24/05/2023

digital

Active Directory per CEO: istruzioni per l'uso

Guido Grillenmeier (Semperis): i sistemi ITDR sono cruciali, perché mentre gli altri strumenti mirano a tenere gli autori di attacchi fuori dalla rete, queste soluzioni puntano a risolvere i punti deboli dei sistemi di identità all'interno della rete

A differenza di altre applicazioni Microsoft per uso aziendale, come Word, Teams, Outlook ed Excel, Active Directory (AD) è praticamente invisibile per la maggior parte dei CEO. Eppure, è un componente fondamentale dell'infrastruttura informatica per il 90% delle aziende e, in quanto tale, merita tutt'altra considerazione.
Il motivo? Questa tecnologia ormai ventennale costituisce, in molti casi, un enorme problema di sicurezza che i CEO non possono più ignorare. Questa guida contiene una panoramica di Active Directory e spiega brevemente cos'è, perché è vulnerabile, in che modo gli autori di attacchi possono sfruttarlo a proprio vantaggio e come le aziende possono difendersi.

Che cos'è Active Directory

Active Directory è un servizio che raggruppa e monitora gli utenti e i dispositivi di un'azienda fornendo i permessi necessari per l'accesso alle risorse in base all'identità. Ad esempio, per le aziende è importante che l'accesso ad account e-mail o condivisioni di file sia consentito solo agli utenti autorizzati. Con Active Directory è possibile controllare tutto questo.

Un fattore chiave per garantire la sicurezza è l'autenticazione. Per fare un paragone, immaginiamo di essere a casa: la nostra famiglia sa chi siamo, non chiede il perché della nostra presenza. Ci riconosce dall'aspetto fisico e dal modo di fare, che sono le nostre credenziali "umane". Grazie alla propria identità, si ha accesso a determinate stanze o effetti personali.
Ecco, con Active Directory funziona allo stesso modo, perché distingue chi sono gli utenti autorizzati e a quali risorse possono accedere. Ma per quanto sia un servizio di autenticazione affidabile ed efficace, i rischi per la sicurezza non mancano.

Perché è vulnerabile

Rilasciato vent'anni or sono con lo scopo di semplificare le operazioni di autenticazione, Active Directory non è attrezzato per far fronte ai sofisticati attacchi informatici moderni, e questa è una situazione che i CEO non possono più trascurare. In Active Directory gli utenti che possiedono le autorizzazioni necessarie per accedere alla rete sono considerati attendibili. Il problema è che questo standard spiana la strada agli utenti malintenzionati.
Per gli autori di attacchi, il bottino è ghiotto.

Active Directory è come la cassaforte in cui vengono custodite le chiavi dell'ufficio: è il punto centrale per l'accesso a sistemi, computer, software e altre risorse aziendali.
È vulnerabile perché è tanto essenziale per le attività quotidiane quanto facile da sfruttare per gli autori di attacchi. Basti pensare che il 90% circa degli attacchi andati a segno è partito da Active Directory. Nel caso degli attacchi ransomware, le richieste sono esorbitanti: nel 2021 un'azienda è arrivata a pagare un riscatto di 40 milioni di dollari per rientrare in possesso della propria rete.

Le complicazioni dei sistemi di identità ibridi

Con la diffusione delle applicazioni cloud e del lavoro da remoto, sempre più aziende stanno adottando infrastrutture ibride che combinano Active Directory con Azure Active Directory o servizi di identità simili basati su cloud. Grazie a questi sistemi, i dipendenti possono usare le stesse credenziali per autenticarsi in tutti i servizi, in locale e sul cloud.
Alcuni CEO potrebbero pensare che, passando agli ambienti ibridi, Active Directory diventi meno rilevante.

In realtà è vero il contrario, cioè che il sistema di identità alla base assume ancora più peso e, come abbiamo già detto prima, per il 90% delle aziende è rappresentato da Active Directory.

La miglior difesa è proteggere il sistema di identità

I CEO devono essere consapevoli dei rischi associati ad Active Directory per affrontarli in modo adeguato.
Per una migliore sicurezza informatica, molte aziende seguono un approccio Zero Trust. In questo modello, ogni volta che un utente o un dispositivo richiede l'accesso a una risorsa, l'identità e i diritti correlati vengono verificati prima di concedere l'autorizzazione.
Questo meccanismo si basa sul presupposto che il sistema sottostante sia sicuro, tuttavia se Active Directory non lo è, il modello Zero Trust perde ogni efficacia.
Quando un account viene compromesso, il rischio di modifiche dannose ai dati e alle risorse di rete è terrificante. Poiché la posta in gioco è alta, gli utenti malintenzionati cercano sempre nuovi modi per colpire Active Directory e sferrare attacchi basati sull'identità.
Oggi si stima che Active Directory venga sfruttato in 9 attacchi informatici su 10.

Secondo Gartner, l'uso improprio delle credenziali è la tecnica più sfruttata nelle violazioni. Data l'importanza dei sistemi di identità, Gartner ha definito una nuova categoria di soluzioni per la loro protezione, collocando le soluzioni ITDR (Identity Threat Detection and Response) tra i?principali trend di cybersicurezza del 2022.
Per i CEO, una strategia ITDR efficace può fare la differenza e impedire il blocco delle attività aziendali. Nel famoso attacco NotPetya del 2017 al colosso dei trasporti marittimi Maersk, ad esempio, Active Directory è stato colpito per poi infettare l'intera rete aziendale nel giro di pochi minuti, con danni per oltre 10 miliardi di dollari.
Ecco perché i sistemi ITDR sono cruciali, perché mentre gli altri strumenti mirano a tenere gli autori di attacchi fuori dalla rete, le soluzioni ITDR puntano a risolvere i punti deboli dei sistemi di identità all'interno della rete.
Per quanti sforzi facciano gli autori di attacchi per entrare in possesso delle credenziali ed eludere la sicurezza dell'endpoint, le soluzioni ITDR li fermano là dove altri strumenti non riescono, pertanto per i CEO sono una difesa di cui non possono fare a meno.

Guido Grillenmeier, Chief Technologist, EMEA, Semperis