticazione degli utenti e i diritti di accesso in tutta la rete, è diventato un vettore di attacco redditizio. I malintenzionati cercano di accedere ad Active Directory perché offre il percorso più semplice per l'intera rete, consentendo l'accesso a livello di utente e persino di amministratore a tutto ciò che si trova all'interno dei suoi confini. Ed è un bersaglio facile: Molti ambienti AD legacy presentano vulnerabilità di sicurezza che si sono accumulate nel tempo, creando innumerevoli vie d'accesso per gli aggressori.
Purtroppo, il recupero da un attacco ad Active Directory è spesso più impegnativo di quello da un attacco ad altre applicazioni critiche o persino ai vostri server. Sebbene il processo sia lo stesso - arrestare l'emorragia, avviare il recupero e comunicare con le parti interessate secondo le linee guida SEC - può essere difficile determinare la portata dell'attacco, da quanto tempo il sistema è stato compromesso e persino come è stato compromesso. I server possono essere riavviati su un file di ripristino, ma spesso l'AD deve essere analizzato, recuperato e reinstallato in tutta la foresta, prolungando i tempi di ripristino da pochi giorni a settimane. Solo dopo il ripristino è possibile iniziare un'analisi forense per determinare l'entità e la portata dell'attacco.
Protezione e pianificazione del recupero
Data la gravità di un attacco ad Active Directory, come potete proteggervi e pianificare un rapido recupero? Il vostro piano di disaster recovery deve tenere conto della vera natura di una compromissione di AD.
- Riconoscere la portata potenziale. È necessario iniziare a riconoscere la portata potenziale di un attacco. Non solo si tratta di un attacco al sistema, ma è probabile che i nomi utente e le password dei dipendenti siano esposti. In genere, se un attaccante entra in Active Directory, dispone delle credenziali necessarie per accedere ad altri sistemi. Tutte le risorse critiche, comprese le cartelle cliniche di clienti e pazienti, sono compromesse. Una volta che un aggressore possiede l'AD, ha un potere significativo, con implicazioni sulla rete dell'intera organizzazione e sulle risorse connesse alla rete.
- Valutare la capacità dell'organizzazione. È necessario valutare anche la capacità dell'organizzazione di gestire e recuperare un attacco. Spesso i vettori di attacco di AD sono offuscati. Può trattarsi di un singolo punto di accesso, come il nome utente e la password di un dipendente. Altre volte, gli aggressori potrebbero aver creato delle backdoor che consentono un accesso continuo e resistente alla protezione. L'analisi forense può aiutare a rivelare come e dove è avvenuta la compromissione, quindi è importante assicurarsi che l'organizzazione disponga delle risorse e delle competenze necessarie per condurre l'analisi forense. In questo caso è utile la collaborazione con un'azienda terza. Se la vostra organizzazione non dispone di analisti forensi qualificati, le organizzazioni specializzate nel ripristino dell'AD, compresa l'analisi post-rottura, possono fornirvi gli strumenti e il supporto on-demand necessari per accelerare un ripristino completo.
- Tenere conto dei tempi di recupero prolungati. Il piano di disaster recovery deve anche tenere conto del tempo reale necessario per il recupero da un attacco AD. Questo spesso comporta:
- Isolamento dell'ambiente compromesso
- Ricostruzione dell'infrastruttura Active Directory
- Verifica e pulizia di tutti i sistemi collegati
- Implementazione di nuove misure di sicurezza
- Formazione dei dipendenti sui nuovi protocolli di sicurezza
Questi passaggi possono richiedere settimane o mesi, con un impatto sulla capacità dell'organizzazione di operare senza interruzioni.
La posta in gioco e la soluzione
Con le minacce informatiche sempre più sofisticate, le aziende del settore finanziario e bancario si trovano ad affrontare un ambiente di sicurezza difficile: la protezione di Active Directory deve essere una priorità assoluta. L'AD è un obiettivo primario per i criminali informatici perché è la spina dorsale della maggior parte delle reti aziendali. I danni potenziali di una compromissione di AD sono ingenti e il ripristino può essere complesso e richiedere molto tempo.
La protezione dell'AD è intrinsecamente legata alla sicurezza dell'intero ecosistema digitale. Comprendendo i rischi, implementando solide misure preventive e sviluppando un piano di ripristino completo, le organizzazioni possono orientarsi meglio tra i nuovi requisiti della SEC Regulation S-P e proteggersi meglio dalle minacce in evoluzione.
Per saperne di più sul ruolo della sicurezza di Active Directory nella resilienza informatica e operativa per i servizi finanziari.
Altre risorse
