Questo blog spiega perché l'auditing di Active Directory è necessario.
Chi ha spostato il mio oggetto e altri misteri di AD
Active Directory è stata creata per semplificare i servizi di identità nelle aziende e per facilitare la vita degli amministratori di sistema di tutto il mondo, ma la mancanza di visibilità sulle operazioni di AD continua a essere un punto dolente. Per chi si occupa della manutenzione di AD, non c'è niente di più frustrante che non essere in grado di capire chi ha apportato una modifica ad Active Directory e di che tipo di modifica si tratta. Potreste letteralmente passare ore a cercare di capire perché un oggetto dei Criteri di gruppo si trova in uno stato di avviso e non trovare mai la causa principale. Inoltre, se l'eccesso di privilegi è comune in un ambiente e un maggior numero di utenti ha diritti di amministratore di dominio, si creano più domande su chi ha fatto cosa in Active Directory. Più recentemente, i malintenzionati che vogliono infiltrarsi nella rete utilizzano sempre più spesso Active Directory come punto di snodo per attacchi più persistenti.
Lettura correlata
A parte il fattore di disturbo, la mancata verifica dell'ambiente Active Directory mette a rischio l'organizzazione sia dal punto di vista operativo che legale.
Ecco alcuni motivi per cui è fondamentale verificare Active Directory:
- Stato del sistema: Active Directory non dispone di strumenti di avviso nativi per aggiornare l'utente sullo stato di salute del sistema. Se una delle numerose funzioni di replica di AD è degradata, potreste scoprirlo solo quando gli utenti finali ne risentono. Il monitoraggio proattivo dello stato di salute del sistema fornisce avvisi in tempo reale, in modo da poter intervenire prima che qualcuno se ne accorga.
- Attività sospette: Gli attori delle minacce spesso risiedono in un ambiente per mesi prima di effettuare un attacco informatico. Se state controllando attivamente il vostro ambiente Active Directory, è molto probabile che veniate avvisati di attività sospette prima di un attacco in piena regola.
- Conformità: Per alcune istituzioni è ormai legge l'obbligo di verificare i servizi Active Directory. Le normative, come la SOX 404, impongono alle organizzazioni di implementare controlli per garantire che gli errori delle applicazioni vengano identificati e corretti.
Il mago dell'auditing di Active Directory dietro il sipario
La maggior parte delle soluzioni di auditing di Active Directory si limita a monitorare le modifiche apportate al sistema. Tuttavia, questo tipo di auditing non è completo per due motivi:
- Se il monitoraggio viene disattivato anche solo per un minuto, che sia accidentale o intenzionale, si potrebbe perdere di vista gli eventi critici che si verificano in Active Directory.
- Se un cyberattaccante ottiene l'accesso all'AD, può modificare o cancellare i registri di sicurezza e nascondere le proprie tracce. Le indagini post-mortem sulle violazioni di Target e Sony hanno dimostrato che gli aggressori hanno modificato i registri di sicurezza, il che ha permesso loro di rimanere inosservati nel sistema per oltre 200 giorni.
È importante considerare più di un semplice meccanismo di tracciamento delle modifiche per i vostri scopi di auditing AD. Semperis Directory Services Protector (DSP) fornisce una visione affidabile delle modifiche di Active Directory, correlando le informazioni da due fonti e confrontando gli stati in tempo reale per garantire che nessun evento passi inosservato. Gli eventi vengono poi memorizzati nel database di backend, in modo da poter eseguire ricerche a testo libero e visualizzare un "ticker" di tutte le attività che hanno avuto luogo nel periodo di tempo desiderato.
DSP è inoltre dotato di un ripristino point-in-time, che consente di riportare rapidamente Active Directory a uno stato precedente, se necessario. Sia che dobbiate annullare una modifica massiccia dei gruppi di sicurezza che ha creato problemi alle vostre applicazioni, sia che dobbiate ripristinare un sito AD cancellato che ha distrutto la replica AD, DSP può rendere questi processi facili come un clic del mouse.
Ottenere visibilità sui servizi di Active Directory
Microsoft ha progettato Active Directory per accogliere molte modifiche all'interno di un'organizzazione, ed è fondamentale rilevare e registrare tali modifiche per un'implementazione sicura e ben gestita. Una soluzione completa di auditing di Active Directory non solo fornirà visibilità sulle modifiche apportate in AD, ma renderà anche più efficiente la vostra organizzazione, avvisandovi del degrado delle operazioni ed eliminando le ore spese per l'analisi delle cause e il ripristino. Oltre alla visibilità e all'efficienza, la verifica di Active Directory è essenziale per mantenere la conformità in molti settori.
