Tim Springston Principale responsabile di prodotto, Semperis

Il recupero dell'ID Entra — e la resilienza dell'identità in generale — si concentra su due tipi di eventi: il recupero in seguito a incidenti e il recupero in seguito a violazioni della sicurezza.

Per comprendere questi eventi e gli strumenti necessari per affrontare i problemi che causano, dobbiamo esaminare come è cambiato il panorama delle minacce all'identità negli ultimi 15 anni.


Errori quotidiani: una strada lastricata di buone intenzioni

Intorno al 2014 abbiamo iniziato a notare una nuova tendenza nei problemi relativi all'identità nel cloud. Questi problemi non derivavano da interruzioni del servizio o dalla scarsa qualità dei servizi cloud di Microsoft, bensì da errori commessi dagli amministratori in Azure AD (ora Entra ID).

Alcuni esempi di episodi realmente accaduti:

  • Un amministratore autorizzato cancella accidentalmente diversi gruppi di sicurezza che regolano l'accesso a un database fondamentale per l'azienda. Ciò provoca un'interruzione del servizio della durata di due giorni, mentre il team si sforza di ricreare manualmente i gruppi e le relative appartenenze basandosi sulla memoria.
  • A un amministratore junior viene affidato il compito di «ripulire le app obsolete», nel tentativo ben intenzionato di ridurre i rischi per la sicurezza dell'azienda. L'amministratore cancella inavvertitamente migliaia di app fondamentali per l'azienda, che non erano affatto obsolete, provocando un'interruzione del servizio durata 28 giorni e rendendo necessaria un'importante iniziativa per ripristinare il normale funzionamento.
  • Un amministratore ben intenzionato ha "reso disponibili" alcune licenze di Office 365 rimuovendole dagli utenti legittimi. Questo semplice problema ha interrotto l'attività lavorativa di centinaia di utenti per oltre un giorno.

Questi episodi di configurazioni errate e cancellazioni accidentali non erano una novità. Problemi simili erano stati all’ordine del giorno in Active Directory per oltre un decennio. Gli effetti cumulativi sono sbalorditivi: quante unità organizzative (OU) e i loro contenuti sono stati cancellati e ripristinati!

Ma scoprire che le identità nel cloud erano configurate in modo errato… questa sì che era una novità . Come si fa a proteggere gli utenti dai loro stessi errori se le identità sono ospitate nel cloud?


Il modello di responsabilità condivisa del SaaS fa sì che questo diventi un tuo problema.

In qualità di cliente che utilizza il servizio cloud, sei l'unico responsabile dell'integrità dei dati contenuti nell'archivio delle identità. Per molte aziende, questa responsabilità si traduce in una chiara necessità di garantire la resilienza delle identità di fronte a errori innocui ma con conseguenze significative.


Intrusioni dannose: gli autori delle minacce non si introducono nel sistema… ma effettuano semplicemente l'accesso

Nel frattempo, stava emergendo un'altra tendenza: gli autori delle minacce facevano di tutto per ottenere l'accesso alle risorse nel cloud. L'approccio più semplice consisteva nell'effettuare il login, non nell'intromettersi illegalmente. Pertanto, la configurazione dell'autenticazione a più fattori (tramite qualcosa che si possiede/si conosce/si è) e di altri controlli di sicurezza è diventata fondamentale.

È apparso subito chiaro che, nonostante tutti gli sforzi profusi, l'ingegneria sociale e altre tecniche avrebbero comunque consentito agli autori delle minacce di ottenere l'accesso. E nei casi in cui fosse coinvolto un insider malintenzionato, gli intrusi sarebbero già stati «all'interno dell'edificio» con accesso autorizzato. I controlli di sicurezza non sarebbero riusciti a tenerli fuori; si trattava infatti di amministratori legittimi.

Gli esempi di questi casi in cui "l'accesso avviene in modo legittimo, non tramite hacking" sono innumerevoli e degni di nota. I più noti sono gli attacchi iniziati con una compromissione dei social media, come l'attacco informatico all'MGM Grand, e le tecniche in continua evoluzione utilizzate da attori malintenzionati come Storm 0501. Ho assistito a tutto questo in tempo reale nel mio ruolo di responsabile dei servizi per l'identità nel cloud e, successivamente, come product manager presso Microsoft. Ho aiutato regolarmente le organizzazioni a risolvere scenari simili e mi sono incontrato con loro per raccogliere feedback sui punti critici.


Evoluzione della protezione e del recupero dell'ID Entra

Il nostro team di Microsoft si è reso conto che due tipi di incidenti di particolare rilevanza richiedevano funzionalità più avanzate: il ripristino a seguito di incidenti e il ripristino a seguito di modifiche e cancellazioni dolose.

Dovevamo affrontare gli scenari di incidenti in modo nativo. La strategia che abbiamo adottato è stata quella di rafforzare la resilienza delle identità nel cloud contro modifiche e cancellazioni accidentali attraverso:

Abbiamo affrontato gli scenari di modifica e cancellazione dolosa puntando sulla sicurezza piuttosto che sulla resilienza. Ciò è rientrato nell'ambito dell'approccio orientato alla sicurezza Zero Trust, nell'ambito del quale sono state potenziate e ampliate funzionalità come l'accesso condizionale. Il ripristino rapido dello stato di sicurezza durante o dopo un'intrusione non era la priorità.

Facciamo un salto al presente. Gli incidenti relativi all'identità nel cloud continuano a verificarsi e proteggersi da essi rimane fondamentale. Allo stesso tempo, gli attacchi dolosi sono aumentati sia in frequenza che in gravità.  


Il fatto che lo scenario in cui "il malintenzionato accede al sistema" si verifichi sempre più spesso dimostra che la sola funzionalità di ripristino in caso di incidenti non è sufficiente.


Le organizzazioni necessitano di strumenti progettati per ripristinare lo stato di sicurezza di Entra ID e delle applicazioni aziendali anche in presenza di autori di minacce. È necessaria una resilienza delle identità incentrata sulla sicurezza, che comprenda:

  • La capacità di ripristinare il livello di sicurezza in modo rapido e completo
  • Un'analisi approfondita dello stato precedente
  • Conservazione prolungata dei backup (in modo che la disponibilità dei backup superi il periodo di tempo durante il quale i malintenzionati rimangono inosservati nel tenant)
  • Immutabilità dei backup, affinché siano disponibili quando necessario
  • Crittografia avanzata dei contenuti per proteggere i dati

Strumenti per proteggere e ripristinare Entra ID in caso di incidenti e intrusioni

Per Entra ID, le sfide legate al ripristino riguardano due ambiti molto diversi: da un lato la sicurezza e il ripristino avanzato, dall’altro le modifiche o le cancellazioni accidentali che si verificano quotidianamente.

Semperis Disaster Recovery for Entra Tenant (DRET) affronta il primo aspetto fornendo funzionalità di ripristino incentrate sulla sicurezza e basate su scenari. Questa soluzione offre molto più di un semplice rollback a un punto nel tempo. DRET è in grado di ricostruire oggetti e criteri complessi e interdipendenti (ad esempio, Accesso Condizionato, Gestione delle Identità Privilegiate (PIM), gestione dei dispositivi Intune e altri controlli critici) in modo da preservare il livello di sicurezza previsto e supportare l’analisi delle modifiche dannose o ad alto rischio. DRET soddisfa inoltre l'esigenza di dare priorità al ripristino basato sulla sicurezza e sugli scenari, consentendo ai responsabili delle decisioni di sapere cosa deve essere ripristinato e in quale ordine: un aspetto critico del ripristino in seguito a incidenti di sicurezza.

Microsoft Entra Backup and Recovery integra queste funzionalità concentrandosi su problemi semplici e ricorrenti, come la cancellazione accidentale o la semplice configurazione errata di utenti, gruppi e oggetti di directory principali. Questa soluzione è indicata in situazioni in cui i comportamenti di backup e i flussi di ripristino nativi sono sufficienti ed economici.

Le organizzazioni necessitano sia di DRET che di Microsoft Entra Backup and Recovery poiché i moderni ambienti Entra ID sono esposti a rischi concomitanti. È necessario essere in grado di correggere tempestivamente gli errori innocui commessi da amministratori e operatori, che devono essere risolti rapidamente. Inoltre, occorre disporre degli strumenti necessari per bloccare attacchi mirati o sistemici che richiedono funzionalità avanzate di ripristino, confronto e orchestrazione, al fine di riportare in modo sicuro il tenant a uno stato verificato e sicuro, senza reintrodurre proprio quelle vulnerabilità che un aggressore ha sfruttato.

Per saperne di più: Confronto tra Semperis Disaster Recovery for Entra Tenant e Microsoft Entra Backup and Recovery

Preparati in anticipo sia agli incidenti che alle attività dolose con strumenti appositamente progettati per questi scopi: Microsoft Entra Backup and Restore e Semperis Disaster Recovery for Entra Tenant.

Sviluppa la tua strategia di resilienza dell'identità avvalendoti dei migliori strumenti di ripristino degli Entra ID disponibili sul mercato. Quando riesci a risolvere rapidamente gli incidenti, questi diventano semplici contrattempi invece che problemi che richiedono giorni di lavoro e l'aggiornamento del curriculum.


Ulteriori letture