Active Directory (AD) è un obiettivo di grande valore per gli hacker, che spesso tentano di comprometterlo per aumentare i propri privilegi ed espandere il proprio accesso. Sfortunatamente, la sua necessità operativa implica che AD debba essere facilmente accessibile agli utenti di tutta l'azienda, rendendolo notoriamente difficile da proteggere. Microsoft ha dichiarato che ogni giorno oltre 95 milioni di account AD subiscono attacchi, sottolineando la gravità del problema.
Sebbene proteggere AD sia una sfida, non è affatto impossibile: richiede solo gli strumenti e le tattiche giusti. Di seguito sono riportati dieci suggerimenti che le aziende possono utilizzare per proteggere in modo più efficace l'AD da alcune delle tattiche di attacco più comuni oggi.
1. Prevenire e rilevare l'enumerazione di sessioni privilegiate, amministrative delegate, di servizio e di rete
Una volta che un avversario ha penetrato le difese perimetrali e stabilito un punto d'appoggio all'interno della rete, condurrà una ricognizione per identificare le risorse potenzialmente preziose e capire come raggiungerle. Uno dei modi migliori per farlo è prendere di mira l'AD, poiché è possibile mascherare tali attività come normali attività aziendali con poche possibilità di essere rilevate.
La capacità di rilevare e prevenire l'enumerazione di privilegi, amministratori delegati e account di servizio può avvisare i difensori della presenza di un avversario nelle prime fasi del ciclo di attacco. L'implementazione di account e credenziali di dominio ingannevoli sugli endpoint può anche mettere in difficoltà gli aggressori e consentire ai difensori di reindirizzarli verso esche per ingaggiarli.
2. Identificare e correggere le esposizioni degli account privilegiati
Gli utenti spesso memorizzano le credenziali sulle loro workstation. A volte lo fanno accidentalmente, altre volte volontariamente, di solito per comodità. Gli aggressori lo sanno e prendono di mira quelle credenziali memorizzate per ottenere l'accesso all'ambiente di rete. Le credenziali giuste possono essere molto utili e gli intrusi cercheranno sempre di aumentare i propri privilegi e ottenere un accesso più ampio.
Le aziende possono evitare di fornire agli aggressori un facile accesso alla rete identificando le esposizioni degli account privilegiati, correggendo le configurazioni errate e rimuovendo le credenziali salvate, le cartelle condivise e altre vulnerabilità.
3. Proteggere e rilevare gli attacchi "Golden Ticket" e "Silver Ticket"
Gli attacchi Pass-the-Ticket Gli attacchi (PTT) sono tra le tecniche più potenti utilizzate dagli avversari per muoversi lateralmente all'interno della rete e aumentare i propri privilegi. La strategia di progettazione stateless di Kerberos lo rende facile da abusare, il che significa che gli aggressori possono facilmente falsificare i ticket all'interno del sistema. "Golden Ticket" e "Silver Ticket" sono due dei tipi più gravi di attacchi PTT utilizzati dagli avversari per compromettere il dominio e ottenere la persistenza nel dominio.
Per affrontare questo problema è necessario essere in grado di rilevare i ticket di concessione ticket (TGT) Kerberos vulnerabili e gli account di servizio dei computer, identificando e segnalando le configurazioni errate che potrebbero potenzialmente portare ad attacchi PTT. Inoltre, una soluzione come Singularity Identity può impedire l'uso di ticket falsificati negli endpoint.
4. Protezione contro attacchi Kerberoasting, DCSync e DCShadow
Un attacco "Kerberoasting" è un modo semplice per gli avversari di ottenere un accesso privilegiato, mentre gli attacchi DCSync e DCShadow mantengono la persistenza del dominio all'interno di un'azienda.
I difensori devono essere in grado di eseguire una valutazione continua dell'AD che fornisca un'analisi in tempo reale degli attacchi all'AD, segnalando al contempo le configurazioni errate che portano a tali attacchi. Inoltre, una soluzione in grado di sfruttare la presenza degli endpoint per impedire ai malintenzionati di scoprire gli account da prendere di mira può inibire la loro capacità di portare a termine queste incursioni.
5. Prevenire la raccolta di credenziali dalle condivisioni di dominio
Gli avversari prendono comunemente di mira password in chiaro o reversibili memorizzate in script o file di criteri di gruppo archiviati in condivisioni di dominio come Sysvol o Netlogon.
Una soluzione come Singularity Identity Posture Management può aiutare a rilevare queste password, consentendo ai difensori di porre rimedio alle esposizioni prima che gli aggressori possano prenderle di mira. Meccanismi come quelli presenti nella soluzione Singularity Identity possono anche implementare oggetti di criteri di gruppo Sysvol ingannevoli nell'AD di produzione, contribuendo a ostacolare ulteriormente gli aggressori deviandoli dalle risorse di produzione.
Singularity™ Identity
Detect and respond to attacks in real-time with holistic solutions for Active Directory and Entra ID.
Get a Demo6. Identificare gli account con SID privilegiati nascosti
Utilizzando la tecnica di iniezione dell'identificatore di sicurezza Windows (SID), gli avversari possono sfruttare l'attributo "cronologia" del SID, che consente loro di muoversi lateralmente all'interno dell'ambiente AD e di aumentare ulteriormente i propri privilegi.
Per evitare che ciò accada, è necessario rilevare gli account impostati con valori SID privilegiati noti nell'attributo della cronologia SID e nei report.
7. Rilevare la delega di diritti di accesso pericolosi su oggetti critici
La delega è una funzionalità AD che consente a un account utente o computer di impersonare un altro account. Ad esempio, quando un utente chiama un'applicazione web ospitata su un server web, l'applicazione può imitare le credenziali dell'utente per accedere alle risorse ospitate su un server diverso. Qualsiasi computer di dominio con delega illimitata abilitata può impersonare le credenziali dell'utente su qualsiasi altro servizio del dominio. Sfortunatamente, gli aggressori possono sfruttare questa funzionalità per ottenere l'accesso a diverse aree della rete.
Il monitoraggio continuo delle vulnerabilità AD e delle esposizioni di delega può aiutare i difensori a identificare e correggere queste vulnerabilità prima che gli avversari possano sfruttarle.
8. Identificare gli account privilegiati con delega abilitata
Parlando di delega, gli account privilegiati configurati con delega illimitata possono portare direttamente ad attacchi Kerberoasting e Silver Ticket. Le aziende devono essere in grado di rilevare e segnalare gli account privilegiati con delega abilitata.
Un elenco completo di utenti privilegiati, amministratori delegati e account di servizio può aiutare i difensori a fare il punto sulle potenziali vulnerabilità. In questo caso, la delega non è automaticamente negativa. Spesso è necessaria per motivi operativi, ma i difensori possono utilizzare uno strumento come Singularity Identity per impedire agli aggressori di scoprire tali account.
9. Identificare gli utenti senza privilegi in AdminSDHolder ACL
I servizi di dominio Active Directory (AD DS) utilizzano l'oggetto AdminSDHolder e il processo propagatore del descrittore di sicurezza (SDProp) per proteggere utenti e gruppi privilegiati. L'oggetto AdminSDHolder dispone di un elenco di controllo di accesso (ACL) univoco, che controlla le autorizzazioni dei soggetti di sicurezza membri dei gruppi AD privilegiati incorporati. Per abilitare il movimento laterale, gli aggressori possono aggiungere account ad AdminSDHolder, concedendo loro lo stesso accesso privilegiato degli altri account protetti.
Le organizzazioni possono impedire questa attività con uno strumento come Singularity Identity Posture Management per rilevare e segnalare la presenza di account insoliti all'interno dell'ACL AdminSDHolder.
10. Identificare le modifiche recenti alla politica di dominio predefinita o alla politica dei controller di dominio predefiniti
All'interno di AD, le organizzazioni utilizzano politiche di gruppo per gestire diverse configurazioni operative definendo impostazioni di sicurezza specifiche per l'ambiente. Queste spesso configurano gruppi amministrativi e includono script di avvio e spegnimento. Gli amministratori le configurano per impostare i requisiti di sicurezza definiti dall'organizzazione a ogni livello, installare software e impostare le autorizzazioni per i file e il registro. Sfortunatamente, gli aggressori possono modificare queste politiche per ottenere la persistenza del dominio all'interno della rete.
Il monitoraggio delle modifiche alle politiche di gruppo predefinite può aiutare i difensori a individuare rapidamente questi aggressori, mitigando i rischi per la sicurezza e contribuendo a prevenire l'accesso privilegiato ad AD.
Ridurre il rischio di identità in tutta l'organizzazione
Rilevate e rispondete agli attacchi in tempo reale con soluzioni olistiche per Active Directory ed Entra ID.
Richiedi una demoMettere in atto gli strumenti giusti
Comprendere le tattiche più comuni utilizzate dagli avversari per colpire l'AD può aiutare le aziende a difenderlo. Durante lo sviluppo di strumenti come Singularity Identity Posture Management e Singularity Identity, abbiamo preso in considerazione molti vettori di attacco e identificato il modo migliore per rilevarli e neutralizzarli.
Grazie a questi strumenti, le aziende odierne possono identificare efficacemente le vulnerabilità, rilevare tempestivamente le attività dannose e risolvere gli incidenti di sicurezza prima che gli intrusi possano aumentare i propri privilegi e trasformare un attacco su piccola scala in una violazione grave. Proteggere AD è una sfida, ma non è insormontabile, grazie agli strumenti di protezione AD odierni.
"Domande frequenti sulle migliori pratiche di sicurezza di Active Directory
La sicurezza di Active Directory è l'insieme di misure e pratiche che è possibile utilizzare per proteggere l'ambiente Microsoft Active Directory dalle minacce informatiche. Controlla chi può accedere a quali risorse nella rete gestendo account utente, computer e autorizzazioni da un'unica posizione centrale. In sostanza, è il gatekeeper che verifica l'identità degli utenti e decide cosa possono fare una volta entrati.
Ciò include l'autenticazione, l'autorizzazione, i controlli di accesso e il monitoraggio per impedire agli utenti non autorizzati di interferire con i sistemi e i dati.
La sicurezza di Active Directory è fondamentale perché se gli aggressori entrano nel tuo AD, hanno essenzialmente le chiavi di tutto il tuo regno. Il tuo AD controlla l'accesso a tutti i sistemi, le applicazioni e i dati sensibili della tua rete. Un AD compromesso può portare a violazioni di dati su larga scala, danneggiamento del sistema e persino all'arresto completo della rete.
Attualmente si registrano 25 miliardi di attacchi Azure AD all'anno e, se non riesci a proteggere questo hub centrale, gli autori delle minacce possono aumentare i propri privilegi, muoversi lateralmente attraverso la tua rete e distribuire ransomware o rubare credenziali. Il danno può paralizzare le operazioni aziendali e causare notevoli perdite finanziarie.
È necessario mantenere un numero minimo di utenti con privilegi e utilizzare gruppi per assegnare l'accesso invece di autorizzazioni individuali. Applicare criteri di password complessi con requisiti moderni e imporre l'autenticazione a più fattori su tutti gli account amministrativi. Disattiva i servizi non necessari come Print Spooler, disabilita SMBv1 e limita NTLM ove possibile. Esegui valutazioni di sicurezza regolari per individuare gli account inattivi e rimuoverli prima che diventino vettori di attacco.
Monitora continuamente il tuo AD per individuare attività sospette, in particolare relative a modifiche dei gruppi privilegiati e tentativi di accesso non riusciti. Mantieni i controller di dominio fisicamente sicuri e mantieni piani di backup e ripristino adeguati.
L'autenticazione a più fattori (MFA) rende l'AD molto più sicuro aggiungendo ulteriori passaggi di verifica oltre alle semplici password. Anche se gli aggressori rubano le credenziali tramite phishing o attacchi di forza bruta, non possono accedere senza il secondo fattore, come un'app mobile o un token hardware. L'autenticazione a più fattori blocca oltre il 99,9% degli attacchi automatizzati e riduce il rischio di violazioni del 98,56% anche in caso di fuga di credenziali.
È possibile utilizzare vari metodi come Microsoft Authenticator, chiavi FIDO2, dati biometrici e piattaforme come SentinelOne per rendere più difficile agli autori delle minacce compromettere gli account. L'autenticazione a più fattori fornisce anche migliori tracce di audit per l'analisi forense in caso di problemi.
La checklist di sicurezza AD dovrebbe iniziare con la verifica dello stato di sicurezza attuale e l'identificazione degli account obsoleti che devono essere rimossi. Dovrebbe quindi rivedere e rafforzare le politiche relative alle password, quindi implementare politiche di blocco degli account per impedire tentativi di forza bruta. Un altro elemento è l'implementazione dell'autenticazione a più fattori per tutti gli account privilegiati e la definizione di politiche di controllo degli accessi sicure basate sul principio del privilegio minimo. Configurare una gestione regolare delle patch, eseguire valutazioni delle vulnerabilità e condurre audit AD per individuare eventuali problemi di configurazione.
Abilitare una corretta registrazione e monitoraggio degli eventi critici, in particolare quelli relativi alle modifiche del gruppo di amministratori di dominio e alle autenticazioni non riuscite. Documentare le politiche di sicurezza, formare il personale sulle migliori pratiche e testare regolarmente i processi di ripristino AD.
È necessario monitorare ID evento specifici nei registri di sicurezza, in particolare gli accessi non riusciti (4625), i blocchi degli account (4740) e i tentativi di escalation dei privilegi (4672). Prestare attenzione alle modifiche non autorizzate ai gruppi con privilegi, come gli amministratori di dominio e gli amministratori aziendali, poiché spesso segnalano violazioni della sicurezza. Imposta avvisi in tempo reale per modelli di accesso insoliti, come tentativi multipli falliti da singoli indirizzi IP o accessi al di fuori del normale orario di lavoro.
Monitora le modifiche ai criteri di gruppo, le reimpostazioni delle password sugli account amministratori e qualsiasi modifica alle impostazioni del controller di dominio. SentinelOne può aiutarti a tenere traccia di queste attività e assisterti con il rilevamento e gli avvisi automatici