Utilizzata da oltre il 90% delle aziende di tutto il mondo l’Active Directory, il sistema Microsoft che gestisce le identità digitali, è il bersaglio numero uno degli attacchi cibernetici. Sfruttando i punti deboli delle configurazioni i cybercriminali possono infatti identificare percorsi di attacco e credenziali per avere libero accesso alle risorse dei sistemi informativi. Secondo le più recenti analisi, negli ultimi due anni, il 50% delle aziende ha registrato attacchi di questo tipo.
«L’Active Directory deve diventare un sorvegliato speciale. Metterla in sicurezza vuol dire riuscire a sventare gran parte dei tentativi di intrusione che vengono effettuati dall’industria del crimine informatico», afferma Coley Burke, chief revenue officer di Semperis, la start-up israelo-americana fondata nel 2014 che, grazie alla soluzione di Threat detection and response (Itdr), è oggi considerata una delle aziende più innovative della cybersecurity. Il Financial Times l’ha inserita tra le aziende del settore in più rapida crescita e nella classifica Technology Fast 500 di Deloitte è al 64° posto. Complice l’ultimo round di investimenti del valore 200 milioni di dollari. «Serviranno a dare impulso alla crescita internazionale e all’innovazione di prodotto», spiega Burke.
A sostenere il futuribile viaggio di Semperis, il fondo di investimento americano Kkr, seguito da Eleven Ventures, Paladin Capital Group, Atrium Health Strategic Fund, Tech Pioneers Fund e Insight Partners, quest’ultimo protagonista del primo fundraising, avvenuto nel 2020, del valore di 40 milioni di dollari. Tra gli strategic advisor di Semperis, troviamo David Petraeus, partner di Kkr ed ex direttore della Cia. La soluzione di Threat Detection and Response proposta dalla start-up è multilivello. Include due differenti strumenti, Directory Service Protector e Active Directory Forest Recovery, ed è in grado di monitorare h24 lo stato delle identità. «Traccia le vulnerabilità e intercetta gli attacchi in corso mettendo le aziende nella condizione di reagire a tentativi di intrusione all’interno della rete. È in grado di rilevare cambiamenti nelle autorizzazioni di accesso e supportare il ripristino dell’infrastruttura. In buona sostanza garantisce l’integrità e la disponibilità dei servizi in ogni fase della cyber kill chain, riducendo i tempi di ripristino del 90», spiega Bruno Filippelli, sales director di Semperis Italia. Realizzata appositamente per ambienti ibridi, on premise e in cloud, la soluzione protegge oltre 50 milioni di identità.
Presente con una filiale in Italia dal 2020, Semperis ha centri di ricerca di sviluppo in Israele e in Canada e un portafoglio clienti che comprende realtà come American Airlines, Bnp Paribas, Dell, Tesco e Walmart. Tra i clienti italiani anche aziende del manifatturiero. «C’è una forte attenzione da parte delle aziende che operano in questo settore e crediamo vi possano presto essere degli ulteriori e interessanti sviluppi», dice Filippelli.
Prevenire gli attacchi, mitigare i danni e ripristinare lo stato operativo ottimale
L’Active Directory consente agli amministratori di sistema di definire le modalità di accesso utente a dati, applicazioni e risorse di rete. Supporta, inoltre, i servizi di single sign-on (Sso) che consentono di accedere una sola volta ai servizi, risparmiando così la necessità di doversi autenticare ogni volta che si esegue un login al network aziendale. «L’Active Directory ha debolezze sistemiche. Non è stata costruita per resistere ad attacchi sofisticati. Gran parte di questi problemi è dovuta al fatto che è stata introdotta nel 2000, quando la sicurezza informatica non era ancora una priorità. Molte aziende usano ancora vecchi servizi di directory che includono componenti rimasti inutilizzati per anni e che forniscono un punto d’accesso sfruttabile per gli attacchi informatici. Per creare un ambiente resiliente si deve mettere in atto una strategia di Threat detection and response», dice Filippelli. In questo modo si evita la compromissione delle identità, sottraendo le aziende ai ricatti della criminalità informatica e al pagamento di ingenti somme di denaro che vengono richieste per ripristinare la continuità operativa. «Con il nostro software aiutiamo i clienti a mantenere in sicurezza i servizi di directory, on-premise e in cloud.
Diamo supporto alle necessità di chi, in forza a strategie multicloud o anti lock-in, non intende portare i servizi di directory sul cloud di uno specifico fornitore». Vale una semplice regola: le minacce possono essere mitigate conoscendo e risolvendo le vulnerabilità presenti nel sistema. Ecco, quindi, strumenti per monitoraggio continuo e, nel caso di un incidente, soluzioni ad alta efficienza per disaster recovery e ripristino delle attività. Dashboard dedicate segnalano le eventuali anomalie. Consentono il blocco immediato delle minacce e l’identificazione di soggetti che stanno agendo nel perimetro aziendale con privilegi di accesso non autorizzati. «Il sogno di tutti gli attaccanti cyber è poter accedere sotto false spoglie a un profilo di system administrator. Un’eventualità che potrebbe produrre effetti disastrosi. Sarebbe, infatti, come consegnare le chiavi di casa a un perfetto sconosciuto», dice Filippelli.
Meteo-cyber, la tempesta ransomware non risparmia nessuno
Basta passare in rassegna i bollettini meteo di cybersecurity del solo mese di gennaio per capire quanto sia importante salvaguardare l’integrità dell’Active Directory, in assoluto il più diffuso identity manager usato all’interno dei sistemi informativi aziendali basati su tecnologie server Microsoft. SwiftSlicer, il nuovo malware per la cancellazione dei dati che sovrascrive file utilizzati dal sistema operativo Windows, è stato per esempio utilizzato in un attacco contro l’Ucraina attribuito a Sandworm, un gruppo di criminalità informatica che lavora per il governo russo. Il gruppo ha utilizzato criteri di gruppo di Active Directory per avviare SwiftSlicer.
Ancora, il ransomware LockBit è stato utilizzato in un attacco a Royal Mail, il più grande servizio di consegna della posta del Regno Unito, causando l’interruzione dei servizi. LockBit ha anche preso di mira Wabtec, società manifatturiera statunitense che opera nei sistemi di trasporto ferroviari. L’attacco ha portato al furto di informazioni personali e sensibili dopo che Wabtec si era rifiutata di pagare il riscatto. Anche questo un episodio riconducibile alla compromissione di Active Directory.
Indagini su utenze al di sopra di ogni sospetto. Mai dare nulla per scontato
Active Directory svolge un ruolo fondamentale nell’accesso e nella sicurezza all’interno di molte organizzazioni. Come già detto, una cattiva gestione e una configurazione errata possono consentire a un utente malintenzionato di ottenere l’accesso ai sistemi critici diffondendo in rete codice ad alto rischio, come il ransomware, che può portare a fermi operativi. Significa, come dice Burke, esporsi a enormi perdite finanziarie e alla divulgazione pubblica di dati sensibili dell’azienda e dei dipendenti.
Secondo Semperis, strumenti capaci di rilevare eventuali comportamenti anomali degli utenti, ma soprattutto che siano in grado di reagire ad attacchi esterni, sia in modo automatico che manuale per minimizzare o bloccare i malintenzionati, sono destinati a diventare il new normal della cyersecurity. «La nostra soluzione permette di avere una visibilità completa, un monitoraggio real time di quello che sta succedendo, offrendo tutti meccanismi di recovery per mantenere resilienti le infrastrutture di identity, afferma Burke. Con le funzioni che rendiamo disponibili riusciamo a ridurre i tempi di recovery da settimane a poche ore. La sicurezza al 100% non esiste. È necessario essere sempre nella condizione di poter ripristinare le funzioni vitali del sistema informatico».
Chi, cosa, come e quando. L’arte investigativa di Semperis per la gestione delle identità
Concentrarsi sulla resilienza informatica basata sull’identità e sulla mitigazione delle minacce è vitale per mettere in sicurezza il lavoro da remoto, in crescita ovunque. Sempre più persone accedono ad applicazioni e risorse nel cloud. Mettere tutto dietro un firewall non è più sufficiente. Secondo quanto raccontato dai manager di Semperis le violazioni delle directory sono, da sempre, le più pericolose per la security di reti e sistemi perché danno agli attaccanti l’opportunità di nascondersi sotto identità legittime, per scalare i privilegi e prendere il controllo dei sistemi aziendali. Controllo che a sua volta può essere usato per paralizzare le attività aziendali, trafugare dati, crittografarli per poi avanzare richieste estorsive e anche cancellare le tracce delle violazioni. Una minaccia che può essere mitigata conoscendo e risolvendo le vulnerabilità presenti nel sistema, dotandosi degli strumenti per monitoraggio continuo e, quando tutto questo non dovesse evitare il peggio, sapere quali azioni intraprendere per porvi rimedio. «Nelle directory succede poi spesso che si trovino account amministrativi e d’utente assegnati a persone che non lavorano più per l’azienda, password troppo semplici o non aggiornate da molti anni, spiega Filippelli. Oppure configurazioni sbagliate e problemi di manutenzione che, oltre a introdurre vulnerabilità sfruttabili dal cyber crime, riducono l’efficienza della directory».
Assesment e analisi delle vulnerabilità dell’Active Directory con il tool gratuito Purple Knight
«La sicurezza dell’Active Directory si ottiene innanzitutto con la prevenzione, spiega Filippelli. Un’attività che richiede un’attenta ricerca ed eliminazione delle vulnerabilità presenti nel sistema». A questo scopo Semperis rende disponibile Purple Knight, il tool che permette di fare assesment rapidi sullo stato di sicurezza della directory. Consente di effettuare un’analisi dell’Active Directory per ottenere una fotografia completa sullo stato del servizio, evidenziando eventuali problemi e punti deboli.
Purple Knight è uno strumento gratuito per effettuare assesment rapidi sullo stato di sicurezza della directory
Con Purple Knight gli amministratori ottengono una reportistica con punteggi di sicurezza, correlazioni tra rischi e indicazioni di priorità sulle azioni da compiere. Gli indicatori d’esposizione rilevano i problemi di configurazione che possono facilitare il compito di un attaccante, oltre ai percorsi e alle modifiche dell’ambiente che possono aprire le porte a comportamenti malevoli. Gli indicatori di compromissione rilevano invece le tracce di un attacco, in corso o già avvenuto. Permettono di capire come l’attaccante ha agito e di segnalare attività sospette. «Abbiamo progettato Purple Knight per dare indicazioni immediate sui rischi che corre l’Active Directory, suggerendo i passi da effettuare per la messa in sicurezza. Scaricabile in versione gratuita dal nostro sito il tool rappresenta uno strumento per acquisire consapevolezza su possibili vulnerabilità ed esposizioni al rischio», dice Filippelli.
