• BitMAT
  • BitMATv
  • Top Trade
  • Linea EDP
  • Itis Magazine
  • Industry 5.0
  • Sanità Digitale
  • ReStart in Green
  • Contattaci
Close Menu
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    Trending
    • Attacchi web a +33% e API obiettivo numero uno. L’analisi di Akamai
    • Infrastrutture critiche: la sicurezza è un imperativo
    • IA e Cybersecurity governano le strategie di investimento aziendali
    • Twin4Cyber e Maticmind alla Camera per parlare di cybercrime
    • Cybersecurity: ecco perché affidarsi a operatori italiani
    • Secure Workload Access di CyberArk protegge le identità a 360°
    • NIS2 e infrastrutture critiche: 4 passaggi da fare per essere pronti
    • Attacchi informatici: un 2024 all’insegna di ransomware e IA
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    BitMAT | Speciale Sicurezza 360×365
    • Attualità
    • Opinioni
    • Ricerche
    • Soluzioni
    BitMAT | Speciale Sicurezza 360×365
    Sei qui:Home»Featured»Protezione dei sistemi a identità ibrida
    Featured

    Protezione dei sistemi a identità ibrida

    By Redazione BitMAT15 Dicembre 20227 Mins Read
    Facebook Twitter LinkedIn Tumblr Reddit Telegram WhatsApp Email

    La protezione delle identità in ambienti ibridi comporta problemi molto diversi rispetto a quanto avviene in ambienti puramente locali. A quali aspetti prestare attenzione?

    protezione identità semperis
    Guido Grillenmeier, Chief Technologist di Semperis

    L’identità è il nuovo perimetro della sicurezza. Qualsiasi violazione di questo perimetro può consentire a persone malintenzionate di accedere ad applicazioni, dati e attività aziendali. Per tutte le organizzazioni che forniscono servizi di identità basati su Azure Active Directory o un ambiente ibrido con Active Directory in locale e Azure AD, la protezione dei sistemi a identità ibrida può richiedere tempo e molte risorse. D’altro canto, è un’attività fondamentale.

    Errori e configurazioni non adatte sono problemi frequenti negli ambienti ibridi, che sono quindi particolarmente vulnerabili agli attacchi informatici. Per gli utenti malintenzionati è sufficiente violare un servizio tra il local AD e Azure AD perché possano agire indisturbati su entrambi. L’attacco a SolarWinds è un ottimo esempio di questa strategia.

    La protezione delle identità in ambienti ibridi comporta problemi molto diversi rispetto a quanto avviene in ambienti puramente locali. Se l’infrastruttura della di un’organizzazione include Azure AD (ed è così se si usa Microsoft Office 365), ci sono vari aspetti a cui occorre prestare attenzione. Ecco i più importanti.

    Attacchi incrociati dall’interno del servizio local AD

    Spesso i criminali informatici usano tecniche di phishing o social engineering per attaccare utenti vulnerabili e ottenere con l’inganno informazioni sensibili, ad esempio credenziali di identità. Gli esempi di SolarWinds e Colonial Pipeline mostrano i rischi correlati a casi simili. Gli autori degli attacchi hanno preso il controllo del servizio AD in locale, manomesso la federazione ADFS (AD Federation Services) affinché creasse token SAML e ottenuto l’accesso ad Azure AD.

    Protezione dei sistemi a identità ibrida - Semperis

    Cosa si può fare per contrastare gli attacchi e proteggere i sistemi a identità ibrida

    Innanzitutto, imporre ovviamente l’uso dell’autenticazione a più fattori. Le credenziali di identità rubate sono uno degli strumenti d’attacco più pericolosi. E come se non bastasse, può trascorrere molto tempo prima che ci si accorga del furto. Non tutti i sistemi di monitoraggio sono in grado di segnalare attività dell’account insolite, quindi aggiungere questa misura di protezione è fondamentale.

    In secondo luogo, prendere coscienza del fatto che ormai la gestione delle identità ibride richiede controlli di sicurezza più avanzati rispetto a quelli disponibili con una classica implementazione dell’ADFS. Mantenere l’infrastruttura necessaria a ospitare l’ADFS comporta dei rischi intrinsechi, come la possibilità di saltare l’applicazione di una patch, l’obsolescenza dei componenti hardware e così via.

    Va piuttosto considerato il passaggio all’autenticazione pass-through di AD, che permette di usare la stessa password per accedere ad app in locale e su cloud. Questo approccio sfrutta un modello di connessione solo in uscita e l’autenticazione basata su certificato per delegare il processo di autenticazione al servizio AD in locale; questa è un’alternativa più sicura rispetto ad ADFS. È anche possibile integrare l’autenticazione pass-through di AD con altre misure di sicurezza di Azure AD per scongiurare infiltrazioni e furto di credenziali come anche sincronizzare gli hash delle password AD con Azure AD.

    Inoltre, è possibile prendere in considerazione Azure AD Application Proxy, ossia una funzionalità che usa le credenziali di Azure AD per configurare un accesso remoto sicuro alle app in locale e offre la stessa esperienza utente di qualsiasi applicazione con Azure AD integrato.

    Protezione dei sistemi a identità ibrida - Semperis

    Configurazione lenta e complessa

    Proteggere i sistemi a identità ibrida è complicato per chiunque, per gli amministratori AD come per gli esperti di identità o sicurezza. Le minacce cambiano di continuo e bloccare gli accessi agli asset tier 0, come AD e Azure AD, richiede molto tempo. La stessa quantità di tempo se non di più può essere necessaria quando si prova a ripristinare l’AD a seguito di un attacco informatico.

    Usare Azure AD per l’autenticazione di app di terze parti rende più complesso il modello di sicurezza. In alcuni casi, queste app possono leggere e archiviare dati da Azure AD; ciò espande il perimetro di rischio e fa sì che la sicurezza dei dati dipenda dall’applicazione con l’Azure AD integrato.

    Un altro possibile punto debole sono le autorizzazioni impostate in Azure AD: se non vengono concesse con molta attenzione, le app potrebbero avere un margine di manovra più ampio del necessario. Dal momento che può aumentare il rischio di modifiche nel tenant AD, questa è una svista che potrebbe costare molto caro.

    Infine, misure come l’autenticazione a più fattori potrebbero non funzionare per alcune app, che quindi saranno vincolate ai controlli di sicurezza integrati, qualunque essi siano.

    Protezione dei sistemi a identità ibrida - Semperis

    Cosa fare per ridurre il numero di accessi

    Queste potenziali falle di sicurezza richiedono una governance rigorosa e audit periodici per quanto riguarda le autorizzazioni concesse alle app al fine di capire dove applicare restrizioni aggiuntive. Va identificata ogni eventuale lacuna e occorre assicurarsi di aver abilitato il corretto settaggio dei ruoli in Azure AD, eseguire un audit delle impostazioni di autorizzazione e rendere più rigide le configurazioni di sicurezza, quindi aggiungere metodi di protezione come l’autenticazione a più fattori.

    Bisogna valutare anche il modo in cui viene gestito il controllo degli accessi basato sui ruoli (Role-Based Access Control, RBAC). L’assegnazione dei ruoli in Azure AD è un’attività diversa rispetto alla gestione degli accessi sull’AD tradizionale: va posta molta attenzione al modo in cui vengono definiti i ruoli e concesse le autorizzazioni.

    Per proteggere i sistemi a identità ibrida è importante seguire il principio dei privilegi minimi. Non vanno aggiunti account sincronizzati dall’AD in locale ad Azure AD all’interno di ruoli RBAC con privilegi, come ad esempio per gli amministratori globali, piuttosto va riservato questo tipo di ruoli agli account nativi Azure AD. È anche possibile creare unità amministrative nel tenant Azure AD per ridurre il numero di oggetti gestibili dai membri del team IT tramite uno specifico ruolo RBAC: quest’ultimo è un altro modo per rispettare il principio dei privilegi minimi.

    Protezione dei sistemi a identità ibrida - Semperis

    Errori di configurazione e altre vulnerabilità di sicurezza

    Errori di configurazione e vulnerabilità di sicurezza della soluzione di gestione delle identità sono un punto di accesso ideale per gli utenti malintenzionati. Azure AD si basa su servizi gestiti ed è Microsoft a proteggerne l’infrastruttura sul cloud. Ma la protezione dei propri dati e della configurazione di Azure AD è una responsabilità che riguarda l’organizzazione.

    Durante un attacco informatico, è possibile che vengano alterati o cancellati utenti, gruppi, ruoli, criteri di accesso condizionale e altro ancora. A meno che non si abbia già un piano di recovery adeguato, l’impatto di un evento simile può essere devastante e duraturo. Esistono pochi controlli nativi che possono impedire la sovrascrittura di dati o configurazioni in Azure AD durante un attacco.

    Cosa fare per semplificare la protezione dei sistemi a identità ibrida

    Il cestino di Azure AD offre una funzionalità di eliminazione temporanea che consente di ripristinare gli utenti eliminati, ma va ricordato che conserva gli elementi solo per 30 giorni.

    Altre forme di compromissione possono essere difficili da individuare e mitigare, soprattutto se gli utenti malintenzionati sono in grado di muoversi tra il local AD e Azure AD nel cloud. Oltre alle misure di sicurezza native, i responsabili IT devono sfruttare strumenti avanzati che permettano di identificare attacchi potenzialmente in grado di espandersi a più servizi all’interno degli ambienti ibridi. Funzionalità come il rilevamento delle modifiche e le correzioni automatiche degli errori possono impedire il furto di credenziali e l’accesso da parte di persone malintenzionate. Infine, è fondamentale disporre sempre di un piano di recovery collaudato e proattivo per AD e Azure AD.

     

    Di Guido Grillenmeier, Chief Technologist di Semperis

     

    identità identità ibrida Semperis
    Share. Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email
    Redazione BitMAT
    • Website
    • Facebook
    • X (Twitter)

    BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.

    Correlati

    Attacchi web a +33% e API obiettivo numero uno. L’analisi di Akamai

    23 Aprile 2025

    Infrastrutture critiche: la sicurezza è un imperativo

    18 Aprile 2025

    IA e Cybersecurity governano le strategie di investimento aziendali

    18 Aprile 2025
    Newsletter

    Iscriviti alla Newsletter per ricevere gli aggiornamenti dai portali di BitMAT Edizioni.

    BitMATv – I video di BitMAT
    Transizione 5.0: vuoi il 45% sui software?
    Stormshield: Zero Trust pilastro della security aziendale
    RENTRI: regole pratiche per uscirne vivi
    Vertiv: come evolve il mondo dei data center
    2VS1 incontra GCI: focus sulle competenze
    Tag Cloud
    Acronis Akamai attacchi informatici Axitea Barracuda Networks Bitdefender Check Point Research Check Point Software Technologies CISO cloud Commvault CyberArk cybercrime Cybersecurity cyber security DDoS ESET F-Secure F5 Networks FireEye Fortinet Hacker Identity Security infrastrutture critiche intelligenza artificiale (AI) Iot Kaspersky malware minacce informatiche palo alto networks phishing Proofpoint ransomware Security SentinelOne sicurezza sicurezza informatica Sicurezza It SOC Stormshield Trend Micro Vectra AI WatchGuard Technologies Zero Trust Zscaler
    Chi Siamo
    Chi Siamo

    BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.

    Facebook X (Twitter) Instagram Vimeo LinkedIn RSS
    Navigazione
    • Attualità
    • Opinioni
    • Ricerche
    • Soluzioni
    Ultime

    Attacchi web a +33% e API obiettivo numero uno. L’analisi di Akamai

    23 Aprile 2025

    Infrastrutture critiche: la sicurezza è un imperativo

    18 Aprile 2025

    IA e Cybersecurity governano le strategie di investimento aziendali

    18 Aprile 2025
    • Contattaci
    • Cookies Policy
    • Privacy Policy
    • Redazione
    © 2012 - 2025 - BitMAT Edizioni - P.Iva 09091900960 - tutti i diritti riservati - Iscrizione al tribunale di Milano n° 295 del 28-11-2018 - Testata giornalistica iscritta al ROC

    Type above and press Enter to search. Press Esc to cancel.