Cybersecurity: sempre più aziende aumentano gli investimenti nella sicurezza

Michele Crockett, Senior Director of Product Marketing, Semperis - realtà che consente ai team di sicurezza incaricati di proteggere gli ambienti ibridi e multi-cloud e di assicurare l'integrità e la disponibilità dei servizi critici per le directory aziendali in ogni fase della catena di annientamento delle minacce - svolge un'interessante riflessione su un fenomeno che interessa l’Active Directory (AD), negli ultimi tempi sempre più sotto i riflettori.

Un nuovo report di Enterprise Management Associates (EMA) - "The Rise of Active Directory Exploits: Is It Time to Sound the Alarm?"- prende in esame l'impatto che tutti i punti deboli della sicurezza AD hanno sulle organizzazioni e di come stanno reagendo. Uno dei risultati più eclatanti mostra il livello di preoccupazione per questa tipologia di minacce alla sicurezza AD, ovvero che l'86% delle organizzazioni intervistate ha dichiarato di avere intenzione di aumentare il proprio investimento nella protezione dell’AD. Il numero vertiginoso di attacchi noti che ha colpito l’AD ha aumentato il livello di consapevolezza di quanto l’AD stesso sia diventato un vettore di attacco.

Le nuove strategie degli hacker

Paula Musich, analista di EMA, ha messo in evidenza quanto emerge dal report, ossia che l’AD rappresenta per gli hacker il mezzo per raggiungere il loro scopo finale. Gli aggressori usano l’AD per violare le reti delle organizzazioni, per poi muoversi attraverso il sistema informatico compromesso per ottenere l'accesso a tutte le risorse preziose. Ad esempio, nella recente serie di attacchi golden ticket, tra cui l'attacco Golden SAML lanciato su SolarWinds, gli hacker hanno creato credenziali utente false, clonato gli utenti reali e aggirato l'autenticazione a due fattori. Nel caso di SolarWinds, gli aggressori hanno aumentato il livello di privilegi, sfruttando l'accesso non autorizzato nelle liste di controllo degli accessi dell’AD. Questo approccio ha permesso loro di muoversi lateralmente all'interno delle reti, protetti dai livelli di autorizzazione elevati rubati, accedendo ed esfiltrando dati sensibili. Attacchi di questo tipo stanno pertanto spingendo le organizzazioni a raddoppiare la sicurezza delle proprie AD.

Anche se nell'ultimo anno gli attacchi alle AD sono aumentati sia in termini di gravità che di costo, è un dato di fatto che tuttavia non rappresenta una novità. I ricercatori della cybersecurity avevano identificato per la prima volta gli exploit golden ticket nel 2017, quando gli aggressori avevano preso di mira per anni gli AD, nella speranza di ottenere l'accesso a risorse aziendali di alto valore. In sostanza, l’AD è un bersaglio molto ricco poiché è la principale “vetrina” di identità utilizzata per autenticare gli utenti e concedere l'accesso ai dati delle organizzazioni, compresi i dati dei clienti di grande valore.

Come le aziende si stanno difendendo dalle minacce all’Active Directory

Per meglio comprendere i motivi del crescente numero di attacchi paralizzanti sulle AD, EMA ha intervistato 250 professionisti e dirigenti IT riguardo a come le loro organizzazioni stanno rispondendo al rischio in netta crescita e come stanno cambiando le loro priorità riguardo alla sicurezza delle AD. Paula Musich in occasione di un webinar, ha presentato i risultati principali del rapporto EMA i quali hanno dato modo di tracciare uno scenario alquanto allarmante. È infatti emerso quanto i punti deboli della sicurezza delle AD generino un forte impatto sull’atteggiamento che le organizzazioni hanno sulla sicurezza.

Dato l'aumento della prevalenza degli attacchi verso l’AD, è sorprendente che solo il 50% degli intervistati abbia ammesso che le loro organizzazioni abbiano subito un attacco al sistema AD durante gli ultimi due anni. Secondo le stime di Microsoft, 95 milioni di account AD sono presi di mira dai cyberattacchi ogni giorno e una parte significativa di questi attacchi potrebbe essere passata inosservata: il 25% degli intervistati ha dichiarato che rilevare live gli attacchi è la più grande sfida della sicurezza AD.

Dato il profondo livello di competenza richiesto per trovare le vulnerabilità e per comprendere la tipologia di errori che possono portare le AD a essere esposte, molte organizzazioni non hanno le risorse per condurre valutazioni della propria Active Directory in modo frequente. Anche i tool automatizzati di penetration testing offrono capacità limitate per mantenere un buon livello di sicurezza dell’AD. Pur avendo le competenze disponibili, rimediare alla presenza di parti esposte e alle vulnerabilità è ancora un processo complicato a causa della complessa struttura dell’AD. Gli intervistati, dichiarano che fattori come la mancanza di visibilità dei punti deboli o esposti e i requisiti di ricerca dell'esposizione, rappresentano una sfida rispettivamente per il 38% e il 37%.

Aumentare l'investimento nella protezione dell’Active Directory

Con il crescente numero di notizie sugli attacchi AD, non sorprende che i team di sicurezza stiano mettendo la sicurezza AD in cima alla lista delle priorità. L'aumento degli attacchi AD ha spinto la maggior parte delle di organizzazioni a pianificare un aumento della spesa per la sicurezza, ma anche altre questioni stanno stimolando queste decisioni. La pandemia ha causato/portato a due grandi cambiamenti correlati all'attività all’universo IT: la necessità di supportare attività remote o di lavoro da casa su larga scala e l'accelerazione dei piani di migrazione al cloud.

Per ulteriori approfondiment: https://pages.semperis.com/it/2021-ad-security-halftime-report/