Attualità

Active Directory nuovo obiettivo degli hacker, Semperis porta consapevolezza e sicurezza

Poca consapevolezza, difficoltà di individuazione delle vulnerabilità e il fenomeno cloud che monopolizza l’attenzione: così gli attacchi all’Active Directory stanno prendendo piede anche in Italia mietendo vittime nel silenzio. Le potenziali sono tante, visto che il 90% delle organizzazioni utilizza questo software, ma poche hanno compreso che l’Active Directory può essere il loro punto debole, servono quindi soluzioni mirate, assieme a un importante lavoro di sensibilizzazione e formazione, subito, per riuscire a sfruttare il ritardo con cui gli hacker stanno applicando questa strategia anche in Italia dopo due anni di attacchi importanti Oltreoceano.

Pubblicato il 21 Dic 2021

hacker

“Da un paio di anni lo stanno attaccando in USA chiedendo grandi riscatti e ora inizieranno a farlo anche in Italia, siamo fortunati perché essendo spesso in ritardo possiamo avere un metro di paragone e prepararci”. La minaccia in arrivo di cui parla Bruno Filippelli, Sales Director Semperis Italia, sono gli attacchi all’Active Directory (AD), uno dei servizi di rete più utilizzati per la gestione dell’autenticazione e dei domini in cui sono custodite tutte le informazioni aziendali “come in una grande biblioteca”. È un software Microsoft che esiste dal 1996 ma utilizzato ancora dal 90% delle aziende e che solo ultimamente ha iniziato a far gola agli hacker di tutto il mondo.

Secondo il rapporto “The Rise of Active Directory Exploits: Is It Time to Sound the Alarm?” di Enterprise Management Associates il 50% delle organizzazioni ha subito un attacco all’AD negli ultimi 1-2 anni e Forrester Research conferma dal canto suo che l’80% delle violazioni della sicurezza riguarda l’abuso di accesso privilegiato. Questi dati sembrano però non bastare: in Italia c’è ancora una consapevolezza tutta da costruire, lato potenziali vittime ma anche vendor e legislatori, e il tempo stringe perché l’AD è diventato il campo di battaglia sia per il controllo dell’accesso alle risorse di rete che per gli aggressori che vogliono sfruttare le persone e le risorse da esso governate, e non mancano casi di attacchi di questo genere che “fanno titolo” e anche grossi danni.

Perché gli hacker mirano all’Active Directory

A fronte di questa improvvisa attenzione verso una tecnologia ben lontana dall’essere annoverata tra le più innovative, è normale domandarsene le ragioni. Mettendosi nei panni degli attaccanti, Filippelli spiega come sia molto facile oggi da attaccare, prima di tutto perché ormai trascurata e poco mantenuta sia da parte di Microsoft che degli utenti. L’azienda fornitrice ha sempre meno interesse ad aggiornarla avendo ora un modello di business cloud-oriented, mentre le organizzazioni che utilizzano l’Active Directory da tempo “hanno creato una complessa stratificazione di configurazioni spesso ricca di errori o disattenzioni che faticano a rintracciare e correggere lasciando così delle grosse faglie di sicurezza e delle vulnerabilità che favoriscono azioni malevole”. Gli hacker si trovano così di fronte ad una superficie di attacco non solo ampia ma anche ricca di opportunità perché “una volta entrati e diventati admin del dominio, hanno le chiavi della società e possono fare qualsiasi cosa”.

Nell’ultimo anno, secondo Semperis, sono stati numerosi gli attacchi ransomware in cui i criminali informatici apportavano modifiche ad AD non solo agendo su account e password ma spostandosi lateralmente ed esplorando questa superficie poco protetta alla ricerca di modalità per effettuare l’escalation dei privilegi e diffondere rapidamente il malware all’intera organizzazione, ad esempio attraverso modifiche di account di gruppo, di oggetti Criteri di gruppo, di volumi SYSVOL e di controller di dominio.

Da ospedali e strutture sanitarie per le preziose e sempre valide informazioni personali alla GDO per il loro ritorno velocissimo: secondo Filippelli non ci sono settori che possono sperare di scamparla. Nel retail un attacco all’AD può impattare su negozi, sistemi di online shopping, magazzini e logistica, mail aziendale e back office operation, nel trasporto aereo può danneggiare sia i conti che la reputazione causando ritardi, cancellazioni e malcontento generale.

Non serve molta fantasia per immaginare cosa si rischia, basta cercare tra i recenti casi di cronaca, anche nell’attacco sferrato questa estate al portale di registrazione delle vaccinazioni Covid-19 della Regione Lazio. Tra le ipotesi più accreditate c’è infatti quella che lo attribuisce ad un ransomeware as a service con cui i criminali sono entrati nella rete e, giunti nel controller di dominio che attraverso l’AD gestisce le richieste di autenticazione per la sicurezza, hanno creato nuovi gruppi di utenti distribuiti ad ogni dispositivo in rete, in automatico, cambiando i privilegi di accesso.

“Senza usare l’AD come testa di ariete ma raggiungendolo dopo aver violato il perimetro aziendale facendo leva su un account di posta e poi scalando i privilegi, alcuni hacker hanno rovinato il Black Friday di Mediaworld bloccando il sistema informatico e creando disagi diffusi su tutta la rete della catena, con terminali fuori uso, difficoltà nel collegare i registratori di cassa in rete e problemi al portale di e-commerce” racconta Filippelli aggiungendo anche il caso Coop, una delle vittime dell’attacco a Kaseya, a cui in Svezia i criminali sono riusciti a disabilitare le casse di 800 supermercati passando per l’AD.

Consapevolezza, formazione e monitoraggio per combattere la nuova minaccia

Nonostante sia chiaro che gli attacchi all’AD siano già sbarcati in Europa e in Italia, poche sono le realtà che hanno preso atto del nuovo pericolo. Se nel mondo solo il 50% delle organizzazioni ammette di averne subito uno durante gli ultimi due anni secondo il rapporto di Enterprise Management Associates, nel nostro Paese la percentuale è di gran lunga minore sia per la mancanza di consapevolezza e di competenze, sia per l’oggettiva difficoltà di classificare alcuni attacchi subiti e in cui le “prove” sono andate distrutte.

“La minaccia cyber contro l’AD è una cosa nuova: è un software che da sempre ha funzionato e non è mai stato tra i principali obiettivi degli attaccanti. E’ un tema su cui serve sensibilizzare e formare ma spesso la cultura sulla sicurezza informatica viene autogestita all’interno aziende e manca la combinazione tra competenze di cybersecurity e AD per poter affrontare questo pericolo in maniera adeguata” spiega Filippelli invocando però anche un maggiore impegno da parte dei legislatori. Ciò che suggerisce è di copiare la Francia che con il suo ANSSI “ha sviluppato un chiaro e pratico framework di sicurezza nazionale chiedendo alle aziende di aderire, una roadmap da seguire passo dopo passo, mentre in Italia ci siamo limitati ad importare un documento USA lasciando alle aziende il compito di trovarlo tra i tanti e la libertà di decidere di aderirvi”.

Affianco alla quasi totale mancanza di cultura sui pericoli di sicurezza informatica legati all’AD va considerata anche una oggettiva difficoltà nell’attribuire con facilità un attacco alla violazione di questo software. “Se un attaccante ruba o se si perdono utente e password, senza che il SIEM lo rilevi, si riesce ad entrare nell’AD e a disabilitarlo spegnendone i log – spiega Filippelli – a quel punto non è possibile capire da dove è partito l’attacco e, quando si ripristina la situazione, se si ha davvero risolto del tutto il problema”.

A peggiorare il quadro di pericolosità è giunto il fenomeno cloud monopolizzando l’attenzione del mercato e innescando alcune dinamiche che Filippelli mette in luce. La prima riguarda la shared responsibility “perché molte aziende si convincono che mettendo tutto in cloud ogni problema di sicurezza sia risolto o demandato al provider mentre impossessandosi di utente e password, anche sfruttando tecniche di social engineering, un hacker può arrivare a diventare admin del sistema e creare grossi danni”. C’è poi il tema della migrazione dell’AD al cloud: Microsoft per prima la promuove spingendo le aziende verso Azure Active Directory ma la maggior parte di esse ci impiegherà almeno 3 o 4 anni per compierla dovendo andare a mettere mano ad un AD stratificato in anni e anni di attività.

Assessment gratuito, monitoraggio continuo e recovery sicuro: la strategia di Semperis

È in questo gap di copertura dell’Active Directory che cercano occasioni di guadagno gli hacker ed è su questo gap che Semperis ha scelto di concentrare le sue forze per supportare le aziende costrette a gestire una situazione di vulnerabilità nel modo più consapevole possibile. “Senza trascurare contesti cloud e ibridi, il nostro attuale focus è sull’on premises in cui la superficie di attacco si sta allargando sempre più” precisa Filippelli presentando l’approccio fortemente pratico proposto dall’azienda.

Il primo step è di awareness: con il tool gratuito ed intuitivo Purple Knight si può effettuare un assessment per identificare lacune di sicurezza AD analizzando la propria postura. Questo strumento simula la vista di un utente esterno senza alcun tipo di privilegio per vedere quanto è larga la superficie di attacco del cliente e capire se può diventare un problema in futuro.

Chi poi sceglie di proteggersi proattivamente trova in Semperis un alleato nel pre, nel post e nel durante un eventuale attacco all’AD: “Quando analizziamo la situazione identifichiamo anche eventuali posture scorrette che in futuro potrebbero aprire il fianco ad un potenziale attacco – spiega Filippelli – ma il nostro punto di forza è nella fase di post. Siamo una delle poche aziende in grado di recuperare l’AD senza reintrodurre configurazioni compromesse grazie a tecniche di ripristino particolari che introducono i dati essenziali per il funzionamento dell’azienda escludendo al 100% elementi malevoli o ransomware, e persone identificate come rischiose dal nostro software”.

L’azienda deve fare comunque la sua per minimizzare il pericolo, ma può contare sulla complicità di Semperis, sul suo blog e sul suo report annuale brendless per seguire nuovi trend di sicurezza globali che prima o poi arriveranno anche in Italia. Quello degli attacchi AD lo ha già fatto e, secondo Filippelli, “c’è ancora poco tempo per sfruttare il nostro storico ritardo e proteggerci”.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati