Secondo i risultati emersi dal sondaggio effettuato fra i responsabili IT e della sicurezza che utilizzano nei propri ambienti Purple Knight, tool gratuito di valutazione della sicurezza, le organizzazioni di ogni dimensione e in ogni settore non riescono a colmare le lacune nella sicurezza di Active Directory (AD) che possono renderle vulnerabili ai cyberattacchi. Le aziende prese in esame hanno ottenuto una media del 68% in cinque categorie di sicurezza di Active Directory, un voto appena sufficiente. Inoltre, le grandi organizzazioni hanno ottenuto risultati peggiori nella valutazione, riportando un punteggio medio del 64%, dal quale si evince che le problematiche di sicurezza di Active Directory si ampliano a causa di applicazioni datate e ambienti complessi.
Vulnerabilità della sicurezza Active Directory
Microsoft Active Directory (AD) al momento del lancio era una tecnologia rivoluzionaria, originariamente rilasciata con il sistema operativo server Windows 2000, e sul quale fa tuttora affidamento gran parte dell’ambiente lavorativo iperconnesso che tutti noi conosciamo bene.
Microsoft AD ha prevalso su tutte le altre directory disponibili sul mercoato per una ragione fondamentale: era open. È grazie a questa apertura e facilità di integrazione che l’Active Directory rimane ancora oggi un pezzo fondamentale dell’infrastruttura per il 90% delle aziende. Tuttavia, quella che 21 anni fa era la sua più grande forza, è diventata nel tempo la sua più allarmante debolezza.
La minaccia
Se consideriamo che un hacker può utilizzare un qualsiasi account Active Directory non privilegiato per leggere quasi tutti gli attributi e gli oggetti in AD, compresi i relativi permessi, consentendogli di trovare account di computer in qualsiasi dominio di una foresta AD che sono configurati con delega non vincolata, allora si ha un’idea del perché l’apertura di default di Active Directory è diventata una vulnerabilità.
Oggi, a causa della scomparsa del perimetro di rete, l’identità è diventata l’ultima linea di difesa dai cyberattacchi.
I ricercatori di Mandiant hanno recentemente riferito che il 90% degli incidenti su cui indagano vedono coinvolto in un modo o nell’altro l’AD.
Alcune delle più grandi e recenti violazioni della sicurezza Active Directory includono SolarWinds, Hafnium e l’attacco Colonial Pipeline, che per la loro portata e l’interruzione causata quando Microsoft AD è andato in down, hanno fatto notizia.
Purple Knight
Semperis è pioniere nella gestione e nella protezione delle credenziali di identità degli ambienti ibridi delle imprese ed è stato progettato appositamente per proteggere l’AD.
L’anno scorso abbiamo lanciato Purple Knight, un tool gratuito di valutazione della sicurezza Active Directory, e oggi diffondiamo i risultati dei dati acquisiti da 1000 professionisti dell’IT e della sicurezza che hanno implementato Purple Knight nei loro sistemi.
Questi sono i risultati più significativi che emergono dalla ricerca:
- Le organizzazioni hanno complessivamente ottenuto una media del 68% in cinque categorie di sicurezza di Active Directory: delegazione AD, sicurezza degli account, sicurezza dell’infrastruttura AD, sicurezza dei criteri di gruppo e sicurezza Kerberos. Questo è un voto appena sufficiente
- Le grandi organizzazioni sono andate ancora peggio – riportando un punteggio medio del 64% che indica come le problematiche di sicurezza di Active Directory si ampliano a causa di applicazioni datate e ambienti complessi
- Le organizzazioni hanno riportato i punteggi più bassi per la sicurezza degli account, che comprendono le impostazioni sui singoli account come gli account privilegiati con una password che non scade mai
- Le compagnie assicurative hanno riportato i punteggi complessivi più bassi (55%), seguite da sanità (63%) e trasporti (64%)
- Le aziende di trasporto hanno riportato i punteggi più bassi nelle Group Policy (36%) e nell’Account Security (46%)
- Le aziende pubbliche hanno ottenuto il punteggio complessivo più alto (71%), seguite dagli enti governativi (70%)
Gli intervistati hanno dichiarato di avere scaricato il tool di valutazione della sicurezza per diverse motivazioni: dalla proliferazione di attacchi nei loro settori, agli obblighi organizzativi, come anche rimedi post violazione. Molti degli intervistati hanno affermato di essere stati colti alla sprovvista dai risultati all’interno del rapporto effettuato da Purple Knight.
Durante il follow-up con gli intervistati, la ricerca ha anche scoperto che:
- Le configurazioni errate proliferano nelle organizzazioni con implementazioni datate dell’Active Directory
- Le organizzazioni devono far fronte alla mancanza di competenze riguardo Active Directory
In un recente rapporto di 451 Research, l’analista Garrett Bekker ha dichiarato: «I servizi di directory sono al centro delle strategie IT della maggior parte delle aziende e, come tali, sono diventati beni mission-critical che possono generare conseguenze disastrose se compromessi, come abbiamo imparato dall’ormai famigerato attacco alla catena di fornitura SolarWinds e dall’attacco Hafnium su Microsoft Exchange».
Commentando il rapporto, Mickey Bresman, CEO di Semperis, ha affermato: «Abbiamo notato che molte aziende non comprendono appieno riguardo a tutte le esposizioni di Active Directory che possono essere utilizzate contro di loro dagli hacker. Volevamo dare ai team di sicurezza, che non hanno una profonda esperienza dell’AD, un sistema per capire il livello di sicurezza del loro AD, e poi colmare qualsiasi lacuna esistente in modo che nessuno possa usarla contro di loro».
Il potere di agire si sviluppa con la conoscenza
Il rapporto raccoglie informazioni supplementari riguardo agli indicatori di sicurezza che sono stati evidenziati, le risposte dei professionisti IT e di sicurezza su ciò che è emerso sulla loro organizzazione e soprattutto, i vari step che stanno mettendo in atto per colmare le lacune.
Il rapporto Purple Knight ‘Facing the Unknown: Uncovering & Addressing Systemic Active Directory Security Failures’ è disponibile QUI.