SICUREZZA INFORMATICA

Active Directory security: prassi preventive e di recovery per rimanere operativi sotto attacco

L’Active Directory è uno dei sistemi “core” aziendali e per questo si consiglia di curarne continuamente la “buona salute” nei processi di gestione e prioritizzarlo nei piani di business continuity e di disaster recovery. Ecco le best practice da seguire

03 Feb 2022
V
Alessia Valentini

Giornalista, Cybersecurity Consultant e Advisor

L’Active Directory (AD) è il cuore delle infrastrutture digitali di piccole, medie e grandi imprese che usano sistemi Microsoft, a livello mondiale. Indipendentemente se sia in cloud o su server “on premise”, l’Active Directory è un cuore pulsante dell’accesso alle risorse e rappresenta il servizio di autenticazione Microsoft. Quando smette di funzionare propriamente all’interno di un ambiente digitale di rete, gli utenti di quella rete potrebbero non potersi collegare sul PC, telefonare mediante VoIP, così come potrebbe risultare inibito l’accesso alla posta elettronica o addirittura alle principali applicazioni di business, e sarebbe quindi impattata la normale operatività dell’azienda.

Per questo motivo l’Active Directory è uno dei target preferiti dai criminali digitali, considerando anche l’ampia adozione del sistema operativo Microsoft e dei suoi servizi in un numero elevato di aziende a livello mondiale. In presenza di un incidente informatico diffuso che coinvolga anche il servizio Active Directory, la presenza di un piano di ripristino specifico può rivelarsi come una chiave di volta per tornare alla normale continuità operativa.

Ad oggi, invece, il ruolo dell’AD è ancora considerato secondario, spesso senza un backup dedicato e senza un piano di Disaster Recovery (DR) che preveda un ripristino prioritizzato e soprattutto specifico di questa “applicazione chiave”, come Microsoft stessa richiede.

L’Active Directory è quindi uno dei sistemi “core” aziendali, di cui si consiglia di curare continuamente la “buona salute” nei processi di gestione e da prioritizzare nei piani di Business Conti nuity (BC) e di DR.

New call-to-action

Attacchi informatici e impatti sull’Active Directory

L’Active Directory è quel sistema centralizzato di Windows Server che fornisce i metodi per archiviare i dati della directory, e che definisce la modalità con cui vengono assegnate agli utenti e agli amministratori tutte le risorse di rete come database, file, applicazioni ed endpoint (fonte: Microsoft).

Fra tutte le tipologie di attacco che puntano a colpire l’intera continuità operativa aziendale bloccando i servizi digitali quali ransomware o DDOS mirati, negli ultimi due anni sono stati osservati attacchi pensati e mirati per l’impatto diretto verso l’Active Directory aziendale: AD Privilege Escalation,  Domain Trust Exploitation, ADRecon ne sono solo alcuni esempi (fonte: Securityboulevard).

Se gli attacchi “generalisti” a mezzo malware potevano operare mediante “replica e distribuzione” effettuando movimenti laterali, di recente, gli attacchi sfruttano le feature e il ruolo dei domain controller. Alessio Lo Turco, Strategic Systems Consultant di Quest spiega che “gli attaccanti usano l’AD per per deployare il malware su tutta l’infrastruttura, sfruttando i suoi privilegi e proprio il suo mestiere nativo rendendolo una sorta di “ADaware”. In questo senso il malware non è più quel codice sofisticato che sfrutta un bug, ma è un codice che punta a guadagnare privilegi in ecosistema Microsoft; quindi, tenta di creare una group policy in AD (che sono tipicamente usate nelle aziende di grandi dimensioni n.d.r.) o ne usa una esistente, e poi tramite la group policy, installa una serie di malware e/o ransomware, per aumentare la superficie di attacco interna. L’obiettivo dei criminali è quindi l’accesso ad un potente “deployer di software”. È importante osservare anche che quando l’attacco è avvenuto da tempo anche il backup può risultare già infettato e potrebbe non funzionare al momento del ripristino”.

La prima infezione è spesso causata da phishing evoluto o di tipo targetizzato verso una vittima specifica (spear phishing) con l’obiettivo di farla cadere in errore ed avviare il proseguimento di una kill chain di attacco con conseguenze visibili anche a distanza di diversi mesi.

In casi di ransomware, come le cronache hanno dimostrato, l’attacco può essere devastante ma il backup è utile se non era stato già corrotto. Alcune buone prassi di security come la segmentazione di rete e le politiche di backup per ogni segmento, possono evitare l’encryption totale dei ransomware.

Tuttavia, spiega Alessio Lo Turco: “esistono ransomware-as-a-service sofisticati che fanno encryption ma non cambiano nome, estensione e data del file, che quindi sembra essere ancora un file lecito, anche se al suo interno è stato criptato. Questo tipo di ransomware è insidioso perché non fa capire cosa sia stato reso inaccessibile e costringe alla recovery di tutta l’infrastruttura. In questi casi si verifica un ricatto, senza che parte dell’attacco sia visibile alla vittima, quindi senza possibilità di un ripristino mirato ed efficace. È come se l’attaccante lavorasse a risorse infinite mentre la difesa fosse costretta a limitarsi alle risorse finite a sua disposizione”.

Le best practice di gestione dell’Active Directory

Secondo gli esperti, sono tre gli accorgimenti da prevedere e sono tutte buone prassi già valide da oltre venti anni:

  1. Considerare l’effettiva importanza di ogni ambiente digitale abilitante del sistema informativo aziendale; in particolare l’Active Directory è fondamentale e non deve essere sottovalutato quindi, è necessaria cautela nella gestione di questo ambiente, prevedendo backup a frequenza elevata (minimo ogni giorno). Poiché si tratta di un sistema centrale dell’architettura Microsoft a servizi dovrebbe essere previsto anche un piano di Disaster Recovery con valori appropriati di Recovery Time Objective (RTO) e Recovery Point Objective (RPO). Si ricorda che l’RTO rappresenta la quantità di tempo reale che un’azienda ha a disposizione per ripristinare i propri processi a un livello di servizio accettabile dopo un disastro per evitare conseguenze intollerabili associate all’interruzione, mentre l’RPO è definito come la quantità massima di dati, misurata in base al tempo, che può essere persa dopo un ripristino da un disastro, un guasto o un evento analogo prima che la perdita di dati superi ciò che è accettabile per un’organizzazione.
  2. Conservare anche i backup di Active Directory secondo la regola 3-2-1; Secondo la regola del 3-2-1, è necessario conservare 3 copie dei dati, su 2 differenti storage di backup, con 1 copia mantenuta off-site. Ogni backup di AD dovrebbe essere protetto da rischi di corruzione (per evitare che non sia riutilizzabile nel ripristino) o esfiltrazione (per evitare che gli attaccanti possano studiarlo). infine, è necessario delocalizzare i backup di AD in un luogo digitale diverso da quelli aziendali per prevenire i danni di crittografia da attacco ransomware.
  3. Evitare un attacco all’Active Directory attuando prassi preventive: evitare quindi permessi di libero accesso alle risorse da parte di qualsiasi user, limitare i privilegi amministrativi di accesso alle risorse, limitare la visibilità delle risorse, rendere immodificabili dei gruppi nativi di AD che hanno i privilegi amministrativi per impedire un loro uso distorto a vantaggio di un attaccante; anzi attivare allarmi e alert in caso di tentata modifica a quei gruppi per evidenziare preparativi di un attacco. Infine, anche le group policy non devono essere creaste o modificate ed è necessario impostare allarmi appropriati.

Cosa prevedere per il piano di ripristino dell’Active Directory

Le best practice di security insegnano come sia opportuno avere un piano di ripristino in corrispondenza di ogni minaccia potenziale. Nel caso di minacce che incidono sull’AD si possono verificare errori accidentali come la corruzione dell’Active Directory durante manutenzioni o operazioni routinarie e questo implica azioni di remediation diverse o crescenti fino ad arrivare “extrema ratio” alla attivazione del piano di Disaster Recovery, ad esempio, nei casi di aggiornamenti non terminati correttamente.

Alessio Lo Turco chiarisce: “la prima cosa da fare è avere un piano di Disaster Recovery dedicato ad AD; in secondo luogo, è importante comprendere chiaramente i ruoli dei vari domain controller e identificare i dominii critici per ciascuno con le rispettive funzionalità, pianificando la restore uno per uno. Suggerisco di visionare il manuale di DR Microsoft, per trovare indicazioni specifiche ed appropriate da applicare al proprio caso. Altro tema importante nel piano di DR è la sequenza con cui si ripristinano i sistemi, perché l’AD per essere ripristinato richiede i sistemi operativi attivi e funzionanti, ma in generale in un attacco, nel ransomware ad esempio, i sistemi operativi non sono più disponibili e quindi i tempi di restore partono da quando risalgono tutti i livelli dell’infrastruttura in modo ordinato.

Dunque, il restore deve partire dai livelli più bassi della pila ISO/OSI risalendo verso il livello applicazione. In particolare, Active Directory è da considerare come una vera e propria applicazione critica, con logiche, struttura e requisiti di integrità suoi propri, che richiedono procedure di DR altrettanto specifiche, proprio come quelle che Microsoft impone nel suo manuale sopra citato.

Se si utilizzano metodologie di backup apposite come il “bare metal” (Un ripristino bare metal reinstalla un sistema operativo, applicazioni e componenti pertinenti e dati n.d.r.) si ricostituisce un’immagine del sistema operativo come configurato per un determinato computer o server. Tutto ciò sempre se il backup è integro e non infettato già da un malware che possa nuovamente attivarsi riportando la situazione ad uno stato di crisi.

Per evitarlo spesso sono considerati per il restore backup vecchi di diverse settimane ma si rischi di avere uno stato dei dati aziendali inconciliabili fra dati di business e di directory rispetto al tempo trascorso (ad esempio se si torna indietro di 1 mese). Per una azienda i dati di un mese possono essere cruciali. Per questo motivo sarebbe necessario salvare i backup su macchine segregate e separate ed effettuare backup anche del solo Active Directory. Alessio Lo Turco, in questi casi, suggerisce: “la tecnologia Microsoft in questi casi può aiutare mediante utilizzo del Cloud Azure che consente ad esempio di attivare un meccanismo automatico per chiedere deploy immediato di macchine sulle quali fare il restore di AD. La rapidità di disponibilità e il costo inferiore rispetto a macchine fisiche da tenere inutilizzate per funzionare da potenziale infrastruttura di back u,p unita alla possibilità di avere macchine ex-novo senza che siano già infettate da malware rende questa soluzione una di quelle praticabili per un piano di restore. Questi accorgimenti consentono di tornare on line in un tempo minore con una maggiore quantità di dati recenti recuperata.

Quest Recovery Manager for Active Directory automatizza le best practice manuali di Microsoft per il recovery completo di AD. Permette di pianificare, implementare, testare e documentare un piano di disaster recovery sicuro, remoto, automatico. Soprattutto, permette il recovery delle foreste più complesse in alcune ore contro i giorni, anche settimane, delle procedure Microsoft che sono manuali.
Quest RMAD protegge i backup e ne garantisce l’integrità salvandoli su secure storage on-premisese cloud, mettendoli al riparo da attacchi ransomware.

Un ultimo suggerimento riguarda la parallelizzazione del restore che se avvenisse in modo standard richiederebbe di sequenzializzare la restore di ogni dominio, mentre se si imposta in modo parallelo consente un significativo guadagno di tempo passando da più giorni, anche settimane per infrastrutture complesse, a qualche ora. Questo è tanto più facile e meno rischioso, quanto più si adottano strumenti di automazione di queste procedure, che in più riducono drasticamente il rischio di errori dovuti alla complessità delle procedure e dell’infrastruttura, e alla pressione che il business inevitabilmente esercita sul team di gestione dell’infrastruttura per ripartire appena possibile.

Seguendo i dettami di Microsoft al termine del restore dei domini e dei domain controller, è consigliabile il cambio delle password amministrative e l’eliminazione dei cosiddetti “golden ticket” cioè di credenziali che non scadono mai per evitare che un qualsiasi attaccante possa risfruttarle in modo da tornare on line ricominciare la sua attività malevola.

Tutto il processo di backup e restore può essere automatizzato mediante prodotti specifici che supportano la creazione di diversi piani di ripristino e che implementano ciascuno degli accorgimenti sopraccitati per evitare errori umani nel processo, ma anche per velocizzare il tempo di ripristino.

Contributo editoriale sviluppato in collaborazione con Quest

@RIPRODUZIONE RISERVATA

Articolo 1 di 2