• BitMAT
  • BitMATv
  • Top Trade
  • Linea EDP
  • Itis Magazine
  • Speciale Sicurezza
  • Industry 4.0
  • Sanità Digitale
  • ReStart in Green
  • Redazione
  • Contattaci
    Facebook Twitter Vimeo LinkedIn RSS
    Trending
    • Gruppi APT nel mirino di ESET
    • Controllo intelligente dei privilegi
    • Vectra AI: tecnologia NDR sempre più protagonista
    • Metaverso e deepfake, terreno fertile per gli hacker
    • Cybercriminali evasivi: Vectra li scova con l’AI
    • XDR: non è solo materia per l’IT
    • Armis State of Cyberwarfare and Trends Report: una prospettiva italiana sulla cybersecurity
    • Strategie ESG: serve l’identity security
    Facebook Twitter Vimeo LinkedIn RSS
    BitMAT | Speciale Sicurezza 360×365
    • Attualità
    • Opinioni
    • Ricerche
    • Soluzioni
    BitMAT | Speciale Sicurezza 360×365
    Sei qui:Home»Featured»Protezione dei sistemi a identità ibrida
    Featured

    Protezione dei sistemi a identità ibrida

    Di Redazione BitMAT15 Dicembre 2022Lettura 7 Min
    Facebook Twitter LinkedIn Tumblr Reddit Telegram WhatsApp Email

    La protezione delle identità in ambienti ibridi comporta problemi molto diversi rispetto a quanto avviene in ambienti puramente locali. A quali aspetti prestare attenzione?

    protezione identità semperis
    Guido Grillenmeier, Chief Technologist di Semperis

    L’identità è il nuovo perimetro della sicurezza. Qualsiasi violazione di questo perimetro può consentire a persone malintenzionate di accedere ad applicazioni, dati e attività aziendali. Per tutte le organizzazioni che forniscono servizi di identità basati su Azure Active Directory o un ambiente ibrido con Active Directory in locale e Azure AD, la protezione dei sistemi a identità ibrida può richiedere tempo e molte risorse. D’altro canto, è un’attività fondamentale.

    Errori e configurazioni non adatte sono problemi frequenti negli ambienti ibridi, che sono quindi particolarmente vulnerabili agli attacchi informatici. Per gli utenti malintenzionati è sufficiente violare un servizio tra il local AD e Azure AD perché possano agire indisturbati su entrambi. L’attacco a SolarWinds è un ottimo esempio di questa strategia.

    La protezione delle identità in ambienti ibridi comporta problemi molto diversi rispetto a quanto avviene in ambienti puramente locali. Se l’infrastruttura della di un’organizzazione include Azure AD (ed è così se si usa Microsoft Office 365), ci sono vari aspetti a cui occorre prestare attenzione. Ecco i più importanti.

    Attacchi incrociati dall’interno del servizio local AD

    Spesso i criminali informatici usano tecniche di phishing o social engineering per attaccare utenti vulnerabili e ottenere con l’inganno informazioni sensibili, ad esempio credenziali di identità. Gli esempi di SolarWinds e Colonial Pipeline mostrano i rischi correlati a casi simili. Gli autori degli attacchi hanno preso il controllo del servizio AD in locale, manomesso la federazione ADFS (AD Federation Services) affinché creasse token SAML e ottenuto l’accesso ad Azure AD.

    Protezione dei sistemi a identità ibrida - Semperis

    Cosa si può fare per contrastare gli attacchi e proteggere i sistemi a identità ibrida

    Innanzitutto, imporre ovviamente l’uso dell’autenticazione a più fattori. Le credenziali di identità rubate sono uno degli strumenti d’attacco più pericolosi. E come se non bastasse, può trascorrere molto tempo prima che ci si accorga del furto. Non tutti i sistemi di monitoraggio sono in grado di segnalare attività dell’account insolite, quindi aggiungere questa misura di protezione è fondamentale.

    In secondo luogo, prendere coscienza del fatto che ormai la gestione delle identità ibride richiede controlli di sicurezza più avanzati rispetto a quelli disponibili con una classica implementazione dell’ADFS. Mantenere l’infrastruttura necessaria a ospitare l’ADFS comporta dei rischi intrinsechi, come la possibilità di saltare l’applicazione di una patch, l’obsolescenza dei componenti hardware e così via.

    Va piuttosto considerato il passaggio all’autenticazione pass-through di AD, che permette di usare la stessa password per accedere ad app in locale e su cloud. Questo approccio sfrutta un modello di connessione solo in uscita e l’autenticazione basata su certificato per delegare il processo di autenticazione al servizio AD in locale; questa è un’alternativa più sicura rispetto ad ADFS. È anche possibile integrare l’autenticazione pass-through di AD con altre misure di sicurezza di Azure AD per scongiurare infiltrazioni e furto di credenziali come anche sincronizzare gli hash delle password AD con Azure AD.

    Inoltre, è possibile prendere in considerazione Azure AD Application Proxy, ossia una funzionalità che usa le credenziali di Azure AD per configurare un accesso remoto sicuro alle app in locale e offre la stessa esperienza utente di qualsiasi applicazione con Azure AD integrato.

    Protezione dei sistemi a identità ibrida - Semperis

    Configurazione lenta e complessa

    Proteggere i sistemi a identità ibrida è complicato per chiunque, per gli amministratori AD come per gli esperti di identità o sicurezza. Le minacce cambiano di continuo e bloccare gli accessi agli asset tier 0, come AD e Azure AD, richiede molto tempo. La stessa quantità di tempo se non di più può essere necessaria quando si prova a ripristinare l’AD a seguito di un attacco informatico.

    Usare Azure AD per l’autenticazione di app di terze parti rende più complesso il modello di sicurezza. In alcuni casi, queste app possono leggere e archiviare dati da Azure AD; ciò espande il perimetro di rischio e fa sì che la sicurezza dei dati dipenda dall’applicazione con l’Azure AD integrato.

    Un altro possibile punto debole sono le autorizzazioni impostate in Azure AD: se non vengono concesse con molta attenzione, le app potrebbero avere un margine di manovra più ampio del necessario. Dal momento che può aumentare il rischio di modifiche nel tenant AD, questa è una svista che potrebbe costare molto caro.

    Infine, misure come l’autenticazione a più fattori potrebbero non funzionare per alcune app, che quindi saranno vincolate ai controlli di sicurezza integrati, qualunque essi siano.

    Protezione dei sistemi a identità ibrida - Semperis

    Cosa fare per ridurre il numero di accessi

    Queste potenziali falle di sicurezza richiedono una governance rigorosa e audit periodici per quanto riguarda le autorizzazioni concesse alle app al fine di capire dove applicare restrizioni aggiuntive. Va identificata ogni eventuale lacuna e occorre assicurarsi di aver abilitato il corretto settaggio dei ruoli in Azure AD, eseguire un audit delle impostazioni di autorizzazione e rendere più rigide le configurazioni di sicurezza, quindi aggiungere metodi di protezione come l’autenticazione a più fattori.

    Bisogna valutare anche il modo in cui viene gestito il controllo degli accessi basato sui ruoli (Role-Based Access Control, RBAC). L’assegnazione dei ruoli in Azure AD è un’attività diversa rispetto alla gestione degli accessi sull’AD tradizionale: va posta molta attenzione al modo in cui vengono definiti i ruoli e concesse le autorizzazioni.

    Per proteggere i sistemi a identità ibrida è importante seguire il principio dei privilegi minimi. Non vanno aggiunti account sincronizzati dall’AD in locale ad Azure AD all’interno di ruoli RBAC con privilegi, come ad esempio per gli amministratori globali, piuttosto va riservato questo tipo di ruoli agli account nativi Azure AD. È anche possibile creare unità amministrative nel tenant Azure AD per ridurre il numero di oggetti gestibili dai membri del team IT tramite uno specifico ruolo RBAC: quest’ultimo è un altro modo per rispettare il principio dei privilegi minimi.

    Protezione dei sistemi a identità ibrida - Semperis

    Errori di configurazione e altre vulnerabilità di sicurezza

    Errori di configurazione e vulnerabilità di sicurezza della soluzione di gestione delle identità sono un punto di accesso ideale per gli utenti malintenzionati. Azure AD si basa su servizi gestiti ed è Microsoft a proteggerne l’infrastruttura sul cloud. Ma la protezione dei propri dati e della configurazione di Azure AD è una responsabilità che riguarda l’organizzazione.

    Durante un attacco informatico, è possibile che vengano alterati o cancellati utenti, gruppi, ruoli, criteri di accesso condizionale e altro ancora. A meno che non si abbia già un piano di recovery adeguato, l’impatto di un evento simile può essere devastante e duraturo. Esistono pochi controlli nativi che possono impedire la sovrascrittura di dati o configurazioni in Azure AD durante un attacco.

    Cosa fare per semplificare la protezione dei sistemi a identità ibrida

    Il cestino di Azure AD offre una funzionalità di eliminazione temporanea che consente di ripristinare gli utenti eliminati, ma va ricordato che conserva gli elementi solo per 30 giorni.

    Altre forme di compromissione possono essere difficili da individuare e mitigare, soprattutto se gli utenti malintenzionati sono in grado di muoversi tra il local AD e Azure AD nel cloud. Oltre alle misure di sicurezza native, i responsabili IT devono sfruttare strumenti avanzati che permettano di identificare attacchi potenzialmente in grado di espandersi a più servizi all’interno degli ambienti ibridi. Funzionalità come il rilevamento delle modifiche e le correzioni automatiche degli errori possono impedire il furto di credenziali e l’accesso da parte di persone malintenzionate. Infine, è fondamentale disporre sempre di un piano di recovery collaudato e proattivo per AD e Azure AD.

     

    Di Guido Grillenmeier, Chief Technologist di Semperis

     

    identità identità ibrida Semperis
    Condividi: Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email
    Redazione BitMAT
    • Website
    • Facebook
    • Twitter

    BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.

    Correlati

    Gruppi APT nel mirino di ESET

    2 Febbraio 2023

    Controllo intelligente dei privilegi

    2 Febbraio 2023

    Vectra AI: tecnologia NDR sempre più protagonista

    27 Gennaio 2023
    Newsletter

    Iscriviti alla Newsletter per ricevere gli aggiornamenti dai portali di BitMAT Edizioni.

    BitMATv – I video di BitMAT
    Vectra AI: tecnologia NDR sempre più protagonista
    read more ❯
    Hikvision Trasmission&Display e iStorage: a che punto siamo?
    read more ❯
    Hikvision: termografia in espansione
    read more ❯
    Nuove frontiere della robotica con Raise
    read more ❯
    Poliambulatorio Privato C.T.R. sceglie la tecnologia di ELO Digital Office
    read more ❯
    Tag Cloud
    Acronis AI Akamai Axitea Barracuda Networks Bitdefender Check Point Check Point Research Check Point Software Technologies cloud Clusit CyberArk cyber security Cybersecurity Darktrace DDoS ESET F-Secure F5 Networks FireEye Fortinet Hacker infrastrutture critiche Iot Ivanti Kaspersky malware palo alto networks Panda Security phishing previsioni Proofpoint ransomware Security SentinelOne sicurezza Sicurezza It Stormshield trend Trend Micro Vectra AI WatchGuard WatchGuard Technologies Zero Trust Zscaler
    Chi Siamo
    Chi Siamo

    BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.

    Facebook Twitter Vimeo LinkedIn RSS
    Navigazione
    • Attualità
    • Opinioni
    • Ricerche
    • Soluzioni
    Ultime

    Gruppi APT nel mirino di ESET

    2 Febbraio 2023

    Controllo intelligente dei privilegi

    2 Febbraio 2023

    Vectra AI: tecnologia NDR sempre più protagonista

    27 Gennaio 2023
    • Contattaci
    • Cookies Policy
    • Privacy Policy
    • Redazione
    © 2012 - 2023 - BitMAT Edizioni - P.Iva 09091900960 - tutti i diritti riservati - Iscrizione al tribunale di Milano n° 295 del 28-11-2018 - Testata giornalistica iscritta al ROC

    Scrivi nel campo e premi Invio per cercare. Premi Esc per annullare