Negli ultimi tempi l’Active Directory (AD) è sempre più sotto i riflettori, purtroppo non grazie a buone notizie. L’AD continua infatti ad essere un obiettivo primario per i criminali informatici, gli attacchi alle AD di Sinclair Broadcast Group, o del produttore di fotocamere Olympus e di una filiale Nokia, sono solo alcuni esempi recenti.
Un nuovo report di Enterprise Management Associates (EMA) – “The Rise of Active Directory Exploits: Is It Time to Sound the Alarm?“- prende in esame l’impatto che tutti i punti deboli della sicurezza AD hanno sulle organizzazioni e di come stanno reagendo. Uno dei risultati più eclatanti mostra il livello di preoccupazione per le minacce alla sicurezza AD cioè che l’86% delle organizzazioni intervistate ha dichiarato di avere intenzione di aumentare il proprio investimento nella protezione dell’AD. Il numero vertiginoso di attacchi noti che ha colpito l’Active Directory ha aumentato il livello di consapevolezza di quanto l’AD stesso sia diventato un vettore di attacco.
Paula Musich, analista di EMA, ha messo in evidenza quello che emerge dal report, ossia che l’AD rappresenta per gli hacker il mezzo per raggiungere il loro scopo finale. Infatti, gli aggressori usano l’Active Directory per violare le reti delle organizzazioni, per poi muoversi attraverso il sistema informatico compromesso per ottenere l’accesso a tutte le risorse preziose. Ad esempio, nella recente serie di attacchi golden ticket, tra cui l’attacco Golden SAML lanciato su SolarWinds, gli hacker hanno creato credenziali utente false, clonato gli utenti reali e aggirato l’autenticazione a due fattori. Nel caso di SolarWinds, gli aggressori hanno aumentato il livello di privilegi, sfruttando l’accesso non autorizzato nelle liste di controllo degli accessi dell’AD. Questo approccio ha permesso loro di muoversi lateralmente all’interno delle reti, protetti dai livelli di autorizzazione elevati rubati, accedendo ed esfiltrando dati sensibili. Attacchi di questo tipo stanno pertanto spingendo le organizzazioni a raddoppiare la sicurezza delle proprie AD.
Anche se nell’ultimo anno gli attacchi alle AD sono aumentati sia in termini di gravità che di costo, è un dato di fatto che tuttavia non rappresenta una novità. I ricercatori della cybersecurity avevano identificato per la prima volta gli exploit golden ticket nel 2017, quando gli aggressori avevano preso di mira per anni gli AD, nella speranza di ottenere l’accesso a risorse aziendali di alto valore. In sostanza, l’Active Directory è un bersaglio molto ricco poiché è la principale “vetrina” di identità utilizzata per autenticare gli utenti e concedere l’accesso ai dati delle organizzazioni, compresi i dati dei clienti di grande valore.
Come le aziende si stanno difendendo dalle minacce all’Active Directory
Per meglio comprendere i motivi del crescente numero di attacchi paralizzanti sulle AD, EMA ha intervistato 250 professionisti e dirigenti IT riguardo a come le loro organizzazioni stanno rispondendo al rischio in netta crescita e come stanno cambiando le loro priorità riguardo alla sicurezza delle AD. Paula Musich in occasione di un webinar, ha presentato i risultati principali del rapporto EMA ihttps://info.enterprisemanagement.com/the-rise-of-active-directory-exploits-webinar-ws quali hanno dato modo di tracciare uno scenario alquanto allarmante. È infatti emerso quanto i punti deboli della sicurezza delle AD generino un forte impatto sull’atteggiamento che le organizzazioni hanno sulla sicurezza.
- Il 50% delle organizzazioni ha subito un attacco all’Active Directory negli ultimi 1-2 anni.
Dato l’aumento della prevalenza degli attacchi verso l’AD, è sorprendente che solo il 50% degli intervistati abbia ammesso che le loro organizzazioni abbiano subito un attacco al sistema AD durante gli ultimi due anni. Secondo le stime di Microsoft, 95 milioni di account AD sono presi di mira dai cyberattacchi ogni giorno.
Paula Musich ha inoltre sottolineato che una parte significativa di questi attacchi potrebbe essere passata inosservata: il 25% degli intervistati ha dichiarato che rilevare live gli attacchi è la più grande sfida della sicurezza AD. Questa marcata mancanza di visibilità e l’alto tasso di attacchi alle AD suggeriscono che alle organizzazioni potrebbero essere sfuggiti aggressori furtivi che sono riusciti a coprire le loro tracce con successo. (Guido Grillenmeier, Chief Technologist di Semperis, ha raccontato come alcune minacce possono eludere le soluzioni di registrazione in “How to Defend Active Directory Attacks That Leave No Trace.“) È anche presumibile che alcuni professionisti della sicurezza non si rendano conto del ruolo che l’AD spesso gioca negli attacchi ransomware.
- Più del 40% degli attacchi alle Active Directory ha avuto successo.
I threat hunter di Mandiant stimano che il 90% delle richieste di risposta agli eventi condotte con i clienti coinvolgono in qualche modo l’AD, sia che l’AD abbia assunto il ruolo di vettore di attacco iniziale o che sia stato il mezzo con cui gli aggressori abbiano ottenuto persistenza o privilegi. Questa constatazione rende particolarmente allarmante l’alto tasso di successo degli attacchi alle AD.
- l’82% dei test di penetrazione ha avuto successo a causa delle parti esposte dell’AD.
Anche se le organizzazioni IT e i team di sicurezza sono i principali gruppi incaricati di condurre ogni valutazione, il loro lavoro è talvolta supportato da considerazioni condotte dai Red Team interni o da Team di Pen Testing. Il 29% delle organizzazioni intervistate che conducono attività interne di red team o test di penetrazione contro l’AD, afferma che il tentativo di sfruttare le parti esposte dell’AD è parte di un programma condiviso. Per le organizzazioni che conducono questo tipo di test, il tasso di successo è sorprendentemente alto: 82%.
Dato il profondo livello di competenza richiesto per trovare le vulnerabilità e per comprendere la tipologia di errori che possono portare le AD a essere esposte, molte organizzazioni non hanno le risorse per condurre valutazioni della propria Active Directory in modo frequente. Anche i tool automatizzati di penetration testing offrono capacità limitate per mantenere un buon livello di sicurezza dell’AD. Pur avendo le competenze disponibili, rimediare alla presenza di parti esposte e alle vulnerabilità è ancora un processo complicato a causa della complessa struttura dell’AD. Gli intervistati, dichiarano che fattori come la mancanza di visibilità dei punti deboli o esposti e i requisiti di ricerca dell’esposizione, rappresentano una sfida rispettivamente per il 38% e il 37%.
- L’86% delle organizzazioni prevede di aumentare l’investimento nella protezione dell’Active Directory.
Con il crescente numero di notizie sugli attacchi AD, non sorprende che i team di sicurezza stiano mettendo la sicurezza AD in cima alla lista delle priorità. L’aumento degli attacchi AD ha spinto la maggior parte delle di organizzazioni a pianificare un aumento della spesa per la sicurezza, ma anche altre questioni stanno stimolando queste decisioni. La pandemia ha causato/portato a due grandi cambiamenti correlati all’attività all’universo IT: la necessità di supportare attività remote o di lavoro da casa su larga scala e l’accelerazione dei piani di migrazione al cloud.
Nonostante Microsoft continui a pubblicare aggiornamenti di sicurezza per l’AD, nulla potrà impedire il susseguirsi di attacchi, il che è evidenziato dal crescente numero di eventi. A livello aziendale, i team che si occupano di sicurezza dovranno aumentare il loro potere di visibilità della superficie di attacco dell’AD e avere un piano collaudato per rispondere una volta che viene rilevato un attacco live. Questo sarà un buon approccio per salvaguardare le organizzazioni dalle minacce di oggi.
Non meno importante, gli audit rimangono un metodo primario per identificare e proteggere le parti esposte, anche se non sono l’unico tool che i team di sicurezza possono o dovrebbero usare, specialmente data la loro natura immediata. Oggi, nuovi tool possono individuare modelli di attività dannose in tempo reale, nello stesso momento in cui gli aggressori cercano di ottenere l’accesso agli account privilegiati e creare back doors. Recentemente introdotto da Semperis, Purple Knight è un tool gratuito di valutazione della sicurezza AD che interroga l’ambiente AD dell’azienda ed esegue una serie completa di test contro i vettori di attacco più comuni ed efficaci, allo scopo di scoprire configurazioni rischiose e vulnerabilità di sicurezza. Semperis, offre anche la piattaforma ibrida di rilevamento e risposta alle minacce AD più completa del settore, Directory Services Protector.
Per ulteriori approfondimenti su come le organizzazioni stanno cambiando le priorità per affrontare le crescenti minacce che sfruttano le debolezze della sicurezza AD, scaricate il rapporto completo dell’EMA qui.