Le vacanze sono un periodo intenso per gli acquirenti, le attività commerciali e i criminali informatici. La Cybersecurity and Infrastructure Security Agency (CISA) ha già rilevato "un aumento degli attacchi ransomware ad alto impatto che si verificano nei giorni festivi e nei fine settimana, quando gli uffici sono normalmente chiusi" e ha definito le festività natalizie "un'occasione privilegiata per i malintenzionati di approfittare di ignari acquirenti attraverso siti web fasulli, link maligni e persino false associazioni di beneficenza". I consigli di sicurezza informatica per le vacanze sono in cima alla lista dei desideri di tutti.
Lettura correlata: Cos'è la sicurezza di Active Directory?
Le vacanze sono il momento perfetto per il crimine informatico
È perfettamente logico che le attività di vendita al dettaglio vengano prese di mira in occasione delle festività natalizie, data l'abbondanza di informazioni sulle carte di pagamento che memorizzano ed elaborano. Il 2023 Data Breach Investigations Report di Verizon ha analizzato le tecniche utilizzate dai criminali informatici per rubare i dati delle carte di credito, soprattutto durante i periodi di shopping più intenso come il Black Friday e il Cyber Monday. Tra typosquatting (l'uso di domini digitati in modo errato per impersonare rivenditori legittimi), Grinch bot (programmi automatizzati utilizzati per acquistare interi inventari di prodotti popolari per rivenderli con margini di profitto più elevati) e request bot (utilizzati per eludere le soluzioni di mitigazione dei bot), le festività sono un momento difficile per i rivenditori.
Ma le minacce si estendono ben oltre il settore del commercio al dettaglio o un singolo periodo dell'anno. Gli aggressori prediligono i giorni festivi e i fine settimana di tutto l'anno per lanciare ransomware e altri tentativi di violazione della rete. In questi periodi è più probabile che i team di sicurezza e IT siano sovraccarichi, distratti o assenti dal lavoro, offrendo ai cyberattaccanti maggiori opportunità di eludere le vostre difese.
Le organizzazioni che chiudono durante le festività, come le banche, le amministrazioni statali e locali, i distretti scolastici e le università, sono gli obiettivi principali. (Di recente ho sentito parlare di uno di questi tentativi di attacco durante un'intervista all'HIP Podcast. Potete ascoltare la storia completa qui).
Quando gli aggressori riescono a entrare nella vostra rete, il loro primo passo è spesso quello di trovare il mezzo più veloce per aumentare i privilegi: la vostra infrastruttura di identità. I criminali informatici possono anche utilizzare Active Directory per propagare il malware.
Una volta compromessa Active Directory, gli aggressori possono interrompere l'attività, rubare dati e persino creare backdoor per mantenere la persistenza senza essere scoperti e resistere agli sforzi di pulizia e ripristino.
I principali consigli di cybersicurezza per le infrastrutture di identità in vacanza
La creazione di un approccio efficace alla cybersecurity è più semplice se si considera l'ambiente dal punto di vista di un avversario. Il ruolo di Active Directory come servizio di directory lo rende un obiettivo comune e popolare per gli aggressori che vogliono espandere la loro posizione in una rete violata.
Sebbene gli account privilegiati siano un'area di interesse fondamentale per gli aggressori, è importante ricordare che gli account non amministratori possono essere altrettanto preziosi. Ad esempio, un account utente a livello di servizio con diritti di accesso a un database sensibile vale oro.
Con l'avvicinarsi del nuovo anno, è il momento giusto per valutare il vostro approccio alla sicurezza dell'AD. Ecco tre consigli per rafforzarlo contro gli attacchi.
1: Eseguire la scansione dell'ambiente Active Directory
Le organizzazioni hanno bisogno di una mappa completa del loro ambiente Active Directory, che comprenda quali account hanno quali privilegi e la giustificazione tecnica o aziendale di tali diritti. L'implementazione di una strategia basata sul principio del minimo privilegio riduce la superficie di attacco vulnerabile agli aggressori.
Valutare la superficie di attacco della vostra identità in modo da poter affrontare le potenziali vulnerabilità e lacune è un ottimo primo passo. Utilizzate uno strumento gratuito e semplice come Purple Knight per questa fase.
L'audit di Active Directory per garantire che i gruppi e i singoli account siano limitati alle autorizzazioni necessarie per svolgere le loro funzioni è fondamentale sia per la sicurezza che per la conformità alle normative. Questa affermazione è particolarmente importante per gli account con alti livelli di privilegi, che dovrebbero essere ridotti al minimo per diminuire il rischio che uno di questi account venga compromesso e utilizzato dagli attori delle minacce.
Altre buone pratiche includono:
- Considerate qualsiasi account con nomi di presidi di servizio definiti come altamente privilegiati.
- Non memorizzare le password dei Criteri di gruppo in nessun punto del SYSVOL.
- Rielaborare gli account di servizio privilegiati in modo da utilizzare il minor numero di privilegi necessari e prendere in considerazione l'utilizzo di account di servizio gestiti da gruppi.
- Richiedere l'uso di password uniche e complesse per gli account di servizio.
Volete portare la vostra valutazione al passo successivo? Uno strumento gratuito di analisi dei percorsi di attacco, come Forest Druid , può aiutarvi a individuare i potenziali percorsi di accesso al vostro perimetro Tier 0, in modo da bloccare i privilegi eccessivi.
2: avere un piano di ripristino d'emergenza
Non lasciate la sicurezza della vostra identità (e con essa la vostra resilienza operativa) al caso. Conoscete le risposte a queste domande:
- Cosa farete in caso di attacco informatico?
- Il vostro piano di disaster recovery include specifiche per rispondere a un attacco basato sull'identità?
- Avete un piano di backup e ripristino dedicato per la vostra Active Directory?
- Sapete quanto tempo richiederà il ripristino dell'AD e disponete degli strumenti per automatizzare il processo di ripristino di Active Directory?
- Chi chiamerete se avete bisogno di supporto?
Se siete a corto di tempo o di membri del team per prepararvi adeguatamente alle minacce informatiche, prendete in considerazione l'esternalizzazione del compito. Semperis, ad esempio, dispone di un team di esperti di Active Directory e di cybersecurity che fornisce servizi di preparazione e risposta alle violazioni, dalla valutazione dell'infrastruttura AD alla pianificazione e ai test di ripristino AD, fino alla risposta agli incidenti e alle analisi forensi degli attacchi.
3: Identificare attività sospette in Active Directory
Per quanto furtivi possano essere gli aggressori, spesso lasciano segni del loro comportamento. La capacità di rilevare attività potenzialmente sospette, come le modifiche dei permessi sull'oggetto AdminSDHolder, e configurazioni errate, come la presenza di presidi non predefiniti con diritti di sincronizzazione DC sul dominio, è un aspetto vitale della sicurezza di Active Directory.
Per questo motivo, le organizzazioni devono monitorare costantemente Active Directory ed eseguire regolari valutazioni di sicurezza. Dopo una violazione, non è insolito che gli attori delle minacce modifichino l'AD in vari modi per consentire loro di persistere. Modifiche all'appartenenza ai gruppi, la comparsa improvvisa di un nuovo account di amministrazione e indizi simili sono indicatori che qualcosa non va.
Strumenti di valutazione della sicurezza come Purple Knight e altri offrono ai professionisti della sicurezza l'opportunità di identificare e rimuovere eventuali punti deboli nell'infrastruttura AD dell'organizzazione prima che gli aggressori possano sfruttarli per introdursi nuovamente. Inoltre, strumenti come Directory Services Protector consentono di automatizzare il rollback delle modifiche sospette.
Proteggete Active Directory per vacanze più felici
Questa è la stagione in cui non solo si dà, ma si prende: i vostri dati, quelli dei vostri clienti e la vostra tranquillità. Non lasciate che i cyberattaccanti rovinino il vostro nuovo anno o qualsiasi altra festività. Rafforzando l'AD contro gli attacchi, potete erigere una barriera più forte tra gli aggressori e i loro obiettivi.
