Active Directory è uno dei componenti più importanti della rete. Tuttavia, la protezione di Active Directory può essere uno dei compiti più impegnativi della vostra lista di cose da fare.
Il problema è che l'AD cambia così spesso e su così vasta scala che è di fatto immune alla normale gestione del cambiamento. È anche una sorta di studio di contrasto: È necessario avere la flessibilità necessaria per modificare rapidamente l'AD, ma anche una piccola modifica può avere ramificazioni a livello di organizzazione. Infine, mentre l'AD continua a evolversi, i malintenzionati scoprono costantemente nuove vie di attacco.
Se gli aggressori sanno cosa stanno cercando, l'AD è un libro aperto. Una volta che gli aggressori conoscono il territorio, è solo questione di usare queste informazioni per muoversi all'interno della rete. Cosa si può fare per prevenire questi attacchi?
1. Comprendere il ciclo di attacco di Active Directory
In caso di attacco, Active Directory farà parte della catena di morte. In alcuni casi, è addirittura il primo obiettivo degli attori delle minacce, data la sua importanza nella maggior parte delle organizzazioni. La maggior parte delle aziende di medie e grandi dimensioni utilizza attualmente l'AD, ed è improbabile che la situazione cambi presto.
Sebbene i malintenzionati possano sferrare molti tipi di attacchi, in genere utilizzano l'AD per la ricognizione. Una volta entrati nel sistema, gli aggressori cercano tutto ciò che possono utilizzare per raggiungere i loro obiettivi. Persone di interesse, sistemi di interesse, configurazioni errate: tutto è visibile, il che rende facile per gli aggressori accelerare il loro tempo di transito attraverso la rete.
2. Guardare oltre i privilegi dell'amministratore escalation
Molte persone commettono l'errore di considerare gli account di amministratore del dominio come l'obiettivo. Gli aggressori intelligenti, tuttavia, sanno che sono disponibili molti account non amministrativi di valore. Un utente a livello di servizio che ha accesso a un database contenente informazioni di identificazione personale può essere altrettanto interessante per un aggressore quanto un account di amministratore di dominio.
A questo proposito, un account di amministratore di dominio è solo un anello di ottone per ottenere l'accesso a risorse preziose. È il modo più semplice per rubare credenziali ed esfiltrare dati, ma non è l'unico.
3. Pensare come un attaccante quando si protegge Active Directory
Esiste l'idea errata che gli attacchi come il ransomware siano automatizzati e che operino sulla base di un playbook predefinito, senza una grande intelligenza umana alle spalle. Questa visione è inesatta. Gli aggressori dedicano in realtà molto tempo a studiare l'ambiente, alla ricerca di determinati schemi e flag di configurazione, come gruppi privilegiati o risorse importanti collegate a unità organizzative (UO) note.
Non stanno solo cercando di creare bot automatizzati per il gusto di distruggerli. Stanno eseguendo attivamente script per cercare vulnerabilità e fare ipotesi intelligenti su come i negozi gestiscono il loro ambiente Active Directory. Il risultato di tutti questi sforzi è la proliferazione di strumenti che rendono gli attacchi più facili da eseguire che mai.
4. Rendere la vita più difficile agli attori delle minacce
Ci sono molte storie di attacchi altamente sofisticati come quello di SolarWinds. Certamente esistono attori nazionali con questo livello di sofisticazione, ma la maggior parte delle bande di ransomware non è così avanzata. La probabilità di subire un attacco avanzato piuttosto che essere presi di mira da un opportunista è piuttosto bassa.
La maggior parte delle bande di ransomware, in particolare quelle che acquistano ransomware come servizio (RaaS), cercano di fare soldi facili. Utilizzano comandi di base, sfruttano le vulnerabilità conosciute e gli strumenti di "lay of the land" e utilizzano percorsi di attacco semplici per raccogliere informazioni. Ne consegue che non vogliono lavorare sodo.
Ecco perché dovete farli lavorare sodo. Attirateli in honeypots che li costringano a commettere errori individuabili. Fornite loro falsi obiettivi e implementate difese che rendano difficile il loro movimento laterale.
A un certo punto, molti decideranno che non ne vale la pena e passeranno oltre.
5. Lavorare intorno alla natura di libro aperto dell'AD
Un consiglio comune per la sicurezza di Active Directory è quello di negare l'accesso in lettura a determinati gruppi privilegiati. Purtroppo, questo non funziona per la maggior parte delle organizzazioni. AD è stato progettato molti anni fa per essere un libro aperto per gli utenti legittimi e ogni unità installata ha accesso in lettura praticamente a tutto.
È estremamente difficile disattivarlo senza rompere qualcosa. Dovete affrontare la realtà: se un utente malintenzionato entra nella vostra rete e imita un utente legittimo, sarà in grado di vedere cosa sta succedendo. Invece di cercare di limitare la visibilità e impedire la ricognizione, quindi, offuscate la rete attraverso il provisioning just-in-time e le UO rinominate.
6. Considerare l'utilizzo di qualcosa di diverso dai Criteri di gruppo (a volte).
All'interno di Active Directory, gli oggetti Criteri di gruppo (GPO) sono generalmente utilizzati per il rafforzamento della sicurezza. Realisticamente, gli unici a dover leggere le GPO sono i computer del dominio. Gli utenti autenticati non hanno generalmente bisogno di accedervi. Limitando l'accesso degli utenti, è possibile ridurre la visibilità della postura di hardening per gli aggressori.
Un'altra opzione è quella di utilizzare tecnologie non standard al posto delle GPO. Ogni aggressore guarda al criterio di dominio predefinito per determinare come impostare il criterio delle password. Se invece si utilizza un criterio di password a grana fine, l'aggressore non saprà dove guardare.
7. Pulire l'igiene di accesso
Tutti i consigli standard per le password si applicano ad Active Directory. Create password complesse, conservatele in un caveau protetto dall'aria e ruotatele regolarmente. Se il vostro obiettivo è la sicurezza, incorporate anche alcune altre best practice:
- Le password delle preferenze dei Criteri di gruppo non dovrebbero esistere in nessun punto del SYSVOL. Servono solo ad aiutare gli aggressori.
- Trattate qualsiasi account con nomi di presidi di servizio definiti come altamente privilegiati e proteggeteli di conseguenza.
- Passare a raggruppare gli account gestiti dal servizio. Se non è possibile, assicurarsi che gli account di servizio non siano privilegiati.
8. Utilizzare il tiering e il privilegio minimo
Il privilegio minimo è uno dei principi più importanti per quanto riguarda Active Directory. Nessun account deve avere accesso a nulla che non sia assolutamente necessario per la sua funzionalità. A tal fine, è bene tenere presente che i fornitori non sempre sanno di cosa hanno bisogno i loro account.
Oltre a questo, consiglio vivamente di implementare un modello rigido di "livello zero", in cui chiunque sia amministratore di un controller di dominio può accedere ai computer del controller di dominio. È ovvio che ciò richiede la disabilitazione della delega non vincolata e la limitazione della creazione di account. L'ideale sarebbe utilizzare Kerberos solo per la delega in questo modello.
9. Disattivare NTLM
In generale, New Technology Lan Manager (NTLM) è la radice di tutti i mali in Windows e Active Directory. Ad esempio, il DFSCoerce scoperto di recente è un attacco Windows NTLM.
La disabilitazione di NTLM non vi libererà da tutti i problemi problemi, ma ne risolverà molti. Tuttavia, la maggior parte dellee organizzazioni sono riluttanti a disabilitare NTLM, perché hanno paura di ciò che potrebbero rompere. Si può iniziare attivando l'auditing all'interno dei Criteri di gruppo sui controller di dominio, per capire quanta attività NTLM viene svolta nell'ambiente di dominio.
Quanto più si riesce a disabilitare, tanto più ci si avvicina alla protezione di Active Directory.
Praticità nella protezione di Active Directory
Se desiderate approfondire questi suggerimenti, potete seguire la mia presentazione alla HIP Conference, Consigli pratici per la protezione di Active Directorydisponibile su richiesta. Quindi mettete in pratica queste strategie, prima lo fate e meglio è.
