Per un’organizzazione, qual è il punto più vulnerabile a un attacco di sicurezza? Coely Burke, Chief Revenue Officer di Semperis, non ha dubbi: “È l’Active Directory. È lì che il 90% delle organizzazioni a livello globale archivia le identità ed è sempre lì che si indirizza il 90% degli attacchi ransomware per sfruttare una qualche forma di abuso di credenziali registrate”. Proprio per questo motivo l’azienda ha deciso di focalizzare la sua attività nella protezione dell’Active Directory e di Azure Active Directory.
Gartner “certifica” la pericolosità dell’Active Directory
Il problema degli attacchi all’Active Directory ha assunto un’importanza tale che Gartner ha creato una nuova categoria tra quelle della sua tassonomia inerente alla sicurezza IT, l’Identity Threat Detection and Response (ITDR), che riguarda in modo specifico la sicurezza e la difesa dell’infrastruttura di identità. “In questo modo, Gartner ha riconosciuto che la sicurezza e la difesa di Active Directory sono altamente critiche per la capacità di un’organizzazione di sventare gli attacchi informatici – ha sottolineato Burke –. Oggi non c’è più un perimetro definito all’edge. Non c’è più un dentro e un fuori. Crediamo che una strategia di difesa stratificata sia sempre molto importante. E si sono numerosi fornitori e strumenti che permettono di implementarla, ma riteniamo che il perimetro finale sia l’identità. Perciò per avere un reale zero trust è necessario considerare anche l’integrità della propria identità e del proprio sistema di identità”.
Visibilità prima, durante e dopo l’attacco
In pratica, secondo Burke la sicurezza degli endpoint di rete non è più sufficiente. Non ci si può più limitare a tenere sotto controllo il possibile percorso dell’attaccante e a proteggere i dati in modo tradizionale. I consueti metodi di recupero sono messi a dura prova quando un ambiente Active Directory viene completamente crittografato.
“Pensiamo per esempio a un’organizzazione che ha l’accesso a un edificio fisico tramite badge – ha evidenziato Burke –, il cui riconoscimento è collegato all’Active Directory. Ci sono esempi concreti di Active Directory criptati che hanno reso impossibile l’ingresso in interi edifici. Per noi è importante proteggere e garantire l’integrità dell’identità, fornendo livelli appropriati di autenticazione e approvazione. Questo è l’ambito dove agisce Semperis”.
“Possiamo fornire la visibilità di ciò che avviene all’interno di Active Directory prima dell’attacco, durante l’attacco e dopo l’attacco – ha aggiunto Burke –. Possiamo stabilire se qualcuno all’interno di AD sta facendo qualcosa che non dovrebbe, se sta usando delle credenziali che non dovrebbe avere. Questo è il primo approccio per fornire la visibilità necessaria se c’è un movimento laterale oppure orizzontale all’interno di AD”.
I sistemi legacy forniscono visibilità, ma non consentono di porre rimedio. Semperis può vedere il flusso di repliche di Active Directory, individuare ogni eventuale modifica e tracciarla consentendo all’analista del Security Operations Center di esaminarla e di ripristinarla in autonomia. Nel caso in cui un’organizzazione sia stata violata, se l’AD è stato parzialmente o completamente crittografato oppure cancellato, Semperis può adottare una strategia per il ripristino rapido dell’Active Directory, grazie a un approccio brevettato e automatizzato. Inoltre, effettua la scansione forense necessaria per garantire che il malware non sia stato reinserito all’interno dell’organizzazione.
Un servizio SaaS ma anche tool gratuiti
Quello offerto da Semperis è un servizio SaaS proposto tramite partner, principalmente system integrator globali e locali. Tuttavia, per aiutare i clienti, attuali e potenziali, ad avere la visibilità necessaria per affrontare gli attacchi informatici contro Active Directory, ha reso disponibile uno strumento gratuito chiamato Purple Knight. Fornisce una valutazione in tempo reale della postura di sicurezza di Active Directory e Azure AD. Attraverso un report semplice e facilmente leggibile, elenca le vulnerabilità che esistono all’interno di Active Directory e Azure AD.
A Purple Knight, Semperis ha di recente affiancato un nuovo tool, Forest Druid. Anch’esso gratuito, ha un approccio molto diverso: si concentra sul percorso di attacco, creando una visione del tipo inside-out. In pratica, fornisce a un’organizzazione la capacità di esaminare le risorse Tier 0 che si trovano all’interno di Active Directory. Una volta identificate tali risorse, è possibile definire dei perimetri attorno, in modo da individuare dall’interno i possibili percorsi di attacco, classificandoli in base alla loro gravità. Questo consente di monitorare gli asset critici e chi tenta di accedervi.
“Active Directory non è stata costruita per resistere a un attacco informatico – ha concluso Burke –, ha alcune debolezze sistemiche e non ha nessuna sicurezza incorporata. Per questo è diventata un vettore di attacco primario per i cybercriminali. Noi proteggiamo le identità, attraverso una soluzione completa che copre l’intera kill chain degli attacchi all’Active Directory”.