Checklist sulla salute dell’Active Directory: 11 consigli per rendere sicuro l’AD
L’Active Directory (AD) è spesso il primo punto di arrivo nei cyberattacchi. Il team di esperti Mandiant stima che circa il 90% degli attacchi coinvolge in qualche modo l’AD, sia che si tratti di vettore di attacco iniziale o che sia mirato a ottenere privilegi o persistenza. Poiché questo è il metodo principale per l’autenticazione e l’autorizzazione che riguarda il 90% delle imprese del mondo, l’AD contiene una miriade di preziosi dati aziendali tra cui i dati dei dipendenti. Prendere di mira l’AD fornisce agli aggressori la ricchezza di informazioni necessaria per accedere ai dati sensibili, distribuire ransomware e tutta una serie di altre attività nefaste.
Nonostante l’altissima percentuale di attacchi, l’AD funziona ancora brillantemente per le aziende di tutto il mondo (che comprende la maggior parte inserite nel Fortune 1000) che utilizzano la tecnologia per gestire i permessi e l’accesso alla rete. E, con il crescente numero di utenti che lavora da casa su più dispositivi e app basate sul cloud, l’AD è diventato fondamentale per le architetture di identità ibride esistenti a livello aziendale, rendendo l’AD un asset ancora più importante.
Poiché quasi tutti gli attacchi coinvolgono l’Active Directory, una migliore sicurezza AD è essenziale per tutte le aziende. Fortunatamente, esistono alcune best practice con cui le organizzazioni possono combattere i possibili attacchi.
In questo articolo si vuole dare una panoramica delle azioni principali che ogni organizzazione può intraprendere per proteggere l’AD dagli attacchi. Ecco 11 consigli:
- Implementare buoni processi di identità. Dalle piccole organizzazioni alle grandi multinazionali, il provisioning degli utenti, il processo di creazione di account utente e di aggiunta a gruppi, è semplice. Tuttavia, quando si tratta di rimuovere gli utenti inattivi che non sono più necessari, il discorso cambia. Più del 10% degli account utente in AD sono stati rilevati come inattivi, rappresentando così un rischio significativo per la sicurezza, in quanto le minacce esterne potrebbero utilizzare questi account per infiltrarsi in un’organizzazione. Con utility come PowerShell, le aziende possono facilmente identificare e rimuovere utenti e computer inattivi. Rivedere con cadenza regolare l’accesso sensibile, o i gruppi privilegiati, aiuterà anche a gestire l’accesso amministrativo. Con l’escalation di Kerberoasting, aggiornare regolarmente gli account di servizio con password solide e casuali ridurrà anche la minaccia di attori che violano gli ambienti AD.
- Configurare i trust di forest sicuri. Un trust di forest collega due domini AD distinti (o forest) per consentire agli utenti di un certo dominio di autenticarsi con risorse nell’altro, fornendo un’esperienza di autenticazione e autorizzazione senza interruzioni. All’interno di un forest AD, le relazioni di fiducia tra i domini sono normalmente bidirezionali e transitive per impostazione predefinita. Assicurarsi che il filtraggio SID sia attivo in tutti i trust tra i forest AD, impedisce che i gruppi privilegiati possano venire impersonati. L’abilitazione dell’autenticazione selettiva fornisce un livello di sicurezza differente permettendo solo agli utenti all’interno di un certo dipartimento o gruppo di utilizzare le risorse attraverso il trust.
- Eseguire il backup di ogni domain controller per ogni dominio, specialmente per quello principale. Sebbene le organizzazioni eseguano il backup di tutti i domain controller e dei loro domini, spesso dimenticano di fare il backup del dominio root, non essendo così più in grado di recuperare i loro forest. Inoltre, eseguire il backup di due o più domain controller per ogni dominio, garantirà più di una possibilità che un’organizzazione possa utilizzare per ripristinare l’intero dominio nel caso in cui un domain controller non sia disponibile. Quando si eseguono i backup, è importante utilizzare metodi di backup supportati e che assicurino che non contengano malware. Infine, non va mai dimenticato di conservare copie offline dei backup.
- Testare regolarmente i backup. I backup non servono a nulla se un’organizzazione non riesce (o non sa come) recuperarli. Secondo un recente studio di Semperis, oltre il 50% delle organizzazioni non ha un piano di disaster recovery AD o nel caso ne abbia uno non ha lo ha mai testato. Senza una valutazione regolare, i processi di recovery potrebbero contenere informazioni non aggiornate sulla topologia AD, il che può ostacolare i tempi di recupero nel caso di un attacco.
- Resettare le password degli account KRBTGT. Ogni forest AD ha un account KRBTGT associato per criptare e firmare tutti i ticket Kerberos emessi nel dominio. Quando un utente si autentica in un dominio, gli viene fornito un Ticket Granting Ticket (TGT) che gli garantisce la possibilità di richiedere un service ticket dal Kerberos Key Distribution Center per accedere a un servizio (per esempio, un file server). Il TGT agisce come una prova di identità quando un utente si registra e fornisce dettagli sulla propria identità e in quali gruppi è presente, permettendogli di ottenere l’accesso ad altri servizi sulla rete. Sebbene i TGT sono validi solo per un certo periodo di tempo, nel caso che un aggressore ottenga il controllo dell’account KRBTGT, può creare TGT fraudolenti per accedere a qualsiasi risorsa egli desideri. Un modo per prevenire questo tipo di attacchi Golden Ticket è quello di reimpostare la password dell’account KRBTGT in ogni dominio con la frequenza di 6-12 mesi. Il Microsoft MVP Jorge de Almeida Pinto ha costruito uno script di reset della password KRBTGT disponibile su GitHub che viene continuamente aggiornato, permettendo alle organizzazioni di resettare la password e le relative chiavi dell’account KRBTGT, riducendo al minimo la probabilità che l’operazione provochi problemi di autenticazione Kerberos.
- Impedire il movimento laterale. Una delle caratteristiche dei cyberattacchi di oggi è il movimento trasversale. Dopo aver ottenuto l’accesso iniziale nel dominio di un’organizzazione, un attaccante si muove trasversalmente attraverso la rete alla ricerca di dati sensibili e altre risorse di alto valore. L’implementazione della Local Administrator Password Solution (LAPS) di Microsoft, scoraggia il salto da una workstation all’altra con la stessa password di amministratore, generando password uniche e randomizzate per ogni account di amministratore locale proteggendole in modo che solo gli utenti idonei possano leggerle o richiederne la reimpostazione.
- Ridurre al minimo l’appartenenza a gruppi privilegiati. I gruppi privilegiati sono quelli a cui sono concesse facoltà più ampie, privilegi e permessi che permettono loro di eseguire quasi tutte le azioni nell’AD di un’organizzazione. All’interno di qualsiasi organizzazione, dovrebbe esistere solo una manciata di amministratori di dominio che siano responsabili dell’esecuzione del servizio di AD. Implementando il principio del minimo privilegio, i diritti di accesso degli utenti sono limitati solo a quelli strettamente necessari per eseguire le loro funzioni lavorative. Poiché la maggior parte degli attacchi avanzati si basano sullo sfruttamento delle credenziali privilegiate, fornire agli utenti i livelli minimi di accesso possibili, diminuisce drasticamente la superficie di cyberattacco.
- Proteggere l’accesso ai privilegi. Una volta che il security team ha scremato il numero di account amministrativi, una best practice è quella di utilizzare account amministrativi che abbiano nomi separati. Questo assicura che tutto ciò che appare nel registro di controllo sia inviato ad un particolare utente invece di un account che potrebbe includere più utenti. L’implementazione di un modello amministrativo su più livelli è un altro modo per prevenire l’escalation dei privilegi, limitando ciò che gli amministratori possono controllare e dove possono accedere. Ciò è necessario per prevenire, ad esempio, l’utilizzo di un account di amministratore di dominio di livello 0 per accedere alla workstation di un utente di livello 0, come è successo durante il catastrofico attacco informatico a Maersk.
- Limitare i privilegi di amministrazione dell’hypervisor. Con l’aumento della popolarità delle applicazioni cloud, è importante capire l’infrastruttura sottostante che supporta un ambiente AD. Si può dire che la maggior parte delle organizzazioni operano nel cloud e, quindi, eseguono il loro AD su almeno alcuni controller di dominio virtuali. Gli amministratori dell’hypervisor hanno la possibilità di chiudere, cancellare, alterare o interferire con quei controller di dominio, il che significa che le organizzazioni devono prestare attenzione a chi ha i diritti di amministrazione.
- Rinforzare i domain controller. Le impostazioni predefinite dei domain controller non sono protette, il che significa che ci sono diversi percorsi di escalation dei privilegi per l’amministratore di dominio. Con queste impostazioni predefinite, i domain controller possono eseguire altri servizi che danno loro il controllo dell’AD. Per esempio, il servizio Print Spooler sui domain controller permette a qualsiasi utente autenticato di connettersi in remoto al servizio spooler di stampa di un domain controller e richiedere un aggiornamento sui nuovi lavori di stampa. Gli utenti possono anche chiedere al domain controller l’invio della notifica al sistema con una delega non vincolata, che rende esposte le credenziali dell’account del computer del domain controller. Disabilitando il servizio Print Spooler su tutti i domain controller e rimuovendo i ruoli server e gli agent non necessari, si limita la possibilità di essere esposti.
- Monitorare l’attività insolita. Poiché le minacce state-sponsored continuano ad aumentare, il monitoraggio continuo dell’AD per attività sospette è una componente chiave per prevenire, rilevare e bloccare le attività dannose. L’implementazione di una soluzione di gestione delle informazioni e degli eventi di sicurezza (SIEM) attraverso l’analisi del comportamento degli utenti e delle entità, permette alle organizzazioni di aggregare e analizzare l’attività in tutta la loro infrastruttura IT, compresi eventuali cambiamenti di appartenenza degli account e ai gruppi privilegiati.
Mantenere l’AD sicuro e ben mantenuto è fondamentale per bloccare la messa in atto di tutte le tattiche che hanno dato luogo ad alcuni dei più devastanti cyberattacchi nella storia recente. Eppure, la gestione e la sicurezza di AD è qualcosa con cui molte organizzazioni continuano a scontrarsi. Le best practice menzionate in questo articolo, possono aiutare le organizzazioni a eliminare alcune delle più comuni vulnerabilità dell’AD, ostacolare i tentativi degli attaccanti volti ad aumentare i privilegi, e permettere alle organizzazioni un recovery rapido, completo e pulito nell’eventualità di un attacco.
Sean Deuby, Director of Services di Semperis
Contenuti correlati
-
Infrastruttura cloud e AI generativa con SAP per Prysmian
In soli quattro mesi, Prysmian, azienda di punta a livello mondiale nella produzione, fornitura e progettazione di sistemi in cavo e accessori per le telecomunicazioni e l’energia, ha aggiornato e migrato l’intera infrastruttura IT del Gruppo sul...
-
Flessibilità e digitalizzazione con l’automazione modulare di Copa-Data
I nuovi paradigmi di produzione nelle scienze della vita pongono sfide sempre più complesse agli ingegneri impegnati nell’automazione e digitalizzazione dei processi. Settori come il biotech, la chimica a flusso continuo e le terapie cellulari devono affrontare...
-
Murrelektronik premiata all’Alliance Industry 4.0 Award Baden-Württemberg
La trasformazione digitale dell’industria è un percorso ormai imprescindibile e Murrelektronik ha scelto di renderlo il più semplice possibile con Vario-X: questo sistema integrato sta suscitando parecchie reazioni e gradimento come dimostrato dall’assegnazione del premio durante l’Alliance...
-
Centro di lavoro Grob per produzioni di precisione per protesi all’avanguardia
Efficiente e flessibile, G150 è la soluzione di Grob per le produzioni di precisione del settore medicale. Il più piccolo centro di lavoro universale a 5 assi dell’azienda tedesca è infatti particolarmente indicato per realizzare componenti ortopediche e strumenti medici,...
-
Pompe per vuoto ultracompatte ad elevate prestazioni da Coval
Coval presenta la nuova serie di micro pompe per vuoto MPXS, con cui l’azienda offre una delle pompe per vuoto più compatte e intelligenti presenti sul mercato, rimanendo fedele alle tecnologie e alla qualità che caratterizzano il...
-
Robot Scara e sistemi di visione con Macco, Omron e Werfen nei laboratori clinici
Per la fornitura di reagenti destinati ai laboratori di farmaco-tossicologia, Werfen ha implementato una nuova macchina automatica realizzata da Macco in collaborazione con Omron e Marini Pandolfi che utilizza robot Scara e sistemi di visione avanzati per...
-
Ingegneria in cloud e assistenti AI nella suite di progettazione B&R
Alla fiera SPS di quest’anno a Norimberga, in Germania, B&R ha annunciato un importante aggiornamento della sua suite completa di software di progettazione e runtime. Con Automation Studio Code, B&R introduce un’esperienza di progettazione completamente nuova. La...
-
Additive manufacturing R-evolution al via con Energy Group e Stratasys
Il mondo dello sport può trarre grandi benefici dall’additive manufacturing: prototipazione, customizzazione, soluzioni per l’agonismo, produzione di singole parti funzionali e persino di interi lotti. Come? Affidandosi alla giusta tecnologia ma anche ai materiali più adatti ad...
-
Agricoltura verticale? Possibile con l’automazione
L’intero sistema dell’inglese IGS, che fornisce piattaforme in grado di creare climi ideali per piante e persone, è gestito da software e robot mobili Omron L’agricoltura verticale automatizzata si sta sviluppando rapidamente, tanto che il mercato globale...
-
Nuovo controller nella piattaforma di automazione Yaskawa in SPS
In occasione di SPS Norimberga, Yaskawa continua l’espansione della sua piattaforma di automazione ‘iCube Control’, presentando il controller serie iC9226 in funzione. Il controller iC9226 funziona con il chip industriale Triton di Yaskawa e può controllare fino...