Dopo un periodo di 10 anni nelle tecnologie di virtualizzazione, sono entrato in Semperis e mi sono tuffato nel mondo di Active Directory. Negli ultimi tre anni, che hanno incluso alcuni degli attacchi malware più feroci mai documentati, credo di essermi finalmente avvicinato a questa parte del mondo IAM.
Ecco un paio di conclusioni a cui sono giunto. In primo luogo, gli attacchi alla sicurezza non sono una questione di se, ma piuttosto di quando. Se volete contestare questa affermazione, controllate il vostro newsfeed. La seconda conclusione è che in quasi tutti gli attacchi Active Directory viene manipolato, crittografato o distrutto. Non importa se si tratta di una piccola contea, di un ospedale di medie dimensioni o di una grande azienda: una volta che l'attaccante è entrato, è qui che vuole andare. Considerando il tesoro di "possedere" la spina dorsale della sicurezza dell'organizzazione, come potrebbe un malintenzionato resistere.
Lettura correlata
Prima ho detto di essere al passo con i tempi, ma devo ammettere che potrebbe non essere del tutto vero. Il più grande mistero irrisolto per me è: cosa succede a un'azienda quando la sua Active Directory viene compromessa? Vorrei chiarire cosa intendo per "compromesso". Intendo dire che qualcuno ha ottenuto i diritti di amministratore del dominio. Può vedere tutto nella foresta, può andare ovunque, può nascondersi ovunque, può diventare chiunque e fare praticamente qualsiasi cosa.
A seguito di decine di conversazioni con molti esperti, c'è stata una sola risposta conclusiva: "Vai col nucleare!". - cioè cancellare l'intera Active Directory e ricostruirla da zero. Questo è il momento delle discussioni in cui tutti scherzano sul fatto che si tratta di un "evento che cambia il curriculum".
Sarò il primo a dirvi che non posso parlare della quantità di lavoro necessaria per ricostruire la vostra AD, ma la parola "proibitivo" è stata usata spesso quando ho chiesto informazioni. So che, senza la tecnologia di Semperis, il ripristino manuale di una foresta di Active Directory da un backup richiede da alcuni giorni a qualche settimana, a seconda della complessità, della larghezza di banda, ecc. Quindi, cosa significa ricostruire: mesi? Anni? Un'organizzazione può sopravvivere a tutto questo?
Una possibile risposta è che è raro che un attaccante riesca a dominare il dominio e che la maggior parte delle violazioni avviene in una porzione molto più bassa dello stack di sicurezza. (Non me la bevo. Dopo la Hybrid Identity Protection Conference di quest'anno, la HIP Conference dell'anno scorso e tutte le altre conferenze su questo tema a cui ho partecipato, è semplicemente troppo facile.
Secondo me, se hanno ottenuto i dati finanziari della vostra azienda, l'elenco dei clienti o qualsiasi altra cosa di valore, allora potrebbero avere anche i "gioielli della corona". Potete convivere con questa possibilità?
Quindi, ricapitoliamo e dipingiamo un quadro purtroppo comune. Siete un'azienda manifatturiera con 20.000 dipendenti. La vostra Active Directory controlla i robot nelle vostre fabbriche, tutto l'IT, i telefoni VoIP e i badge identificativi. A vostra insaputa, qualcuno è penetrato nella vostra rete e si è mosso lateralmente (e lentamente) per otto mesi. Ora hanno il permesso di fare qualsiasi cosa e hanno mappato tutto: premono il pulsante e tutto viene crittografato.
Che cosa fai?
Concludo qui la prima parte? Mi piacerebbe avere i vostri commenti/feedback. Sia qui che via PM.
Per i tecnici là fuori, aggiungerò un tocco e vi dirò di supporre che ci sia un rootkit incorporato nei controller di dominio. Quindi, il BMR o il ripristino dello stato del sistema non sono utili perché reintrodurrebbero l'aggressore?
