Sicurezza di Azure Active Directory: 5 modi per proteggere l'AD

Mettere in sicurezza Active Directory (AD), il bersaglio comune di 9 cyberattacchi su 10, èdifficile. Molte organizzazioni hanno ambienti AD legacy con configurazioni errate accumulate che gli aggressori amano sfruttare. Inoltre, sebbene il 90% delle organizzazioni in tutto il mondo utilizzi AD come archivio di identità principale, una ricerca di Gartner mostra che solo il 33% dispone di un sistema di sicurezza AD di qualsiasi tipo. Se a questo si aggiunge Azure Active Directory (Azure AD), ora chiamato Entra ID, le sfide aumentano. 

Lettura correlata

• Sicurezza di Active Directory: Rischi principali e buone pratiche

Il monitoraggio delle attività dannose in Active Directory in locale e in Azure AD è notoriamente difficile. I team che operano on-premise e nel cloud sono spesso isolati, e questo complica il rilevamento delle modifiche in tutto l'ambiente.  

Semperis Directory Services Protector (DSP) semplifica la protezione dell'ambiente AD ibrido. Abbiamo anche appena rilasciato nuovi miglioramenti che aiutano i team IT e i team preposti alla sicurezza a far funzionare AD e Azure AD in modalità automatica, risparmiando risorse preziose e migliorando la sicurezza generale di Active Directory.  

Ecco nel dettaglio le nuove funzionalità di DSP che aiutano le organizzazioni a proteggere AD e Azure AD dai cyberattacchi. 

1. Rollback di modifiche dannose in Azure AD  

Al fine di mitigare un attacco all'ambiente AD ibrido è necessario annullare efficacemente le modifiche dannose in Azure AD. Semperis DSP offre il rollback di modifiche indesiderate o dannose a utenti, gruppi o ruoli in Azure AD. È inoltre possibile ripristinare gli oggetti di Azure AD eliminati in modo soft (cioè eliminati ma ancora presenti nel cestino di Azure AD), consentendo di recuperare i dati persi o eliminati. 

2. Avvisi su IOC per il rilevamento avanzato delle minacce a Active Directory 

Gli indicatori di compromissione (IOC) in DSP consentono di sapere quando si è verificata una violazione, in modo da poter rilevare tempestivamente le minacce e agire rapidamente per fermare gli aggressori. Gli IOC forniscono inoltre dati cruciali per individuare con precisione l'area colpita e ridurre i tempi di inattività. 

3. Rapporti di facile comprensione sulla situazione generale della sicurezza 

DSP ha un flusso semplificato per la creazione di report. Un report sulla postura complessiva della sicurezza fornisce un'istantanea visiva dei principali indicatori di sicurezza da condividere con i leader aziendali. Questo rapporto include:

• Un punteggio di sicurezza fino al 100%
• Un riepilogo dello stato dell'indicatore di esposizione (IOE) (trovato, non valutato o superato)
• Punteggi di categoria individuali per le categorie di Azure AD e AD in locale, tra cui sicurezza degli account, sicurezza Kerberos, Group Policy e altro ancora.

DSP - Il metodo di valutazione della postura di sicurezza si basa su una serie di fattori, tra cui:

• Potenziali conseguenze se un attaccante sfrutta la vulnerabilità
• Facilità di sfruttamento della vulnerabilità
• Prevalenza complessiva della vulnerabilità nell'ambiente

Ogni indicatore include un punteggio di gravità (livello e numero) che riflette l'impatto potenziale della vulnerabilità sulla postura di sicurezza, sulla disponibilità e sulle prestazioni. Questa valutazione di gravità viene poi utilizzata nella formula del punteggio per calcolare il rischio complessivo posto dalla vulnerabilità.  

4. Rapporti di conformità normativa per GDPR, HIPAA, PCI e SOX 

DSP include modelli per decine di report di conformità comuni, che possono essere caricati dal servizio web Semperis o importati tramite il modulo PowerShell DSP. Questi report, adattati ai requisiti GDPR, HIPAA, PCI e SOX, forniscono informazioni sulla configurazione e sulla sicurezza di AD che sono rilevanti per garantire la conformità alle normative. Ad esempio, i modelli di report per il GDPR includono elenchi di tutti gli account di computer eliminati in AD ed elenchi di modifiche allo stato dei gruppi negli ultimi 30 giorni. 

5. Integrazione con Splunk e Microsoft Sentinel per fornire un contesto significativo ai dati di sicurezza AD 

DSP ha sempre individuato IOC che superano le soluzioni tradizionali basate su log o eventi utilizzando diverse fonti di dati, tra cui il flusso di repliche AD. DSP inoltra quindi le modifiche sospette, insieme a un contesto significativo, al sistema SIEM (Security Information and Event Management). Basandosi su questa capacità, ora DSP consente di visualizzare i dati sulla sicurezza AD nelle viste di Splunk, familiari all'utente. DSP fornisce dashboard predefiniti che visualizzano i dati delle modifiche AD, i dati degli indicatori di sicurezza DSP e gli eventi delle regole di notifica DSP. È inoltre possibile utilizzare gli avvisi predefiniti di DSP come modelli per la creazione di avvisi personalizzati per i sistemi di orchestrazione, automazione e risposta della sicurezza (SOAR) e di ticketing.  

Abbiamo anche ampliato l'integrazione di DSP con Microsoft Sentinel, fornendo nuove cartelle di lavoro che consentono di visualizzare le informazioni di DSP, come i dati di modifica di Active Directory e gli eventi delle regole di notifica di DSP, all'interno dell'interfaccia di Microsoft Sentinel. 

Rafforzare la sicurezza di AD e Azure AD con il rilevamento completo delle minacce 

Gli attacchi contro AD e Azure AD non finiranno presto. Gruppi di ransomware-as-a-service (RaaS) come LockBit e Vice Society stanno prendendo di mira senza sosta i sistemi AD ibridi. Per i team IT e di sicurezza è difficile stare al passo con le minacce emergenti. Ma con le nuove funzionalità introdotte in DSP - realizzate da un team di esperti di sicurezza AD - auspichiamo a semplificare la difesa dei sistemi AD ibridi da questi attacchi.