Active Directory

SAFECORE

Active Directory Security

Active Directory è utilizzato da oltre il 90% delle aziende in tutto il mondo, pertanto, è uno degli obiettivi più comuni durante gli attacchi informatici.
Active Directory Security ha lo scopo di innalzare i livelli di sicurezza dei servizi di dominio Active Directory dell’azienda.

Diffusione dei Ransomware tramite Active Directory

Soprattutto negli ultimi anni, i Ransomware si sono evoluti utilizzando dei sistemi avanzati in grado di espandersi all’interno di una rete. Tipicamente il malware include funzionalità specifiche per propagarsi da un dispositivo infetto iniziale ad altri dispositivi sulla stessa rete.
Invece di scrivere e testare il codice aggiuntivo, che potrebbe essere soggetto ad errori, gli hacker hanno optato per sfruttare un sistema che è già presente nella maggior parte delle organizzazioni, ovvero Active Directory.

Nel momento in cui un attaccante riesce ad ottenere un accesso privilegiato all’interno di AD, diventa poi facile acquisire privilegi e visibilità sull’intera infrastruttura IT di un’organizzazione. Le soluzioni on-premise e cloud risultano essere entrambe vulnerabili: l’Active Directory contiene infatti informazioni su tutti gli utenti, gli endpoint, le applicazioni e i server.

È possibile utilizzare strumenti di amministrazione standard per interrogare la directory senza essere rilevati dai software e sistemi di sicurezza. 

Gli hacker possono quindi utilizzare AD per propagare il ransomware a tutti i dispositivi dell’organizzazione.

Come prevenire la diffusione dei Ransomware tramite Active Directory

Gli attacchi ransomware che utilizzano Active Directory per propagarsi o per eseguire ricognizioni richiedono tipicamente un accesso privilegiato (Administrator) in Active Directory. La maggior parte delle organizzazioni non limita o gestisce correttamente l’uso di account AD privilegiati, lasciando tipicamente i sistemi IT esposti a ransomware ed altri tipi di attacco.
Ecco sei modi per proteggere l’accesso agli account AD privilegiati e rendere difficile per gli attaccanti utilizzare Active Directory per gestire la propagazione del Ransomware all’interno della rete:

  • Ridurre la membership dei gruppi privilegiati di Active Directory
  • Limitare l’uso degli account privilegiati in Active Directory
  • Utilizzare utenze locali al posto delle utenze di dominio
  • Implementare un modello di amministrazione a più livelli per Active Directory
  • Proteggere gli account amministrativi con la multifactor authentication
  • Effettuare il monitoraggio di Active Directory per le attività sospette

L'active Directory Security si articola in due attività distinte

Nella prima fase della Discovery verranno utilizzate differenti tecniche di analisi e attacco, dalle più semplici a quelle avanzate, per evidenziare e valutare il livello di esposizione del dominio ad attacchi informatici.

Durante la fase successiva si procederà invece alla simulazione di diversi tipi di attacco e di tecniche di “Domain Dominance” al fine di rilevare quali di queste tecniche sono praticabili e attraverso quale footprint all’interno della rete.

In particolare, gli attacchi avranno due finalità:

  • Stabilire se e con quali modalità sia possibile, per un attaccante, ottenere il massimo livello di privilegi sul domain controller;
  • Verificare quali tecniche e con quali privilegi minimi (least privilege) è possibile per l’attaccante garantirsi la “Domain Dominance” (permanenza sul dominio e resilienza alle contromisure)
 

Gli input della seconda attività

La seconda attività prenderà come input le risultanze ottenute dal processo di Discovery e inizierà con la pianificazione delle misure da implementare al fine di mitigare o eliminare i rischi o gli impatti evidenziati. Proseguiremo quindi a fornire il supporto necessario all’implementazione vera e propria delle misure pianificate con il cliente, in ultimo verrà effettuata una verifica ex post tesa a confermare l’efficacia delle stesse.

Report Finale

A fine attività verrà prodotto un report dettagliato sullo stato iniziale del sistema, un resoconto delle attività svolte e alcune indicazioni su possibili policy o procedure da implementare in una fase successiva.

Group 2

In pillole

Il dominio è il principale obiettivo dei criminali informatici, poiché concede ampi privilegi sulla rete aziendale. Di conseguenza, potrebbe essere necessario rivedere e rafforzare Active Directory per ridurre i rischi per la sicurezza.

Active Directory Security conduce una serie di test per valutare l’esposizione ai cyber attacchi e verificare le tecniche di protezione più efficaci. Di seguito pianifica e da supporto per attivare le misure di contenimento.

SAFECORE VIRTUAL ROOM

Benvenuto

Il nostro spazio digitale è a tua disposizione!

Scegli come interagire
Comincia da qui, puoi iniziare una nuova conversazione se il consulente è disponibile oppure prenotare il tuo appuntamento.

Parla con un consulente

Prenota un appuntamento