Prima di immergerci nei suggerimenti tecnici di cui ho parlato nel mio post precedente, vorrei sollevare un punto importante. Se ci si affida esclusivamente a strumenti di gestione delle informazioni e degli eventi di sicurezza (SIEM) per il monitoraggio della sicurezza di Active Directory (AD), soprattutto contro potenziali attacchi di sicurezza informatica, si rischia di non avere un quadro completo di ciò che accade sulla rete e sui sistemi aziendali.
Cosa sono gli strumenti SIEM?
Gli strumenti SIEM raccolgono, centralizzano e analizzano vari log di rete, di sistema, di applicazione e di altro tipo. Molti registri di eventi producono una quantità spropositata di dati. Gli strumenti SIEM possono essere incredibilmente utili per ottenere una visione unificata degli eventi registrati.
Molte organizzazioni si affidano a strumenti SIEM per monitorare i registri di sicurezza alla ricerca di potenziali comportamenti dannosi, comprese le minacce a Active Directory. Tra gli strumenti SIEM più diffusi vi sono Splunk e Microsoft Sentinel.
Perché non affidarsi agli strumenti SIEM per la sicurezza AD?
Uno dei problemi di affidarsi agli strumenti SIEM per il monitoraggio di Active Directory è il fatto che i cyberattaccanti sono diventati abili nell'aggirare i registri di sicurezza di AD. DCShadow è solo un esempio di questo tipo di attacco informatico. Basarsi su una strategia esclusivamente SIEM ha poi anche questi svantaggi:
- Limitazioni nella raccolta dei dati: i SIEM raccolgono e analizzano solo i dati che vengono loro inoltrati, che potrebbero non includere tutto ciò che viene generato da una rete o da un sistema. Molte applicazioni e servizi non dispongono di funzionalità integrate di allerta o di creazione di eventi. Anche quelli che dispongono di tali funzionalità potrebbero non produrre avvisi per tutti i tipi di azioni o modifiche di configurazione. Ad esempio, l'accesso e le modifiche alle macchine virtuali (VM) potrebbero non essere registrati. Queste limitazioni portano a una visibilità e a un monitoraggio della sicurezza incompleti.
- Errori di configurazione: i SIEM devono essere configurati correttamente per analizzare efficacemente i dati e fornire informazioni significative. Sappiamo tutti quanto lungo e complesso possa essere questo processo. Errori di configurazione e configurazioni errate possono portare a una mancata o errata analisi dei dati, con conseguente visione limitata dell'attività di rete.
- Problemi di elaborazione dei dati: alcuni SIEM non sono in grado di elaborare tutti i tipi di dati, con conseguenti lacune nel monitoraggio della sicurezza.
- Informazioni incomplete sulle minacce: i SIEM spesso si affidano ai feed di threat intelligence per rilevare le minacce note. Tuttavia, questi feed potrebbero non essere sempre completi o aggiornati.
- Falsi positivi: i SIEM possono generare falsi positivi, che possono distrarre dai veri problemi di sicurezza e ridurre l'efficacia complessiva del SIEM.
- Mancato orientatamento alla sicurezza: molte applicazioni e servizi generano registri di eventi che non sono stati progettati per la sicurezza. Gli eventi generati possono essere criptici e nascondere la vera natura dell'evento scatenante.
- Contesto limitato: i SIEM forniscono in genere una quantità limitata di contesto per gli eventi di sicurezza. Questa mancanza di contesto può rendere difficile comprendere l'intera portata di un problema di sicurezza o eseguire l'analisi delle cause principali.
Come estendere l'efficacia degli strumenti SIEM
Per ovviare a queste limitazioni, gli strumenti SIEM devono essere utilizzati come parte di una strategia di sicurezza più ampia. È opportuno combinare il SIEM con altre tecnologie di sicurezza come firewall, sistemi di rilevamento delle intrusioni e software di protezione degli endpoint. Per avere una visione completa della sicurezza di Active Dirctory è bene assicurarsi di implementare uno strumento di monitoraggio AD dedicato. Ad esempio, Semperis Directory Services Protector )DSP) si integra facilmente con gli strumenti SIEM.
Per saperne di più sugli strumenti SIEM e sulla sicurezza AD
