LA GUIDA PRATICA

Active Directory: errori di ieri, pericoli di security oggi. I punti critici

L’Active Directory di Microsoft sta diventando un bersaglio d’elezione per molti gravi attacchi portati dal cyber crime alle imprese. Vediamo perché le directory sono oggi prese di mira, quali sono i punti critici e alcuni strumenti per migliorare il livello delle difese

04 Feb 2022
T
Piero Todorovich

Giornalista

Gli attacchi alla sicurezza dei sistemi aziendali continuano a trovare terreno fertile nelle vulnerabilità presenti a livello dei sistemi e dei processi in cui sono coinvolte persone. Tra i bersagli più ricorrenti delle attività cyber criminali ci sono i sistemi deputati alla gestione degli accessi, con una particolare predilezione nel momento in cui scriviamo per l’Active Directory (AD): componente molto diffuso in tutti gli ambienti informativi dove si fa impiego delle tecnologie server di Microsoft.

Il motivo è semplice. La directory è il servizio che permette all’attaccante di accreditarsi come utente legittimo del sistema e da qui poter scalare i privilegi d’accesso per arrivare alle risorse desiderate. Un componente che, nel caso dell’AD, non è spesso messo al sicuro come dovrebbe, in particolare nelle PMI per una serie di motivi che prendiamo in esame con l’aiuto di Bruno Filippelli, general manager di Semperis Italia, società specializzata nella security degli ambienti Microsoft Active Directory.

Perché l’Active Directory è un bersaglio per il cyber crimine

Comune nei siti informativi aziendali, l’Active Directory (AD) viene utilizzato per dare agli utenti l’accesso alle differenti risorse e applicazioni, attraverso l’inserimento delle credenziali (log-on) e quindi con l’applicazione di regole e filtri in base ai ruoli di lavoro. Un compito che fa dell’AD un nodo centrale nell’operatività day-by-day dell’impresa, ma anche un bersaglio ambito dai cyber criminali.

Attaccando l’AD attraverso la sottrazione di password o exploit delle vulnerabilità presenti, diventa possibile bloccare l’accesso ai sistemi aziendali (attacchi di denial-of-service) oppure svolgere altre attività di prospezione sui sistemi aziendali. Queste ultime permettono un salto di qualità nelle azioni criminali, prendere il controllo dei sistemi sia per sottrarre dati cancellando le tracce, sia per avanzare richieste estorsive. “Queste meccaniche sono state seguite nella scorsa estate dagli attacchi che hanno messo in crisi pubbliche amministrazioni, enti e imprese italiane – spiega Filippelli.

Violati gli accessi, l’AD è stato il bersaglio di tool e malware che hanno consentito agli attaccanti di ottenere i privilegi necessari a portare avanti azioni criminali”. Introdotto nel 1999 e potenziato dal 2003 assieme ai sistemi operativi Windows Server, AD oggi resta il tool on-premise per directory più diffuso. Un tool che oggi risente della generale rifocalizzazione dell’attenzione e degli investimenti verso i servizi in cloud, sia da parte dei software vendor sia delle imprese.

Un cambiamento che ha diminuito l’attenzione sui sistemi on-premise e creato un gap di cui cyber criminali stanno approfittando.

La prevenzione come migliore difesa dagli attacchi

La difesa dagli attacchi di security rivolti all’AD si ottiene primariamente con la prevenzione, a cominciare con periodici controlli sulle identità fisiche e logiche presenti nella directory, attività che si realizzano con tool specifici. Cosa trovano queste analisi? “Spesso l’AD contiene informazioni obsolete, account amministrativi e d’utente assegnati a persone che non lavorano più per l’azienda, password mai cambiate e simili – spiega Filippelli -. In altri casi si scoprono configurazioni sbagliate e problemi di manutenzione che, oltre a introdurre vulnerabilità, comportano inefficienze anche nel normale funzionamento”.

La prevenzione è fondamentale perché, quando l’impresa è sotto attacco, Log e altri strumenti di security come gli information and event management (SIEM), possono essere disabilitati dall’attaccante. Allo stesso modo possono risultare inutili gli eventuali ripristini dai backup. “Sono situazioni che riscontriamo spesso quando veniamo chiamati dai clienti per effettuare disaster recovery d’emergenza degli ambienti AD – spiega Filippelli -. Nei backup c’è spesso il malware inserito dell’attaccante, oppure le configurazioni sbagliate, stratificate nel tempo, che hanno esposto il sistema aziendale al rischio”.

Nel disaster recovery post-attacco è quindi fondamentale poter ripartire da componenti software garantite sicure e correttamente configurate. “È questo l’unico modo per evitare che, una volta rispristinati i sistemi o pagato il riscatto richiesto dai criminali, ci si ritrovi nelle stesse condizioni, nel mirino di nuovi attacchi”, precisa Filippelli.

Le armi per rendere più sicuro Active Directory

Nata nel 2013 per il supporto alla commercializzazione del tool Active Directory Forest Recovery per il disaster recovery degli ambienti directory Microsoft, Semperis ha oggi in portafoglio anche una soluzione per threat monitoring, detection e response: Directory Service Protector. “Prendiamo atto che i nuovi servizi basati sul cloud devono oggi convivere con servizi tradizionali supportati in on-premise – spiega Filippelli -. Le aziende continuano ad usare applicazioni proprie dove è complesso, oppure non si vuole del tutto, intervenire. Il risultato sono ambienti ibridi in cui i servizi di Azure AD (in cloud) si affiancano con quelli dell’AD on-premise. Questo è il contesto in cui operano le nostre soluzioni per la security”.

Presente con una filiale in italia dallo scorso anno, Semperis è una società americana, con una sede di sviluppo in Israele e un portafoglio clienti che comprende realtà come American Airlines, BNP Paribas, Dell, Tesco Banca, Wallmart e del settore ospedaliero. “Con il nostro software aiutiamo i clienti a mantenere in sicurezza sia gli ambienti AD in on-premise sia i nuovi in cloud con Azure Active Directory. Diamo inoltre supporto alle necessità di chi, in forza a strategie multicloud o anti lock-in, non intende portare i servizi di directory sul cloud di uno specifico fornitore”.

Il tool gratuito per conoscere l’esposizione al rischio

Tra le soluzioni sviluppate da Semperis c’è il tool Purple Knight per effettuare rapidi assessment sullo stato di sicurezza degli ambienti AD aziendali. Scaricabile in versione gratuita dal sito “è un software portabile, che non si installa e non comunica dati all’esterno, che dice se l’AD aziendale è a rischio, rivelando i passi da effettuare per la remediation – spiega Filippelli -. Purple Knight è il nostro strumento d’evangelizzazione sui temi della sicurezza, pensato per chi non fa assessment di sicurezza sull’AD e può, in questo modo, conoscere i punti deboli per ridurre la propria esposizione al rischio di attacchi”. Il tool si affianca con una versione commerciale che aggiunge la capacità di rimediare in modo automatico ai problemi riscontrati.

Contributo editoriale sviluppato in collaborazione con Semperis

@RIPRODUZIONE RISERVATA

Articolo 1 di 3