I più recenti attacchi alla cyber security hanno avuto come bersaglio i sistemi di directory e, in particolare, l’Active Directory (AD): in assoluto il più diffuso ID manager usato all’interno dei sistemi informativi aziendali basati su tecnologie server Microsoft.
Le violazioni delle directory sono, da sempre, le più pericolose per la security di reti e sistemi perché danno agli attaccanti l’opportunità di nascondersi sotto identità legittime, cercare informazioni e vulnerabilità con cui poter scalare i privilegi e prendere il controllo dei sistemi aziendali. Controllo che a sua volta può essere usato per paralizzare le attività aziendali, trafugare dati, crittografarli per poi avanzare richieste estorsive e anche cancellare le tracce delle violazioni.
Una minaccia che può essere mitigata conoscendo e risolvendo le vulnerabilità presenti nel sistema, dotandosi degli strumenti per monitoraggio continuo e, quando tutto questo non dovesse evitare il peggio, disponendo di efficaci supporti per disaster recovery e ripristino della directory.
Indice degli argomenti
Le lacune di sicurezza dei sistemi di directory
Quali sono i problemi che mettono oggi a rischio le directory aziendali? “Il primo problema è la trascuratezza con cui vengono gestiti molti ambienti in on premise, specie nelle PMI”, lamenta Bruno Filippelli, general manager di Semperis Italia.
Lo spostamento d’interesse dei sistemi informativi verso moderne soluzioni applicative basate nel cloud si è tradotta, in molte realtà aziendali, in un congelamento degli investimenti e dell’evoluzione tecnologica dei supporti server e applicativi in on-premise. In attesa dei piani la migrazione sul larga scala delle applicazioni verso il cloud o per gli aggiornamenti del data center in logica ibrida, i sistemi esistenti su cui si basa l’operatività aziendale sono trascurati.
In particolare sul fronte della security, dove l’apertura delle reti aziendali verso un gran numero di servizi esterni e di utenti in telelavoro richiede livelli d’attenzione superiori rispetto al passato. “Così accade che nelle directory si trovino account amministrativi e d’utente assegnati a persone che non lavorano più per l’azienda, password troppo semplici o non aggiornate da molti anni – spiega Filippelli -. In altri casi vediamo configurazioni sbagliate e problemi di manutenzione che, oltre a introdurre vulnerabilità sfruttabili dal cyber crime, riducono l’efficienza della directory nel normale funzionamento”.
L’impegno di Microsoft nel portare i propri clienti verso le più moderne applicazioni nel cloud e verso il nuovo ambiente di directory (in cloud) Azure Active Directory non riduce i rischi delle aziende che, nelle situazioni di passaggio o di convivenza tra applicazioni vecchie e nuove, sincronizza le identità in on-premise con quelle in cloud, senza le cautele necessarie.
Rilevare i problemi dell’AD per prevenire gli attacchi
“La sicurezza dell’Active Directory (AD) si ottiene primariamente con la prevenzione – spiega Filippelli –. Una attività che richiede un’attenta ricerca ed eliminazione delle vulnerabilità presenti nel sistema”. A questo scopo Semperis ha messo a punto un tool specifico dal nome Purple Knight. “E’ il tool più recente che abbiamo sviluppato – precisa Filippelli -. Strumento che permette di fare assessment rapidi sullo stato di sicurezza dell’AD aziendale, senza richiedere complesse installazioni e comunicare all’esterno dell’impresa i risultati (che potrebbero essere imbarazzanti, ndr)”.
Con Purple Knight gli amministratori possono ottenere una report card con punteggi di sicurezza, correlazioni tra rischi e indicazioni di priorità sulle azioni da compiere.
Gli indicatori d’esposizione rilevano i problemi di configurazione che possono facilitare il compito di un attaccante, oltre ai percorsi e alle modifiche dell’ambiente che possono aprire le porte ai comportamenti malevoli.
Gli indicatori di compromissione rilevano invece le tracce di un attacco in corso o già avvenuto. Permettono di capire come l’attaccante ha agito e di segnalare le modifiche recenti che possono apparire più sospette. “Abbiamo progettato Purple Knight per dare indicazioni immediate sui rischi che corre l’AD aziendale e suggerire i passi da effettuare per la messa in sicurezza – precisa Filippelli -. Abbiamo reso questo tool scaricabile in versione gratuita dal nostro sito come strumento di evangelizzazione su punti di vulnerabilità e le esposizioni al rischio”. Il package Purple Knight ha infatti una componente di assessment gratuita, scaricabile dal sito Semperis a cui si affianca una versione commerciale dotata delle capacità per rimediare in modo automatico a molti problemi.
Il monitoraggio continuo che serve a garantire la difesa
La directory è un ambiente dinamico dove s’incrociano le informazioni e i cambiamenti che riguardano tutte le risorse digitali, i permessi e le ID dei fruitori sia in carne ed ossa sia digitali (dipendenti, applicazioni, sistemi connessi, sensori IoT ecc.). Un ambiente in continuo movimento che non può essere reso sicuro senza un monitoraggio continuo. “E’ questo l’obiettivo di Directory Service Protector, il nostro tool per le attività di threat monitoring, detection & response – spiega Filippelli – Alle funzioni di vulnerability assessment, specifiche per l’Active Directory, il tool aggiunge quelle di monitoraggio continuo su che accade alla directory, su chi ha fatto modifiche, sull’emergere di nuove vulnerabilità che possono essere sfruttate dai cybercriminali”.
Tra le funzionalità offerte dallo strumento Semperis c’è l’accesso a una libreria online contenete le informazioni per ricercare e per risolvere rapidamente i problemi comuni. I cambiamenti che riguardano specifici oggetti o attributi critici dell’AD possono essere notificati agli amministratori o tradotti in azioni di rimedio automatiche.
Le stesse capacità di rimedio che servono per difendere l’azienda dagli attacchi dei cybercriminali permettono di sfruttare il tool anche per rimediare ad errori che gli stessi amministratori possono compiere in totale buona fede, limitando i danni e i tempi di fermo. Directory Service Protector è inoltre in grado di colloquiare con strumenti già esistenti, i SIEM in particolare, per facilitare l’integrazione della security.
Garantire la resilienza con il disaster recovery
Cyber attacchi, ma anche danneggiamenti fisici dei server ed errori umani possono rendere indisponibili i servizi di directory, bloccando gli accessi alle risorse aziendali. Una strategia di sicurezza e di resilienza per l’AD deve poter prevedere il disaster recovery per l’AD e le capacità per un ripristino rapido. “E’ questo lo scopo di Active Directory Forest Recovery, il nostro tool dedicato al disaster recovery delle directory Microsoft – spiega Filippelli -. Un tool che in caso di infezioni, crittografazioni e cancellazioni dei dati consente di ripristinare l’ambiente, restituendo velocemente agli utenti l’accesso alle risorse e la normale operatività aziendale”.
Il tool Semperis può effettuare il restore dell’AD sia su hardware fisico sia virtuale, eliminando dall’azione gli eventuali malware già presenti nel backup, evitando reinfezioni. Riduce al minimo i tempi di ripristino grazie all’automazione dei processi di recovery. “Con il nostro software è possibile mantenere in sicurezza sia gli ambienti AD in on-premise sia i nuovi ambienti di cloud che usano Azure Active Directory – continua Filippelli -. Diamo una mano a chi, in forza della scelta di una strategia multicloud o anti lock-in, non voglia affidarsi ai servizi di directory di uno specifico provider”.
Contributo editoriale sviluppato in collaborazione con Semperis
