Negli ultimi tempi l’Active Directory è sempre più sotto i riflettori, purtroppo non grazie a buone notizie e continua infatti ad essere un obiettivo primario per i criminali informatici. Gli attacchi alle Acrive Directory di Sinclair Broadcast Group, o del produttore di fotocamere Olympus e di una filiale Nokia, sono solo alcuni esempi recenti.
Un nuovo report di Enterprise Management Associates (EMA) – “The Rise of Active Directory Exploits: Is It Time to Sound the Alarm?“- prende in esame l’impatto che tutti i punti deboli della sicurezza dell’Active Directory hanno sulle organizzazioni e di come stanno reagendo.
Uno dei risultati più eclatanti mostra il livello di preoccupazione per le minacce alla sicurezza dell’Active Directory cioè che l’86% delle organizzazioni intervistate ha dichiarato di avere intenzione di aumentare il proprio investimento nella protezione dell’Active Directory. Il numero vertiginoso di attacchi noti ha aumentato il livello di consapevolezza di quanto l’Active Directory stesso sia diventato un vettore di attacco.
Paula Musich, Analista di EMA, ha messo in evidenza quello che emerge dal report, ossia che l’Active Directory rappresenta per gli hacker il mezzo per raggiungere il loro scopo finale. Infatti, gli aggressori la usano lo per violare le reti delle organizzazioni, per poi muoversi attraverso il sistema informatico compromesso per ottenere l’accesso a tutte le risorse preziose. Ad esempio, nella recente serie di attacchi golden ticket, tra cui l’attacco Golden SAML lanciato su SolarWinds, gli hacker hanno creato credenziali utente false, clonato gli utenti reali e aggirato l’autenticazione a due fattori. Nel caso di SolarWinds, gli aggressori hanno aumentato il livello di privilegi, sfruttando l’accesso non autorizzato nelle liste di controllo degli accessi dell’Active Directory. Questo approccio ha permesso loro di muoversi lateralmente all’interno delle reti, protetti dai livelli di autorizzazione elevati rubati, accedendo ed esfiltrando dati sensibili. Attacchi di questo tipo stanno pertanto spingendo le organizzazioni a raddoppiare la sicurezza dell’Active Directory aziendale.
Anche se nell’ultimo anno gli attacchi alle Active Directory sono aumentati sia in termini di gravità che di costo, è un dato di fatto che tuttavia non rappresenta una novità. I ricercatori della cybersecurity avevano identificato per la prima volta gli exploit golden ticket nel 2017, quando gli aggressori avevano preso di mira per anni le Active Directory, nella speranza di ottenere l’accesso a risorse aziendali di alto valore. In sostanza, l’Active Directory è un bersaglio molto ricco poiché è la principale “vetrina” di identità utilizzata per autenticare gli utenti e concedere l’accesso ai dati delle organizzazioni, compresi i dati dei clienti di grande valore.
Come le aziende si stanno difendendo dalle minacce all’Active Directory
Per meglio comprendere i motivi del crescente numero di attacchi paralizzanti sulle Active Directory, EMA ha intervistato 250 professionisti e dirigenti IT riguardo a come le loro organizzazioni stanno rispondendo al rischio in netta crescita e come stanno cambiando le loro priorità riguardo alla sicurezza dell’Active Directory.
Paula Musich in occasione di un webinar, ha presentato i risultati principali del rapporto EMA i quali hanno dato modo di tracciare uno scenario alquanto allarmante. È infatti emerso quanto i punti deboli della sicurezza dell’Active Directory generino un forte impatto sull’atteggiamento che le organizzazioni hanno sulla sicurezza.
- Il 50% delle organizzazioni ha subito un attacco all’Active Directory negli ultimi 1-2 anni. Dato l’aumento della prevalenza degli attacchi verso l’Active Directory, è sorprendente che solo il 50% degli intervistati abbia ammesso che le loro organizzazioni abbiano subito un attacco al sistema durante gli ultimi due anni. Secondo le stime di Microsoft, 95 milioni di account sono presi di mira dai cyberattacchi ogni giorno. Paula Musich ha inoltre sottolineato che una parte significativa di questi attacchi potrebbe essere passata inosservata: il 25% degli intervistati ha dichiarato che rilevare live gli attacchi è la più grande sfida della sicurezza dell’Active Directory. Questa marcata mancanza di visibilità e l’alto tasso di attacchi alle Active Directory suggeriscono che alle organizzazioni potrebbero essere sfuggiti aggressori furtivi che sono riusciti a coprire le loro tracce con successo. (Guido Grillenmeier, Chief Technologist di Semperis, ha raccontato come alcune minacce possono eludere le soluzioni di registrazione in “How to Defend Active Directory Attacks That Leave No Trace“). È anche presumibile che alcuni professionisti della sicurezza non si rendano conto del ruolo che l’AD spesso gioca negli attacchi ransomware.
- Più del 40% degli attacchi alle Active Directory ha avuto successo. I threat hunter di Mandiant stimano che il 90% delle richieste di risposta agli eventi condotte con i clienti coinvolgono in qualche modo l’Active Directory, sia che quest’ultima abbia assunto il ruolo di vettore di attacco iniziale o che sia stato il mezzo con cui gli aggressori abbiano ottenuto persistenza o privilegi. Questa constatazione rende particolarmente allarmante l’alto tasso di successo degli attacchi alle Active Directory.
- l’82% dei test di penetrazione ha avuto successo a causa delle parti esposte dell’AD. Anche se le organizzazioni IT e i team di sicurezza sono i principali gruppi incaricati di condurre ogni valutazione, il loro lavoro è talvolta supportato da considerazioni condotte dai Red Team interni o da Team di Pen Testing. Il 29% delle organizzazioni intervistate che conducono attività interne di red team o test di penetrazione contro l’Active Directory, afferma che il tentativo di sfruttare le parti esposte dell’Active Directory è parte di un programma condiviso. Per le organizzazioni che conducono questo tipo di test, il tasso di successo è sorprendentemente alto: 82%. Dato il profondo livello di competenza richiesto per trovare le vulnerabilità e per comprendere la tipologia di errori che possono portare le Active Directory a essere esposte, molte organizzazioni non hanno le risorse per condurre valutazioni della propria Active Directory in modo frequente. Anche i tool automatizzati di penetration testing offrono capacità limitate per mantenere un buon livello di sicurezza dell’Active Directory. Pur avendo le competenze disponibili, rimediare alla presenza di parti esposte e alle vulnerabilità è ancora un processo complicato a causa della complessa struttura dell’Active Directory. Gli intervistati, dichiarano che fattori come la mancanza di visibilità dei punti deboli o esposti e i requisiti di ricerca dell’esposizione, rappresentano una sfida rispettivamente per il 38% e il 37%.
- L’86% delle organizzazioni prevede di aumentare l’investimento nella protezione dell’Active Directory. Con il crescente numero di notizie sugli attacchi alle Active Directory, non sorprende che i team di sicurezza stiano mettendo la sicurezza dell’Active Directory stessa in cima alla lista delle priorità. L’aumento degli attacchi alle Active D ha spinto la maggior parte delle di organizzazioni a pianificare un aumento della spesa per la sicurezza, ma anche altre questioni stanno stimolando queste decisioni. La pandemia ha causato/portato a due grandi cambiamenti correlati all’attività all’universo IT: la necessità di supportare attività remote o di lavoro da casa su larga scala e l’accelerazione dei piani di migrazione al cloud.
Non ci sarà mai pace per le Active Directory
Nonostante Microsoft continui a pubblicare aggiornamenti per la sicurezza dell’Active Directory, nulla potrà impedire il susseguirsi di attacchi, il che è evidenziato dal crescente numero di eventi. A livello aziendale, i team che si occupano di sicurezza dovranno aumentare il loro potere di visibilità della superficie di attacco dell’Active Directory e avere un piano collaudato per rispondere una volta che viene rilevato un attacco live. Questo sarà un buon approccio per salvaguardare le organizzazioni dalle minacce di oggi.
Non meno importante, gli audit rimangono un metodo primario per identificare e proteggere le parti esposte, anche se non sono l’unico tool che i team di sicurezza possono o dovrebbero usare, specialmente data la loro natura immediata. Oggi, nuovi tool possono individuare modelli di attività dannose in tempo reale, nello stesso momento in cui gli aggressori cercano di ottenere l’accesso agli account privilegiati e creare back doors. Recentemente introdotto da Semperis, Purple Knight è un tool gratuito di valutazione della sicurezza dell’Active Directory cche interroga l’ambiente Active Directory dell’azienda ed esegue una serie completa di test contro i vettori di attacco più comuni ed efficaci, allo scopo di scoprire configurazioni rischiose e vulnerabilità di sicurezza. Semperis, offre anche la piattaforma ibrida di rilevamento e risposta alle minacce all’Active Directory, Directory Services Protector.
di Michele Crockett, Senior Director of Product Marketing, Semperis
