Michele Crockett

Una nuova ricerca di EMA evidenzia l'aumento degli exploit di Active Directory

Ultimamente le notizie su Active Directory sono molto diffuse nelle redazioni aziendali e tecnologiche, ma non in senso positivo. L'AD continua a essere un obiettivo primario per i criminali informatici: Solo alcuni esempi recenti includono attacchi legati all'AD a Sinclair Broadcast Group, al produttore di fotocamere Olympus e a una filiale di Nokia.

Un nuovo rapporto di Enterprise Management Associates (EMA) - "The Rise of Active Directory Exploits: Is It Time to Sound the Alarm?" (È ora di dare l'allarme?), analizza l'impatto delle debolezze della sicurezza AD sulle organizzazioni e le modalità di risposta. Un dato fondamentale che illustra il livello di preoccupazione per le minacce alla sicurezza di AD: L'86% delle organizzazioni intervistate ha dichiarato di voler aumentare gli investimenti per la protezione dell'AD. Il numero vertiginoso di attacchi pubblicizzati all'AD ha aumentato la consapevolezza dell'AD come vettore di attacco.

Lettura correlata

Come ha osservato Paula Musich, analista dell'EMA, l'attacco all'AD è il mezzo per raggiungere il fine per gli attori delle minacce. Gli aggressori utilizzano l'AD per violare le reti delle organizzazioni, quindi si muovono attraverso il sistema informativo compromesso per ottenere l'accesso a risorse preziose. Ad esempio, nella recente serie di attacchi golden ticket, tra cui l'attacco Golden SAML sferrato a SolarWinds, i malintenzionati hanno creato credenziali utente false, imitando utenti reali e aggirando l'autenticazione a due fattori. Nel caso di SolarWinds, gli aggressori hanno aumentato i privilegi sfruttando gli accessi non autorizzati nelle liste di controllo degli accessi AD. Questo approccio ha permesso loro di muoversi lateralmente all'interno delle reti delle vittime, sotto la copertura dei livelli di autorizzazione elevati rubati, per accedere ed esfiltrare dati sensibili. Attacchi come questi spingono le organizzazioni a raddoppiare la protezione di AD.

Sebbene gli attacchi all'AD siano aumentati sia in termini di gravità che di costi nell'ultimo anno, non sono una novità. I ricercatori di sicurezza hanno identificato per la prima volta gli exploit golden ticket nel 2017 e gli aggressori hanno preso di mira l'AD per anni nella speranza di ottenere l'accesso a risorse aziendali di alto valore. L'AD è un bersaglio ghiotto perché è il principale archivio di identità utilizzato per autenticare gli utenti e concedere l'accesso ai dati delle organizzazioni, compresi quelli dei clienti di grande valore.

Come le organizzazioni rispondono alle minacce di Active Directory

Per comprendere meglio il numero crescente di attacchi paralizzanti all'AD, EMA ha intervistato 250 professionisti e dirigenti IT su come le loro organizzazioni stanno rispondendo al rischio crescente e su come stanno cambiando le loro priorità di sicurezza dell'AD. Musich ha presentato i principali risultati del rapporto EMA nel seminario web "The Rise of Active Directory Exploits: How Enterprises Are Responding to an Increasingly Virulent Threat". I risultati principali hanno delineato un quadro allarmante di come le debolezze della sicurezza di AD stiano influenzando la postura di sicurezza complessiva delle organizzazioni.

1. Il 50% delle organizzazioni ha subito un attacco ad Active Directory negli ultimi 1-2 anni.

Dato l'aumento della prevalenza degli attacchi all'AD, è sorprendente che solo il 50% degli intervistati abbia indicato che le proprie organizzazioni hanno subito un attacco al sistema AD negli ultimi due anni. Secondo i calcoli di Microsoft, ogni giorno 95 milioni di account AD vengono presi di mira da attacchi informatici.

Musich ha osservato che una parte significativa di questi attacchi potrebbe essere passata inosservata: il 25% degli intervistati ha dichiarato che il rilevamento degli attacchi dal vivo è la sfida più grande per la sicurezza AD. Questa evidente mancanza di visibilità e l'alto tasso di attacchi AD suggeriscono che le organizzazioni potrebbero perdere attaccanti furtivi che sono riusciti a coprire le loro tracce. (Guido Grillenmeier, Chief Technologist di Semperis, ha scritto di come alcune minacce possano eludere le soluzioni di logging in "How to Defend Active Directory Attacks That Leave No Trace"). È anche possibile che alcuni professionisti della sicurezza non si rendano conto che l'AD gioca spesso un ruolo negli attacchi ransomware.

2. Oltre il 40% degli attacchi ad Active Directory ha avuto successo.

I cacciatori di minacce di Mandiant stimano che il 90% degli impegni di risposta agli incidenti che conducono con i clienti coinvolgono in qualche modo l'AD, sia che l'AD sia il vettore di attacco iniziale o il mezzo con cui gli aggressori possono ottenere persistenza o privilegi. Questo dato rende particolarmente allarmante l'alto tasso di successo degli attacchi AD.

3. I tester di penetrazione hanno sfruttato con successo le esposizioni di Active Directory nell'82% dei casi.

Sebbene le operazioni IT e i team operativi di sicurezza siano i gruppi principali incaricati di condurre le valutazioni, il loro lavoro è talvolta rafforzato dalle valutazioni condotte dai red team interni o dai team di pen testing. Per il 29% delle organizzazioni intervistate che conducono esercitazioni interne di red team o test di penetrazione contro l'AD, il tentativo di sfruttare le esposizioni dell'AD è una parte comune del programma. Per le organizzazioni che conducono test di sfruttamento dell'AD, il tasso di successo è sorprendentemente alto, pari all'82%.

Dato il profondo livello di competenza richiesto per individuare le vulnerabilità e comprendere i tipi di errori che possono portare a tali esposizioni, molte organizzazioni non hanno le risorse per condurre frequentemente valutazioni dell'AD. Inoltre, gli strumenti di penetration test automatizzati offrono funzionalità limitate per mantenere una buona postura di sicurezza dell'AD. Anche con le competenze disponibili, rimediare alle esposizioni e alle vulnerabilità è un processo complicato a causa della complessa struttura di AD. Fattori come la mancanza di visibilità delle esposizioni AD e i requisiti per la ricerca dell'esposizione rappresentano una sfida per il 38% e il 37% degli intervistati, rispettivamente.

4. L'86% delle organizzazioni prevede di aumentare gli investimenti nella protezione di Active Directory.

Dato il crescente numero di titoli di giornale sugli exploit AD, non sorprende che i team di sicurezza stiano mettendo la sicurezza AD in cima alla lista delle priorità. L'aumento degli attacchi all'AD ha spinto la maggior parte delle organizzazioni a pianificare un aumento della spesa per la sicurezza, ma anche altri problemi stanno stimolando queste decisioni. La pandemia ha causato due importanti cambiamenti interconnessi nell'attività IT: la necessità di supportare attività remote o da casa su larga scala e l'accelerazione dei piani di migrazione al cloud.

Non si intravede la fine degli attacchi AD

Anche se Microsoft continua a pubblicare aggiornamenti di sicurezza per l'AD, nulla impedisce che gli attacchi all'AD si verifichino, come è evidente dal numero crescente di incidenti. Per salvaguardare le loro organizzazioni dalle minacce odierne, i team di sicurezza devono aumentare la loro visibilità sulla superficie di attacco AD e disporre di un piano collaudato per rispondere una volta rilevato un attacco reale.

Inoltre, gli audit rimangono un metodo primario per identificare e proteggere le esposizioni, ma non sono l'unico strumento che i team di sicurezza possono o devono utilizzare, soprattutto data la loro natura istantanea. Oggi, nuovi strumenti sono in grado di individuare modelli di attività dannose in tempo reale, mentre gli aggressori cercano di ottenere l'accesso ad account privilegiati e di creare backdoor. Recentemente è stato presentato da Semperis, Purple Knight è uno strumento gratuito di valutazione della sicurezza AD che interroga l'ambiente AD di un'organizzazione ed esegue una serie completa di test contro i vettori di attacco più comuni ed efficaci per scoprire configurazioni rischiose e vulnerabilità di sicurezza. Semperis offre anche la piattaforma di rilevamento e risposta alle minacce AD ibride più completa del settore, Directory Services Protector.

Per ulteriori approfondimenti su come le organizzazioni stanno modificando le priorità per affrontare la crescente minaccia delle debolezze della sicurezza AD, scaricate il rapporto completo dell'EMA qui.