Che cos'è la sicurezza di Active Directory?

A più di 20 anni dalla sua introduzione, la sicurezza di Microsoft Active Directory è ancora parte integrante della disponibilità delle aziende e della loro redditività. In questo post, scoprirete cosa richiede la sicurezza di Active Directory e quali sono le best practice che possono aiutarvi a tenere testa agli aggressori.

Che cos'è la sicurezza di Active Directory?

In sostanza, la sicurezza di Active Directory consiste nel consentire agli utenti legittimi di autenticarsi sulla rete e di accedere alle applicazioni e ai dati di cui hanno bisogno, proteggendoli al contempo da chiunque cerchi di accedere a risorse o di elevare privilegi per i quali non è autorizzato.

Active Directory detiene effettivamente le "chiavi del regno" controllando l'autenticazione e l'autorizzazione alla maggior parte delle applicazioni e dei dati dell'azienda. Pertanto, la sicurezza di Active Directory è una priorità fondamentale per l'azienda.

Quali sono i principali rischi, vulnerabilità, esposizioni e minacce alla sicurezza di Active Directory?

La gestione di Active Directory può essere complessa. Tuttavia, dato lo scopo di Active Directory, la sicurezza è fondamentale. Errori di configurazione, utenti con permessi eccessivi e vulnerabilità non corrette possono contribuire alla capacità dei cyberattaccanti di sfruttare Active Directory.

Active Directory è spesso un obiettivo per i criminali informatici che cercano di elevare i privilegi per penetrare in una rete compromessa. Un esempio di questo tipo di attività è rappresentato dalla banda del ransomware CL0P, che è stata osservata utilizzare Cobalt Strike per espandere l'accesso alla rete dopo aver ottenuto l'accesso a un server Active Directory.

Così come la compromissione di Active Directory è una priorità assoluta per gli aggressori una volta violata la rete, la sua protezione deve essere una priorità per le aziende. L'indurimento di Active Directory inizia con la comprensione dell'ambiente e del modo in cui gli attori delle minacce lo prendono di mira. Ecco alcuni problemi significativi di configurazione e sicurezza che influiscono negativamente su Active Directory e aumentano il rischio di un attacco informatico.

Delega Kerberos non vincolata

Gli attori delle minacce sfruttano la delega non vincolata per aumentare la loro posizione nell'ambiente preso di mira. L'abuso di questa impostazione è un altro esempio di come gli aggressori utilizzino funzionalità legittime per scopi malevoli. In Active Directory, la delega consente a un computer di salvare i ticket di autenticazione Kerberos di un utente e di sfruttarli per impersonare l'utente e agire per suo conto. Quando la delega non vincolata è abilitata, un attore pericoloso può mascherarsi da utente legittimo e accedere a risorse non rilevate.

Un numero elevato di utenti in gruppi privilegiati

Non è raro che gli account abbiano privilegi superiori al necessario. Ad esempio, un utente potrebbe cambiare ruolo lavorativo e vedersi aggiungere una nuova serie di permessi, senza che gli vengano revocati quelli vecchi di cui non ha più bisogno. Oppure la concessione di privilegi eccessivi a un utente potrebbe essere vista come un modo rapido per far funzionare un'applicazione. Questa situazione è un campanello d'allarme: se questi utenti vengono aggiunti a gruppi di privilegiati, il rischio che rappresentano per l'organizzazione se compromessi aumenta, poiché ogni account rappresenta un potenziale percorso di escalation dei privilegi per gli aggressori che cercano di muoversi lateralmente nell'ambiente. C'è anche il rischio che un utente legittimo possa accidentalmente apportare modifiche non autorizzate ad Active Directory, con un impatto sulla sicurezza e sulla conformità.

Account di servizio con privilegi elevati

Gli account di servizio sono essenzialmente account utente a cui vengono assegnate autorizzazioni specifiche nelle applicazioni che consentono di eseguire tali servizi o applicazioni. A volte, tuttavia, a questi account vengono assegnati diritti di amministratore che non sono necessari per eventuali problemi operativi, perché si tratta di un modo rapido per risolvere problemi di configurazione che richiederebbero molto tempo. Il fatto che gli account di servizio abbiano spesso password deboli, impostate per non scadere mai, non fa che aumentarne il rischio. Utilizzando la tecnica del Kerberoasting, un attore pericoloso può ottenere la password debole di un account di servizio in pochi minuti e, se l'account ha privilegi elevati, ottenere il controllo di Active Directory.

Pratiche di password e di autenticazione inadeguate

La mancata implementazione di politiche e pratiche di password sicure può vanificare la migliore tecnologia. Le password deboli possono essere decifrate con attacchi a forza bruta e a dizionario. Le password più comuni possono essere indovinate con attacchi di tipo spray. Sulla base dei dati forniti dai grandi fornitori di identità cloud, il NIST e altre organizzazioni hanno raccomandato di modificare i criteri di utilizzo delle password, come ad esempio non far scadere le password, diminuire la complessità aumentando la lunghezza e vietare le password comuni.

Anche gli errori di configurazione possono aggravare i problemi. Ad esempio, l'impostazione Memorizza password con crittografia reversibile è necessaria per supportare le applicazioni legacy che necessitano di password in chiaro per funzionare normalmente. Tuttavia, poiché queste password sono reversibili anziché con hash, un aggressore che decifri la crittografia può dirottare l'account. Qualsiasi applicazione che richieda ancora questa impostazione dovrebbe essere ritirata da tempo, soprattutto se si considera l'aumento del rischio per Active Directory che essa comporta.

Utenti che hanno il diritto di aggiungere computer a un dominio

Se un utente ha attivato l'impostazione di sicurezza "Aggiungi stazioni di lavoro al dominio", per impostazione predefinita potrà aggiungere fino a 10 computer al dominio. Il problema è che un utente malintenzionato può sfruttare questa possibilità per aggirare i controlli di sicurezza degli endpoint. Chiunque aggiunga un account macchina diventa automaticamente il proprietario dell'oggetto macchina.

Una vulnerabilità comune è causata dagli operatori che uniscono i futuri controller di dominio al loro dominio Active Directory prima della promozione. Se la proprietà dell'oggetto computer non viene trasferita, l'operatore avrà il controllo amministrativo sul controller di dominio una volta promosso. Questa capacità dovrebbe essere limitata a specifici account che ne hanno bisogno.

Esempi di recenti violazioni di Active Directory

Non c'è bisogno di guardare lontano per trovare esempi di violazioni di Active Directory che hanno causato notevoli danni e gravi ripercussioni per le organizzazioni vittime.

• Le città di Dallas, in Texas, e di Oakland, in California, sono entrambe impegnate da mesi a riprendersi da attacchi informatici che hanno colpito i servizi cittadini.
• Il Barts Health NHS Trust di Londra, che serve oltre 2 milioni di pazienti, è stato vittima di un attacco BlackCat/ALPHV.
• Gli attacchi ai distretti scolastici di tutto il Paese, tra cui Minnesota, Colorado e California, hanno esposto i dati privati degli studenti alle minacce.
• SolarWinds, vittima di uno dei più noti cyberattacchi della storia recente, ha recentemente annunciato che i suoi dirigenti dovranno affrontare le accuse della SEC statunitense relative alla loro gestione dell'incidente.
• A marzo Dish Network ha segnalato un attacco ransomware che ha compromesso Active Directory e poi l'infrastruttura VMware, colpendo milioni di abbonati per oltre un mese.

Gli aggressori sanno che la compromissione di Active Directory apre le porte a ogni tipo di attività dannosa, dal furto di dati al ransomware. Nell'attacco al Barts Health NHS Trust sarebbero stati rubati terabyte di dati. Un attacco riuscito può comportare tempi di inattività, una copertura mediatica sfavorevole e impatti negativi sui clienti i cui dati sono stati compromessi. Una volta che gli aggressori sono entrati nella vostra rete, la limitazione dei danni che possono causare dipende in parte dalla vostra capacità di bloccare l'accesso alle risorse critiche. Al centro di questi sforzi c'è la sicurezza di Active Directory.

Sicurezza di Active Directory e governance, rischio e conformità

Il monitoraggio e la protezione di Active Directory sono importanti non solo per la difesa informatica. Active Directory è una fonte vitale di informazioni per le normative di conformità che richiedono audit trail e prove dei controlli di accesso e delle policy sui dati sensibili. Un audit regolare e una visibilità completa sono necessari per soddisfare i requisiti di normative e standard come HIPAA e PCI DSS. Una solida strategia di monitoraggio della sicurezza di Active Directory fornisce informazioni importanti ai fini della conformità.

Quali sono le migliori pratiche per proteggere la vostra Active Directory?

La chiave per prevenire molti di questi problemi risiede nella capacità di rilevare le configurazioni a rischio e monitorare le modifiche accidentali o dolose. A livello fondamentale, la riduzione del rischio consiste nell'innalzare la barriera d'ingresso per gli aggressori, chiudendo le falle della sicurezza prima che questi possano attraversarle.

Eseguendo regolari valutazioni della sicurezza, è possibile rilevare le potenziali minacce prima che vengano sfruttate. Una modifica dei permessi sull'oggetto AdminSDHolder o una recente modifica allo schema del descrittore di sicurezza predefinito possono essere segnali di un attacco in corso. Se queste modifiche non sono state approvate, dovrebbe scattare un allarme immediato.

La buona notizia è che le organizzazioni possono seguire diversi consigli per limitare la superficie di attacco di Active Directory.

Implementare politiche di password efficaci

La protezione delle password e la loro complessità sono fondamentali come prima linea di difesa. Le password complesse devono essere lunghe almeno sette caratteri e includere numeri, caratteri maiuscoli e minuscoli e caratteri non alfanumerici, come punti esclamativi e segni di dollaro. Le organizzazioni dovrebbero prendere in considerazione la possibilità di utilizzare i criteri di password a grana fine invece degli oggetti Criteri di gruppo (GPO) per implementare regole più rigide. Ad esempio, è possibile creare criteri per applicare regole di blocco degli account diverse a gruppi specifici di utenti su un singolo dominio.

Seguire le linee guida NIST per la politica delle password, riassunte in precedenza. Le password devono essere conservate in un caveau protetto dall'aria. Inoltre, le organizzazioni devono assicurarsi che le password dei Criteri di gruppo non siano memorizzate in SYSVOL, una directory che risiede su ogni controller di dominio (DC) all'interno di un dominio. SYSVOL contiene le GPO e gli script di accesso di cui i client hanno bisogno per accedere e sincronizzarsi tra i DC. Se gli amministratori memorizzano le credenziali nelle cartelle SYSVOL, queste possono essere rubate da un utente malintenzionato che controlla un account compromesso.

Applicare il principio del minor privilegio

Seguire il principio del minimo privilegio è essenziale per ridurre la superficie di attacco di Active Directory, ovvero i vari vettori di attacco da cui l'organizzazione deve difendersi. Questo approccio prevede che tutti gli utenti, i dispositivi e le applicazioni ricevano solo il numero e il livello minimo di autorizzazioni necessarie per funzionare.

Che siano state ereditate in modo improprio, concesse per errore o per azione dolosa, o semplicemente concesse per convenienza, le autorizzazioni eccessive degli utenti rappresentano una minaccia diretta alla sicurezza dell'ambiente. Possono esserci anche implicazioni legate alla conformità normativa in alcuni settori. Fin dall'inizio, l'ambiente deve essere progettato in modo da assegnare agli account solo i diritti minimi necessari. I gruppi di privilegiati dovrebbero avere un numero limitato di membri e alcuni, come quello degli operatori delle stampanti, non dovrebbero averne alcuno o dovrebbero essere limitati per consentire solo l'appartenenza temporanea.

La gestione corretta di questa situazione implica una chiara comprensione dei ruoli degli utenti, di chi nell'organizzazione ha l'autorità di aggiungere gli utenti ai gruppi e di quando può farlo. Verificate regolarmente il vostro ambiente per ridurre il rischio ed eliminare gli account con privilegi eccessivi.

Complicare la ricognizione di Active Directory

Gli aggressori eseguono spesso una ricognizione di Active Directory Lightweight Directory Access Protocol (LDAP) per ottenere informazioni sull'ambiente e proseguire l'attacco. Active Directory è stato progettato per essere un libro aperto, rendendo difficile la prevenzione di questa ricognizione. Tuttavia, eliminando i diritti di amministratore locale e monitorando le richieste LDAP sospette, le aziende possono complicare la situazione per gli aggressori. Inoltre, sfruttando il provisioning just-in-time e rinominando le unità organizzative (OU), è possibile limitare la visibilità di un attaccante armato di un account legittimo.

Ritirare i protocolli legacy

Le best practice richiedono l'eliminazione di protocolli legacy come TLS 1.0 e 1.1, Server Message Block v1 (SMBv1), Digest Authentication e Lan Manager (LM) / NTLMv1 e NTLMv2. Questi protocolli non sono stati progettati tenendo conto delle minacce e delle esigenze di sicurezza odierne e possono costituire un punto debole nella difesa dell'organizzazione. NTLMv1 e NTLMv2, ad esempio, sono vulnerabili a minacce come gli attacchi brute-force e man-in-the-middle e si consiglia alle organizzazioni di passare a Kerberos. Prima di abbandonare questi protocolli, tuttavia, il team di Active Directory deve assicurarsi di comprendere appieno come questi protocolli vengono utilizzati nell'ambiente per evitare di interrompere la funzionalità delle applicazioni in uso.

Patchare le vulnerabilità di Active Directory e le configurazioni non sicure.

Vulnerabilità come Zerologon (CVE-2020-1472) rappresentano un rischio significativo per Active Directory se le aziende sono in ritardo con le patch. Data la criticità di Active Directory nell'ambiente IT, le patch devono avere la priorità, essere testate e distribuite il più rapidamente possibile. Gli aggressori cercheranno di colpire prima le vulnerabilità note. Per ridurre il rischio, le aziende devono scansionare regolarmente i propri sistemi e dare priorità alle vulnerabilità delle patch in base alla loro gravità e al potenziale impatto sulle operazioni aziendali in caso di sfruttamento. Inoltre, il software obsoleto deve essere identificato e aggiornato il più rapidamente possibile.

La ricerca dei frutti più piccoli non si limita alla correzione delle vulnerabilità. Si tratta anche di identificare le impostazioni non sicure che concedono agli utenti permessi non necessari o facilitano l'escalation dei privilegi. Sia che gli errori di configurazione siano dovuti a negligenza, modifiche accidentali o azioni dolose, è necessario condurre valutazioni periodiche della sicurezza.

Adottando questi accorgimenti, la vostra organizzazione può costruire dei muri intorno agli utenti, ai dati sensibili e ai sistemi che ridurranno il rischio e renderanno l'ambiente Active Directory più resiliente di fronte agli attacchi.

Come può Semperis aiutarvi a garantire la sicurezza di Active Directory?

Semperis aiuta le organizzazioni a garantire l'integrità e la disponibilità di Active Directory on-premises e di Entra ID con soluzioni che consentono di identificare, recuperare e rispondere agli attacchi.

• Valutate la superficie di attacco della vostra Active Directory ibrida con strumenti gratuiti come Purple Knight e Forest Druid.
• Implementare il rollback automatico di modifiche sospette ad Active Directory con Directory Services Protector ( DSP).
• Velocizzate e semplificate il processo di ripristino di Active Directory con Active Directory Forest Recovery ( ADFR).
• Modernizzazione e migrazione sicura di Active Directory con l'aiuto degli esperti di Semperis.
• Ottimizzate l'architettura e le configurazioni di sicurezza, le procedure operative e i piani di ripristino e recupero con l'aiuto dei servizi di preparazione e risposta alle violazioni di Semperis.

Scoprite le soluzioni esperte di rilevamento e risposta alle minacce all'identità (ITDR) e di sicurezza e ripristino di Active Directory.

Ulteriori informazioni sui rischi e le best practice di sicurezza di Active Directory

• Identificare e chiudere i percorsi delle risorse Active Directory di livello 0.
• Audit delle modifiche di Active Directory e rollback
• Accelera il recupero della foresta AD dopo un attacco informatico