La protezione di identità e accessi come priorità per CIO e CISO. Semperis sottolinea l’importanza di applicare la logica Zero Trust agli accessi Active Directory
Un recente report di Mandiant afferma che il 90% degli attacchi rilevati dai suoi sistemi di sicurezza punta agli accessi via Active Directory. Il motivo? Scalare i privilegi per porsi come amministratori di una macchina è ancora il modo migliore per rubare dati di valore e dar seguito a campagne più o meno globali. A distanza di oltre 30 anni, Active Directory rimane di gran lunga il metodo principale di assegnazione di tutte le risorse di rete. «Accessi non più attivi, profili non più in uso, archivi scaduti, sono solo alcune delle caratteristiche che aumentano la complessità di gestione» – spiega Bruno Filippelli, sales manager Italia di Semperis. «Questa complessità richiede di monitorare quello che accade nei sistemi di autenticazione dei clienti, con una visione che deve guardare all’ecosistema, non all’unicità delle soluzioni». Il riferimento è alla corsa esasperata all’adozione di programmi di security che proteggono solo alcune sezioni del proprio perimetro. Le buone prassi di sicurezza, l’interposizione di soluzioni AIM, l’autenticazione a più fattori, la biometria rientrano nella strategia di sicurezza al pari della prevenzione perché se lasciamo la porta sul retro aperta, il criminale informatico entra comunque in casa. Quello che serve è consolidare la logica del framework Zero Trust, applicandola anche a layer non direttamente visibili all’utente, da integrare in quelli tradizionali». Un esempio sono le domande di sicurezza a cui un lavoratore deve rispondere in fase di login, per entrare tramite Active Directory nel suo account con i file di lavoro, documenti condivisi e così via. Se un malintenzionato riesce a valicare tali controlli, è probabile che dopo riesca ad agire per compiere le sue attività».
IL RUOLO CHIAVE DELLE SOLUZIONI ITDR
Le soluzioni di ITDR (Identity threat detection and response) sono ideate appositamente per proteggere i sistemi di gestione delle identità. Secondo Filippelli, i framework di sicurezza basati sul concetto di Zero Trust dovrebbero sempre considerare la protezione olistica del sistema, tramite un assessment continuo della postura di sicurezza dell’Active Directory stessa. «Se la possibilità di reagire alle minacce è importante, sono necessarie una serie di capacità che includono le valutazioni del livello di sicurezza, il monitoraggio in tempo reale, la correzione automatica, un backup e un ripristino rapido. Quando valutano un’offerta ITDR, le aziende dovrebbero scegliere quelle che forniscono una difesa stratificata e completa, in grado di assicurare una protezione ottimale dei loro ambienti ibridi». Semperis, a differenza di altri fornitori di cybersecurity, non gestisce la difesa “totale” del sistema, ma copre un aspetto fondamentale: colma il gap tra ciò che accade dalla violazione di un accesso ad Active Directory e il “dopo”. E lo fa, anche costruendo un repository con tutte le attività che seguono la violazione, offrendo l’opportunità di navigare questo archivio per mettere in atto remediation automatizzate e informate. «Il punto cruciale – afferma Filippelli – è che gli scenari cambiano, ed è quindi essenziale seguire i trend evolutivi che legano possibili vittime e attaccanti».
L’EVOLUZIONE DEI PATTERN DI ATTACCO
Se ci sono molti modi per rafforzare le difese, le organizzazioni devono adesso dare priorità alla sicurezza incentrata sull’identità. Un buon punto di partenza è valutare e ridurre la superficie di attacco di Active Directory. Semperis Purple Knight è lo strumento gratuito di valutazione della sicurezza che aiuta a individuare lacune e vulnerabilità spesso esistenti da anni. Forest Druid permette di rilevare i percorsi di attacco e tutti gli asset tier 0 vulnerabili. Anche gli ambienti ibridi sono presi di mira, soprattutto a seguito del boom del lavoro da remoto. La preoccupazione delle imprese è quindi proteggere i vari canali che i dipendenti usano quando lavorano fuori dall’ufficio sia on-prem che in cloud. «Quando si parla di minacce che puntano ad Active Directory, che si tratti di prevenire, rilevare, risolvere o ripristinare – conclude Filippelli – le sfide riguardano l’intero ciclo di vita di un attacco, indipendentemente dalla sua origine e dalla sua direzione».