Latest news

Active Directory: un bersaglio per il cybercrime

Introdotto nel 1999 e potenziato nel 2003 unitamente ai sistemi operativi Windows Server, Active Directory oggi è il tool on-premise per directory più diffuso. Un tool che risente della rifocalizzazione e degli investimenti verso i servizi in cloud, sia da parte del software vendor sia delle imprese, cambiamento che ha diminuito l’attenzione sui sistemi on-premise e creato un gap di cui cyber criminali stanno approfittando.

La maggior parte dei sistemi e dei processi aziendali in cui sono coinvolte persone presenta delle vulnerabilità, terreno fertile per gli attacchi alla sicurezza. Tra i bersagli più ricorrenti, i sistemi deputati alla gestione degli accessi con una particolare predilezione per Active Directory.

L’Active Directory viene utilizzato per dare agli utenti l’accesso a differenti risorse e applicazioni attraverso credenziali, regole e filtri in base al ruolo svolto in azienda. La directory è il servizio che permette all’attaccante di fingersi un utente legittimo del sistema e di poter arrivare alle risorse desiderate tramite i privilegi di accesso. Questo componente non è al sicuro come dovrebbe, specie nelle PMI.

active-directory

Active Directory: la prevenzione come miglior difesa

Attraverso la sottrazione di password o exploit della vulnerabilità presenti, diventa possibile bloccare l’accesso ai sistemi aziendali oppure svolgere altre attività di prospezione che permettono di prendere il controllo dei sistemi per sottrarre dati cancellando le tracce e/o per avanzare richieste estorsive.

Secondo Bruno Filippelli, general manager di Semperis Italia, società specializzata nella security degli ambienti Microsoft Active Directory, queste dinamiche sono state seguite nella scorsa estate dagli attacchi che hanno messo in crisi pubbliche amministrazioni, enti e imprese italiane. Una volta violati gli accessi, l’AD diventa bersaglio di tool e malware che consentono agli attaccanti di ottenere i privilegi necessari a portare avanti azioni criminali.

La prevenzione è, come sempre, la miglior difesa dagli attacchi di security rivolti all’AD: controlli sulle identità fisiche e logiche presenti nella directory attraverso tool specifici devono essere programmati periodicamente.

“Spesso l’AD contiene informazioni obsolete, account amministrativi e d’utente assegnati a persone che non lavorano più per l’azienda, password mai cambiate e simili – spiega Filippelli -. In altri casi si scoprono configurazioni sbagliate e problemi di manutenzione che, oltre a introdurre vulnerabilità, comportano inefficienze anche nel normale funzionamento”.

Quando l’impresa è sotto attacco, Log e altri strumenti di security come gli information and event management (SIEM), possono essere disabilitati dall’attaccante ed eventuali ripristini dai backup possono risultare inutili.

“Sono situazioni che riscontriamo spesso quando veniamo chiamati dai clienti per effettuare DIsaster Recovery d’emergenza degli ambienti AD – spiega Filippelli -. Nel backup c’è spesso il malware inserito dall’attaccante, oppure le configurazioni sbagliate, stratificate nel tempo, che hanno esposto il sistema aziendale al rischio”.

Sempre secondo Filippelli, l’unico modo per evitare che, una volta ripristinati i sistemi o pagato il riscatto richiesto dai criminali, ci si ritrovi nelle stesse condizioni, nel mirino di nuovi attacchi è prevedere di ripartire, nel disaster recovery post-attacco, da componenti software garantire sicure e correttamente configurate.

Active Directory: come renderlo più sicuro

Semperis, nata nel 2013 per il supporto alla commercializzazione del tool Active Directory Forest Recovery per il disaster recovery degli ambienti directory Microsoft, propone una soluzione per threat monitoring, detection e response: Directory Services Protector.

“Prendiamo atto che i nuovi servizi basati sul cloud devono oggi convivere con servizi tradizionali supportati in on-premise – spiega Filippelli -. Le aziende continuano ad usare applicazioni proprie dove è complesso, oppure non si vuole del tutto, intervenire. Il risultato sono ambienti ibridi in cui i servizi di Azure AD (in cloud) si affiancano con quelli dell’AD on-premise. Questo è il contesto in cui operano le nostre soluzioni per la security”.

“Con il nostro software aiutiamo i clienti a mantenere in sicurezza sia gli ambienti AD in on-premise sia i nuovi in cloud con Azure Active Directory. Diamo inoltre supporto alle necessità di chi, in forza a strategie multicloud o anti-lock-in, non intende portare i servizi di directory sul cloud di uno specifico fornitore”.

Active Directory: il tool gratuito di Semperis

Semperis ha sviluppato un tool per effettuare rapidi assessment sullo stato di sicurezza degli ambienti AD aziendali: Purple Knight, scaricabile in versione gratuita dal sito, è un software che evidenzia se l’AD aziendale è a rischio, rivelando i passaggi da seguire per la remediation.

“Purple Knight è il nostro strumento d’evangelizzazione sui temi della sicurezza, pensato per chi non fa assessment di sicurezza sull’AD e può, in questo modo, conoscere i punti deboli per ridurre la propria esposizione al rischio di attacchi” spiega Filippelli. Il tool si affianca con una versione commerciale che aggiunge la capacità di rimediare in modo automatico ai problemi riscontrati.

corso-active-directory-security-attack-and-defense

Active Directory: la formazione come prevenzione

Un’altra strategia da sviluppare per combattere il cyber crime è la formazione. Il corso Red Teaming Active Directory: Attack and Defense è stato studiato per permettere ai membri del red team di apprendere le tecniche opportune per attaccare e difendere le infrastrutture Active Directory.

Questo bootcamp è indirizzato ai professionisti della sicurezza informatica, in modo da identificare e analizzare le minacce in un moderno ambiente Active Directory. Nel corso verranno trattati argomenti come l’enumerazione di AD, la mappatura delle Trust Relationship, l’escalation dei privilegi di dominio, gli attacchi basati su Kerberos, i trust del server SQL, le tecniche di difesa e il relativo bypass.

Prenota il tuo corso Red Teaming AD Attack and Defense! Scegli le date che preferisci, indicaci se desideri un corso presso la tua azienda, on-line o in Aula a Verona. Contattaci per richiedere una quotazione.

Hai bisogno di maggiori informazioni?

I nostri esperti IT sapranno certamente aiutarti!

My Agile Privacy

Questo sito utilizza cookie tecnici e di profilazione. 

Puoi accettare, rifiutare o personalizzare i cookie premendo i pulsanti desiderati. 

Chiudendo questa informativa continuerai senza accettare. 

Inoltre, questo sito installa Google Analytics nella versione 4 (GA4) con trasmissione di dati anonimi tramite proxy. 

Prestando il consenso, l'invio dei dati sarà effettuato in maniera anonima, tutelando così la tua privacy.