Secondo un sondaggio tra i leader del settore IT e sicurezza, le aziende continuano a non colmare le lacune di sicurezza di Active Directory (AD). Non così gli utenti di Purple Knight, tool di valutazione delle vulnerabilità ideato dagli esperti di Semperis. Infatti gli utenti di Purple Knight hanno riportato un punteggio medio di 72 su 100 nei report iniziali (livello C, un grado piuttosto basso) in riferimento a un sondaggio condotto nel 2023 su oltre 150 organizzazioni.
Uno studio sulla sicurezza AD in arrivo da Semperis
Quest’anno il punteggio medio complessivo è migliorato rispetto al 61% del 2022. Tuttavia i risultati indicano che le organizzazioni faticano ancora a identificare e affrontare le vulnerabilità di sicurezza. Vulnerabilità che lasciano i loro ambienti di identità esposti ai cyberattacchi.
Si notano miglioramenti
Questi risultati confermano quelli di Microsoft. Secondo il Digital Defense Report 2022, l’88% dei clienti Microsoft colpiti da attacchi informatici aveva una “configurazione AD non sicura”. È incoraggiante notare che gli utenti hanno compiuto dei miglioramenti con una media del 40% e fino al 64% dopo aver utilizzato la guida per una corretta configurazione.
Vulnerabilità sulla sicurezza di AD
Al momento del lancio e rilasciata originariamente con il sistema operativo Windows 2000, Microsoft Active Directory (AD) era una tecnologia rivoluzionaria. Tecnologia che ancora oggi continua a supportare gran parte del mondo del lavoro iperconnesso dell’era moderna. Microsoft AD ha prevalso su tutte le altre directory per un motivo fondamentale: era open. È grazie a questa apertura e alla facilità di integrazione che AD rimane ancora oggi per il 90% delle aziende un elemento fondamentale dell’infrastruttura. Tuttavia, quello che 22 anni fa era il suo più grande punto di forza oggi è diventato il suo punto debole più preoccupante.
La minaccia
Un hacker può utilizzare qualsiasi account di AD non privilegiato per leggere quasi tutti gli attributi e gli oggetti in AD, comprese le loro autorizzazioni. Ciò gli consente di trovare account di computer in qualsiasi dominio di una foresta AD configurati con delega non vincolata. Questo spiega perché l’apertura predefinita di AD sia diventata una vulnerabilità. Oggi, a causa della scomparsa del perimetro di rete, l’identità è diventata l’ultima linea di difesa dai cyberattacchi.
Uno studio sulla sicurezza AD
I ricercatori di Mandiant hanno riscontrato che il 90% degli incidenti presi in esame coinvolge l’AD in una forma o nell’altra. Numerosi gli avvertimenti degli analisti, come alta la quantità degli attacchi AD in corso e le urgenti richieste di provvedimento da parte dei propri team IT. Nonostante ciò molti leader organizzativi non danno priorità alla sicurezza e al ripristino specifici per l’AD, lasciandoli così vulnerabili al proliferare degli attacchi.
Purple Knight
Semperis è un pioniere nella gestione e nella protezione delle credenziali di identità degli ambienti ibridi aziendali ed è stato creato appositamente per proteggere l’AD. Oltre a utilizzare i risultati di Purple Knight per la remediation, le organizzazioni utilizzano questo tool per scoprire vulnerabilità sconosciute. O comunicare il livello di sicurezza al management e agli altri team, compensare la mancanza di competenze interne in materia di AD. O ancora per prepararsi ad altre valutazioni, tra cui i pen-test, e ottenere maggiori risorse per migliorare la sicurezza dell’AD.
Sintesi dei risultati dell’indagine 2023
Le organizzazioni hanno ottenuto un punteggio medio di 72 nelle loro valutazioni iniziali della sicurezza AD. Meglio rispetto al punteggio medio di 61 dello scorso anno, ma comunque un livello basso identificabile con una C.
Le organizzazioni hanno riportato un punteggio medio di 61 nella categoria della sicurezza degli account. Punteggio più basso tra le sette categorie AD valutate da Purple Knight. Il 55% delle organizzazioni ha riportato oltre 5 vulnerabilità nella categoria Azure AD
Il 13% delle organizzazioni ha inoltre riportato 5 e più indicatori di sicurezza nella nuova categoria Azure AD. La categoria si concentra su vulnerabilità come gli account guest inattivi e i criteri di accesso condizionato non configurati correttamente.
Quali i settori con i risultati peggiori secondo lo studio sulla sicurezza AD
Le organizzazioni di grandi dimensioni (oltre 10.000 dipendenti) hanno ottenuto i risultati peggiori, con un punteggio medio di 63 su 100.
Il settore assicurativo è quello che ha ottenuto il punteggio medio più basso, con 66 su 100. Gli utenti hanno segnalato un miglioramento medio del 40%.
Gli utenti hanno riportato un miglioramento medio del 40% e addirittura del 64% sui punteggi delle valutazioni successive. E questo dopo aver applicato le indicazioni per la correzione incluse nelle loro valutazioni.
Le sfide sono tante
Le principali sfide per la risoluzione delle vulnerabilità AD includono:
Mancanza di visibilità sulle vulnerabilità dell’AD.
Mancanza di tempo e risorse per affrontare la proliferazione delle vulnerabilità.
Mancanza di attenzione ai problemi di sicurezza dell’AD da parte dei leader aziendali e di altri team.
Complicazioni dovute a infrastrutture AD ereditate o preesistenti.
Mancata identificazione delle vulnerabilità di sicurezza da parte di audit di terze parti.
Vulnerabilità comuni scoperte da Purple Knight
Principi di sicurezza non predefiniti con diritti DCSync sul dominio.
Utenti privilegiati con password deboli.
Abilitazione all’accesso anonimo ad Active Directory.
Account con diritti di amministrazione non protetti.
Account utente con vecchie password.
Account amministratore con vecchie password.
Utenti privilegiati di Azure AD che sono anche privilegiati in AD.
Conoscenza e competenze
Mickey Bresman, Ceo di Semperis
Abbiamo constatato che molte aziende non hanno una buona comprensione delle vulnerabilità di Active Directory che gli attaccanti sono in grado di utilizzare contro di loro. Volevamo offrire ai team di sicurezza, che non dispongono di competenze approfondite in materia di AD, un sistema per comprendere il loro livello di sicurezza AD. Quindi colmare le lacune esistenti in modo che non possano essere utilizzate contro di loro.
