Di Sean Deuby, Director of Services di Semperis
L’Active Directory (AD) è spesso il primo punto di arrivo nei cyberattacchi. Il team di esperti Mandiant stima che circa il 90% degli attacchi coinvolge in qualche modo l’AD, sia che si tratti di vettore di attacco iniziale o che sia mirato a ottenere privilegi o persistenza. Poiché questo è il metodo principale per l’autenticazione e l’autorizzazione che riguarda il 90% delle imprese del mondo, l’AD contiene una miriade di preziosi dati aziendali tra cui i dati dei dipendenti. Prendere di mira l’AD fornisce agli aggressori la ricchezza di informazioni necessaria per accedere ai dati sensibili, distribuire ransomware e tutta una serie di altre attività nefaste.
Nonostante l’altissima percentuale di attacchi, l’AD funziona ancora brillantemente per le aziende di tutto il mondo (che comprende la maggior parte inserite nel Fortune 1000) che utilizzano la tecnologia per gestire i permessi e l’accesso alla rete. E, con il crescente numero di utenti che lavora da casa su più dispositivi e app basate sul cloud, l’AD è diventato fondamentale per le architetture di identità ibride esistenti a livello aziendale, rendendo l’AD un asset ancora più importante.
Poiché quasi tutti gli attacchi coinvolgono l’Active Directory, una migliore sicurezza AD è essenziale per tutte le aziende. Fortunatamente, esistono alcune best practice con cui le organizzazioni possono combattere i possibili attacchi.
In questo articolo si vuole dare una panoramica delle azioni principali che ogni organizzazione può intraprendere per proteggere l’AD dagli attacchi.
Ecco 11 consigli
- Implementare buoni processi di identità. Dalle piccole organizzazioni alle grandi multinazionali, il provisioning degli utenti, il processo di creazione di account utente e di aggiunta a gruppi, è semplice. Tuttavia, quando si tratta di rimuovere gli utenti inattivi che non sono più necessari, il discorso cambia. Più del 10% degli account utente in AD sono stati rilevati come inattivi, rappresentando così un rischio significativo per la sicurezza, in quanto le minacce esterne potrebbero utilizzare questi account per infiltrarsi in un’organizzazione. Con utility come PowerShell, le aziende possono facilmente identificare e rimuovere utenti e computer inattivi. Rivedere con cadenza regolare l’accesso sensibile, o i gruppi privilegiati, aiuterà anche a gestire l’accesso amministrativo. Con l’escalation di Kerberoasting, aggiornare regolarmente gli account di servizio con password solide e casuali ridurrà anche la minaccia di attori che violano gli ambienti AD.
- Configurare i trust di forest sicuri. Un trust di forest collega due domini AD distinti (o forest) per consentire agli utenti di un certo dominio di autenticarsi con risorse nell’altro, fornendo un’esperienza di autenticazione e autorizzazione senza interruzioni. All’interno di un forest AD, le relazioni di fiducia tra i domini sono normalmente bidirezionali e transitive per impostazione predefinita. Assicurarsi che il filtraggio SID sia attivo in tutti i trust tra i forest AD, impedisce che i gruppi privilegiati possano venire impersonati. L’abilitazione dell’autenticazione selettiva fornisce un livello di sicurezza differente permettendo solo agli utenti all’interno di un certo dipartimento o gruppo di utilizzare le risorse attraverso il trust.
- Eseguire il backup di ogni domain controller per ogni dominio, specialmente per quello principale. Sebbene le organizzazioni eseguano il backup di tutti i domain controller e dei loro domini, spesso dimenticano di fare il backup del dominio root, non essendo così più in grado di recuperare i loro forest. Inoltre, eseguire il backup di due o più domain controller per ogni dominio, garantirà più di una possibilità che un’organizzazione possa utilizzare per ripristinare l’intero dominio nel caso in cui un domain controller non sia disponibile. Quando si eseguono i backup, è importante utilizzare metodi di backup supportati e che assicurino che non contengano malware. Infine, non va mai dimenticato di conservare copie offline dei backup.
- Testare regolarmente i backup. I backup non servono a nulla se un’organizzazione non riesce (o non sa come) recuperarli. Secondo un recente studio di Semperis, oltre il 50% delle organizzazioni non ha un piano di disaster recovery AD o nel caso ne abbia uno non ha lo ha mai testato. Senza una valutazione regolare, i processi di recovery potrebbero contenere informazioni non aggiornate sulla topologia AD, il che può ostacolare i tempi di recupero nel caso di un attacco.
- Resettare le password degli account KRBTGT. Ogni forest AD ha un account KRBTGT associato per criptare e firmare tutti i ticket Kerberos emessi nel dominio. Quando un utente si autentica in un dominio, gli viene fornito un Ticket Granting Ticket (TGT) che gli garantisce la possibilità di richiedere un service ticket dal Kerberos Key Distribution Center per accedere a un servizio (per esempio, un file server). Il TGT agisce come una prova di identità quando un utente si registra e fornisce dettagli sulla propria identità e in quali gruppi è presente, permettendogli di ottenere l’accesso ad altri servizi sulla rete. Sebbene i TGT sono validi solo per un certo periodo di tempo, nel caso che un aggressore ottenga il controllo dell’account KRBTGT, può creare TGT fraudolenti per accedere a qualsiasi risorsa egli desideri. Un modo per prevenire questo tipo di attacchi Golden Ticket è quello di reimpostare la password dell’account KRBTGT in ogni dominio con la frequenza di 6-12 mesi. Il Microsoft MVP Jorge de Almeida Pinto ha costruito uno script di reset della password KRBTGT disponibile su GitHub che viene continuamente aggiornato, permettendo alle organizzazioni di resettare la password e le relative chiavi dell’account KRBTGT, riducendo al minimo la probabilità che l’operazione provochi problemi di autenticazione Kerberos.
- Impedire il movimento laterale. Una delle caratteristiche dei cyberattacchi di oggi è il movimento trasversale. Dopo aver ottenuto l’accesso iniziale nel dominio di un’organizzazione, un attaccante si muove trasversalmente attraverso la rete alla ricerca di dati sensibili e altre risorse di alto valore. L’implementazione della Local Administrator Password Solution (LAPS) di Microsoft, scoraggia il salto da una workstation all’altra con la stessa password di amministratore, generando password uniche e randomizzate per ogni account di amministratore locale proteggendole in modo che solo gli utenti idonei possano leggerle o richiederne la reimpostazione.
- Ridurre al minimo l’appartenenza a gruppi privilegiati. I gruppi privilegiati sono quelli a cui sono concesse facoltà più ampie, privilegi e permessi che permettono loro di eseguire quasi tutte le azioni nell’AD di un’organizzazione. All’interno di qualsiasi organizzazione, dovrebbe esistere solo una manciata di amministratori di dominio che siano responsabili dell’esecuzione del servizio di AD. Implementando il principio del minimo privilegio, i diritti di accesso degli utenti sono limitati solo a quelli strettamente necessari per eseguire le loro funzioni lavorative. Poiché la maggior parte degli attacchi avanzati si basano sullo sfruttamento delle credenziali privilegiate, fornire agli utenti i livelli minimi di accesso possibili, diminuisce drasticamente la superficie di cyberattacco.
- Proteggere l’accesso ai privilegi. Una volta che il security team ha scremato il numero di account amministrativi, una best practice è quella di utilizzare account amministrativi che abbiano nomi separati. Questo assicura che tutto ciò che appare nel registro di controllo sia inviato ad un particolare utente invece di un account che potrebbe includere più utenti. L’implementazione di un modello amministrativo su più livelli è un altro modo per prevenire l’escalation dei privilegi, limitando ciò che gli amministratori possono controllare e dove possono accedere. Ciò è necessario per prevenire, ad esempio, l’utilizzo di un account di amministratore di dominio di livello 0 per accedere alla workstation di un utente di livello 0, come è successo durante il catastrofico attacco informatico a Maersk.
- Limitare i privilegi di amministrazione dell’hypervisor. Con l’aumento della popolarità delle applicazioni cloud, è importante capire l’infrastruttura sottostante che supporta un ambiente AD. Si può dire che la maggior parte delle organizzazioni operano nel cloud e, quindi, eseguono il loro AD su almeno alcuni controller di dominio virtuali. Gli amministratori dell’hypervisor hanno la possibilità di chiudere, cancellare, alterare o interferire con quei controller di dominio, il che significa che le organizzazioni devono prestare attenzione a chi ha i diritti di amministrazione.
- Rinforzare i domain controller. Le impostazioni predefinite dei domain controller non sono protette, il che significa che ci sono diversi percorsi di escalation dei privilegi per l’amministratore di dominio. Con queste impostazioni predefinite, i domain controller possono eseguire altri servizi che danno loro il controllo dell’AD. Per esempio, il servizio Print Spooler sui domain controller permette a qualsiasi utente autenticato di connettersi in remoto al servizio spooler di stampa di un domain controller e richiedere un aggiornamento sui nuovi lavori di stampa. Gli utenti possono anche chiedere al domain controller l’invio della notifica al sistema con una delega non vincolata, che rende esposte le credenziali dell’account del computer del domain controller. Disabilitando il servizio Print Spooler su tutti i domain controller e rimuovendo i ruoli server e gli agent non necessari, si limita la possibilità di essere esposti.
- Monitorare l’attività insolita. Poiché le minacce state-sponsored continuano ad aumentare, il monitoraggio continuo dell’AD per attività sospette è una componente chiave per prevenire, rilevare e bloccare le attività dannose. L’implementazione di una soluzione di gestione delle informazioni e degli eventi di sicurezza (SIEM) attraverso l’analisi del comportamento degli utenti e delle entità, permette alle organizzazioni di aggregare e analizzare l’attività in tutta la loro infrastruttura IT, compresi eventuali cambiamenti di appartenenza degli account e ai gruppi privilegiati.
Mantenere l’AD sicuro e ben mantenuto è fondamentale per bloccare la messa in atto di tutte le tattiche che hanno dato luogo ad alcuni dei più devastanti cyberattacchi nella storia recente. Eppure, la gestione e la sicurezza di AD è qualcosa con cui molte organizzazioni continuano a scontrarsi. Le best practice menzionate in questo articolo, possono aiutare le organizzazioni a eliminare alcune delle più comuni vulnerabilità dell’AD, ostacolare i tentativi degli attaccanti volti ad aumentare i privilegi, e permettere alle organizzazioni un recovery rapido, completo e pulito nell’eventualità di un attacco.