Latest news

Recenti attacchi ad Active Directory e come migliorare la sicurezza di AD

La sicurezza di Active Directory (AD) è vitale per un semplice motivo: Active Directory è un servizio fondamentale che fornisce i servizi di autenticazione e autorizzazione essenziali necessari per la maggior parte delle operazioni aziendali. Le debolezze nella sicurezza di AD possono consentire a un attaccante malintenzionato di crittografare o esfiltrare i dati sensibili o addirittura eliminare i controller di dominio (DC), portando l’attività aziendale a una brusca interruzione.

La sicurezza di AD è tema per Nexsys molto “caldo”, ma oggi adotterò un approccio diverso ed analizzerò alcuni dei principali attacchi ad Active Directory avvenuti negli ultimi mesi, offrendo la mia prospettiva sulle lezioni chiave che possiamo trarre da essi, nella speranza che queste informazioni offrano azioni concrete che potete intraprendere per rafforzare la sicurezza del vostro ambiente Active Directory. Inizieremo con alcuni consigli rapidi e poi passeremo a delle strategie più avanzate.

attacchi informatici active directory

Perché la sicurezza di AD è più importante che mai

Esaminando gli attacchi informatici recenti, è possibile identificare diverse tendenze chiave che sono altamente rilevanti per la sicurezza di Active Directory.

Microsoft continua a investire nei controlli di sicurezza cloud, quindi gli attaccanti continuano a mirare agli ambienti on-premise. Ciò significa che la sicurezza di AD deve rimanere un focus primario per le aziende ed organizzazioni di tutte le dimensioni.

Il crimine informatico, in particolare il ransomware, è diventato ormai un business. Ora vediamo quali lezioni possiamo imparare per la sicurezza di AD dagli attacchi recenti a Active Directory.

Gli attacchi informatici su LastPass

Il fornitore di gestore di password LastPass ha dichiarato due violazioni in cui gli avversari hanno ottenuto l’accesso al codice sorgente del prodotto e ad altre informazioni tecniche proprietarie, e successivamente hanno acceduto ad alcune informazioni dei clienti in un servizio di archiviazione cloud di terze parti utilizzato da LastPass.

Secondo LastPass, gli aggressori hanno ottenuto l’accesso iniziale tramite la compromissione di un computer domestico di uno dei loro sviluppatori e sfruttando un software multimediale vulnerabile sono riusciti ad eseguire remotamente del codice. Utilizzando un malware keylogger, gli attaccanti sono riusciti a catturare la password principale dell’impiegato mentre veniva inserita, dopo che l’impiegato si era autenticato con MFA, e così hanno ottenuto l’accesso alla repository password aziendale di LastPass del developer.

Consiglio rapido di sicurezza di AD -> Utilizzate workstation di accesso privilegiate (PAW)

Sebbene richiedere l’autenticazione a più fattori per l’accesso privilegiato sia una parte essenziale di qualsiasi sicurezza di AD, da sola non è una protezione sufficiente. Gli avversari mirano costantemente agli account altamente privilegiati a causa dell’accesso elevato a livello di diritti e privilegi che permettono di ottenere. Pertanto, un’altra delle migliori pratiche chiave è utilizzare workstation di accesso privilegiate: macchine rinforzate che sono l’unico luogo in cui gli utenti possono effettuare il

accesso con privilegi amministrativi. Queste workstation sono configurate in modo da limitare l’esposizione agli attacchi e ridurre il rischio di compromissione delle credenziali privilegiate.

L’attacco alla Software House SolarWinds

Uno degli attacchi più significativi degli ultimi periodi è stato l’attacco al fornitore di software SolarWinds, in cui gli attaccanti sono riusciti ad infiltrarsi nel processo di distribuzione del software e ad inserire un malware nel software stesso. Questo ha permesso agli attaccanti di compromettere numerosi clienti di SolarWinds, inclusi importanti enti governativi e aziende private.

Questa violazione mette in evidenza l’importanza di garantire la sicurezza di tutto l’ambiente di distribuzione del software e di condurre revisioni e controlli regolari per scoprire e mitigare eventuali vulnerabilità.

Consiglio rapido di sicurezza di AD -> Monitorare e gestire i privilegi

Uno degli errori comuni che le aziende organizzazioni commettono è quello di concedere troppi privilegi agli utenti senza che dietro ci sia un adeguato monitoraggio e controllo. Un attaccante che riesce ad ottenere accesso ad un account con privilegi elevati può causare danni significativi. Pertanto, è necessario implementare una rigorosa gestione dei privilegi, assicurarsi che solo gli utenti autorizzati abbiano accesso ad account con privilegi elevati e monitorare attentamente l’uso di tali account per rilevare comportamenti sospetti. In pratica seguire sempre il principio del “Least-Privilege“.

pass the ticket

Gli attacchi di tipo Pass-the-Ticket e Golden Ticket

Gli attacchi di tipo Pass-the-Ticket e Golden Ticket sono tra i più noti e famosi attacchi verso Active Directory. In un attacco di tipo Pass-the-Ticket, l’attaccante sfrutta un ticket di autenticazione generato da un account utente compromesso per ottenere l’accesso a risorse protette. In un attacco Golden Ticket, l’attaccante crea un ticket di autenticazione falso che gli consente di impersonare un account con privilegi elevati.

Questi attacchi mettono in evidenza l’importanza di proteggere gli account utente e di implementare misure di controllo per rilevare e mitigare l’utilizzo di ticket di autenticazione compromessi o falsificati.

Strategia di sicurezza di AD -> Implementazione di una soluzione di gestione degli accessi privilegiati (PAM)

Una delle strategie chiave per migliorare la sicurezza di Active Directory è l’implementazione di una soluzione di gestione degli accessi privilegiati (PAM). Una soluzione PAM consente di controllare e monitorare in modo più efficace gli account con privilegi elevati, limitando l’accesso solo ai momenti in cui è necessario e registrando tutte le attività degli utenti privilegiati. Inoltre, una soluzione PAM può essere di aiuto nella gestione dei ticket di autenticazione e nel rilevamento di eventuali anomalie o comportamenti sospetti.

In conclusione, la sicurezza di Active Directory è una priorità essenziale per qualsiasi organizzazione. Gli attacchi recenti ci ricordano l’importanza di implementare le migliori pratiche di sicurezza, come l’utilizzo di workstation di accesso privilegiate, la gestione dei privilegi, la revisione regolare del processo di distribuzione del software e l’implementazione di una soluzione di Privileged Access Management. Agendo in modo proattivo per migliorare la sicurezza di AD, si può ridurre significativamente il rischio di compromissione e proteggere l’azienda da potenziali attacchi

Sicurezza di Active Directory: lezioni dai recenti attacchi

La sicurezza di Active Directory è un aspetto cruciale per garantire la continuità e la protezione delle operazioni aziendali. Gli attacchi recenti ci hanno chiaramente dimostrato quanto sia essenziale mantenere la massima attenzione a questo aspetto critico della sicurezza informatica.

Per migliorare la sicurezza di Active Directory, è fondamentale adottare un approccio proattivo. Dalle recenti violazioni, abbiamo imparato importanti lezioni. L’utilizzo di workstation di accesso privilegiate, la rigorosa gestione dei privilegi, la revisione costante dei processi di distribuzione del software e l’implementazione di soluzioni di Privileged Access Management (PAM) sono tutti passi chiave verso una maggiore sicurezza di AD.

Nexsys, attraverso il corso Red Teaming Active Directory: Attack and Defense,  propone un valido punto di partenza per coloro che desiderano rafforzare la sicurezza di Active Directory. Questo corso fornirà le competenze necessarie per comprendere le minacce e le difese relative ad Active Directory e aiuterà a garantire una gestione più sicura e robusta dell’ambiente AD.

Investire nella sicurezza di Active Directory è un investimento nella protezione dei dati e nella continuità aziendale. Mantenere un’attenzione costante su quest’area critica è fondamentale per affrontare le sfide sempre più complesse nel panorama della sicurezza informatica.

Hai bisogno di maggiori informazioni?

I nostri esperti IT sapranno certamente aiutarti!