Gli attacchi basati sull’identità sono in aumento. Secondo il Global Threat Report, l‘80% di tutti gli attacchi informatici utilizzano oggi metodi di attacco basati sull’identità per compromettere gli ambienti aziendali. Per i Ciso, la protezione dell’identità è attualmente una delle più grandi sfide della sicurezza. Particolare attenzione dovrebbe essere rivolta all’Active Directory, il tallone di Achille di molti programmi di sicurezza It quando si tratta di protezione dell’identità.
Punto di accesso Active Directory
I sistemi d’identità come Microsoft Active Directory (Ad), usati da moltissime aziende a livello mondiale, sono tra i principali vettori di attacco di molti autori delle minacce. Nel momento in cui gli avversari riescono a sfruttare con successo una vulnerabilità, spesso riescono anche a entrare in possesso delle chiavi di accesso all’ambiente aziendale, che a loro volta danno loro accesso a informazioni, applicazioni e sistemi sensibili e di valore. Allo stesso tempo, la sicurezza dell’Ad vive nell’ombra in molte aziende e ciò ne aumenta l’attrattività per gli avversari.
In uno dei recenti Patch Tuesday è stato spiegato quanto le minacce informatiche possano essere dannose per le aziende: il 40% delle patch Microsoft riguardavano le cosiddette “vulnerabilità di privilege escalation”, tra cui una zero-day che ha spinto Microsoft a distribuire il seguente avviso: “un attaccante che ha sfruttato con successo questa vulnerabilità potrebbe ottenere i privilegi del sistema”.
Gli avversari di oggi si concentrano su tecniche basate sull’identità, poiché gli attacchi informatici di questo tipo sono estremamente difficili da rilevare con metodi convenzionali, in quanto le misure e gli strumenti di sicurezza esistenti spesso non riescono a distinguere comportamenti tipici degli utenti legittimi da quelli degli hacker con privilegi rubati.
Zeki Turedi, field to Europe di Crowdstrike
Pertanto, mentre le tecniche, tattiche e procedure degli avversari continuano ad evolversi, è fondamentale che le misure di sicurezza informatica delle aziende si adattino a questo scenario. Affinché questo accada, gli esperti in sicurezza devono essere pienamente consapevoli degli attuali metodi di attacco dei sistemi d’identità e domandarsi se la propria strategia di sicurezza fornisca una soluzione adeguata. Qui di seguito vengono illustrati tre scenari tipici di attacco dell’Ad e forniti alcuni suggerimenti utili a far fronte a tali minacce.
Da un punto di vista dell’avversario, il processo Lsass su un computer Windows è spesso un nodo interessante per ottenere credenziali valide da utenti legittimi, sfruttarle e successivamente muoversi lateralmente. Per difendersi è importante che la soluzione di sicurezza implementata rilevi e blocchi immediatamente questo metodo di attacco, e impedisca agli avversari di utilizzare credenziali valide per passare a un host non gestito, come un computer portatile. Per ottenere maggiori informazioni su questi autori delle minacce, gli honeytoken rappresentano un livello di sicurezza praticabile e raccomandato per le aziende, che dovrebbero incorporarlo nella loro strategia di sicurezza informatica. Con l’aiuto degli account honeytoken, gli avversari vengono invogliati a sfruttarli. Questo fornisce ai team di sicurezza dati e insight dettagliati del percorso di attacco, utile a garantire la protezione delle risorse e degli account critici.
Inoltre, spesso, gli autori delle minacce cercano di compromettere gli endpoint usando Ttp come l’escalation dei privilegi degli account locali o funzioni di comando e controllo. Quando tali tentativi vengono bloccati da una piattaforma di protezione degli endpoint, gli attaccanti informatici optano per attacchi di force brute che prendono di mira gli account Ad, in genere account di servizio con password condivise, duplicate o impostate di default. Le moderne soluzioni di protezione dell’identità sono in grado di rimediare anche a questo, semplificando il rilevamento delle password riutilizzate nell’Ad dell’azienda e consentendo agli amministratori di identificare istantaneamente questi account senza necessità di intervenire manualmente con analisi dell’Ad o imporre l’uso di password uniche per difendersi da minacce come gli attacchi di credential stuffing.
Un altro modo con cui gli avversari tendono a prendere di mira i dati d’identità riguarda lo sfruttamento di vecchi protocolli. Questo avviene poiché molte aziende non hanno visibilità sulle autenticazioni Smb e Dc per rilevare i comportamenti dannosi e anomali degli utenti che portano ad attacchi brute force e pass-the-hash (PtH). Le moderne soluzioni di sicurezza non dovrebbero limitarsi soltanto a Kerberos, Ntlm e Ldap/S, ma dovrebbero anche consentire la rilevazione e l’autenticazione via Smb. Grazie agli insight sugli eventi di autenticazione falliti e riusciti via Smb-to-Dc e alla caccia attiva alle minacce che coprono CrackMapExec, PtH, Password Bruteforce, Mimikatz e molti altri, i team di sicurezza ottengono ulteriori dati di base utili a rilevare comportamenti sospetti e a rafforzare la sicurezza dell'Ad.
Scegliere una soluzione di protezione dell’identità adeguata è fondamentale per i Ciso e dovrebbe rappresentare una delle più importanti linee di difesa. Tuttavia, ciò non deve necessariamente complicare le cose, né creare un'altra ondata di avvisi e di lavoro aggiuntivo per i team già sotto organico. Una soluzione valida e moderna offre alle aziende un'ampia gamma di vantaggi e funzionalità avanzate, il tutto da un'unica fonte.
Cover photo credit: Image by rawpixel.com on Freepik