Secondo i risultati di un sondaggio condotto tra i leader del settore IT e della sicurezza, le organizzazioni di tutte le dimensioni e settori continuano a non colmare le lacune di sicurezza di Active Directory (AD) che possono renderle vulnerabili ai cyberattacchi.
Gli utenti di Purple Knight, il tool di valutazione delle vulnerabilità della community di Active Directory (AD) ideato dagli esperti di Semperis, hanno riportato un punteggio medio di 72 su 100 nei report iniziali (livello C, un grado piuttosto basso) in riferimento a un sondaggio condotto nel 2023 su oltre 150 organizzazioni.
Sebbene quest’anno il punteggio medio complessivo sia migliorato rispetto al 61% riportato nell’indagine del 2022, i risultati indicano che le organizzazioni stanno ancora faticando per identificare e affrontare le vulnerabilità di sicurezza che lasciano i loro ambienti di identità esposti ai cyberattacchi. Questi risultati confermano quelli di Microsoft: secondo il Digital Defense Report 2022, l’88% dei clienti Microsoft colpiti da attacchi informatici aveva una « configurazione AD non sicura ».
È incoraggiante notare che gli utenti hanno compiuto dei miglioramenti con una media del 40% e fino al 64% dopo aver utilizzato la guida per una corretta configurazione.
Vulnerabilità sulla sicurezza di AD
Al momento del lancio e rilasciata originariamente con il sistema operativo Windows 2000 Microsoft Active Directory (AD) era una tecnologia rivoluzionaria che ancora oggi continua a supportare gran parte del mondo del lavoro iperconnesso dell’era moderna.
Microsoft AD ha prevalso su tutte le altre directory per un motivo fondamentale: era open. È grazie a questa apertura e alla facilità di integrazione che AD rimane ancora oggi per il 90% delle aziende un elemento fondamentale dell’infrastruttura. Tuttavia, quello che 22 anni fa era il suo più grande punto di forza oggi è diventato il suo punto debole più preoccupante.
La minaccia
Se si considera che un hacker può utilizzare qualsiasi account di AD non privilegiato per leggere quasi tutti gli attributi e gli oggetti in AD, comprese le loro autorizzazioni, e che ciò gli consente di trovare account di computer in qualsiasi dominio di una foresta AD configurati con delega non vincolata, si ha un’idea del perché l’apertura predefinita di AD sia diventata una vulnerabilità.
Oggi, a causa della scomparsa del perimetro di rete, l’identità è diventata l’ultima linea di difesa dai cyberattacchi.
I ricercatori di Mandiant hanno riscontrato che il 90% degli incidenti presi in esame coinvolge l’AD in una forma o nell’altra.
Nonostante i numerosi avvertimenti degli analisti, la quantità degli attacchi AD in corso e le urgenti richieste di provvedimento da parte dei propri team IT, molti leader organizzativi non danno priorità alla sicurezza e al ripristino specifici per l’AD, lasciandoli così vulnerabili al proliferare degli attacchi.
Purple Knight
Semperis è un pioniere nella gestione e nella protezione delle credenziali di identità degli ambienti ibridi aziendali ed è stato creato appositamente per proteggere l’AD.
Oltre a utilizzare i risultati di Purple Knight per la remediation, le organizzazioni utilizzano questo tool per scoprire vulnerabilità sconosciute, comunicare il livello di sicurezza al management e agli altri team, compensare la mancanza di competenze interne in materia di AD, prepararsi ad altre valutazioni, tra cui i pen-test, e ottenere maggiori risorse per migliorare la sicurezza dell’AD.
Sintesi dei risultati dell’indagine 2023:
- Le organizzazioni hanno ottenuto un punteggio medio di 72 nelle loro valutazioni iniziali della sicurezza AD, un risultato migliore rispetto al punteggio medio di 61 dello scorso anno, ma comunque un livello basso identificabile con una C.
- Le organizzazioni hanno riportato un punteggio medio di 61 nella categoria della sicurezza degli account, il punteggio più basso tra le sette categorie AD valutate da Purple Knight; il 55% delle organizzazioni ha riportato oltre 5 vulnerabilità nella categoria Azure AD
- Il 13% delle organizzazioni ha inoltre riportato 5 e più indicatori di sicurezza nella nuova categoria Azure AD, che si concentra su vulnerabilità come gli account guest inattivi e i criteri di accesso condizionato non configurati correttamente.
- Le organizzazioni di grandi dimensioni (oltre 10.000 dipendenti) hanno ottenuto i risultati peggiori, con un punteggio medio di 63 su 100.
- Il settore assicurativo è quello che ha ottenuto il punteggio medio più basso, con 66 su 100. Gli utenti hanno segnalato un miglioramento medio del 40%.
- Gli utenti hanno riportato un miglioramento medio del 40% e addirittura del 64% sui punteggi delle valutazioni successive, dopo aver applicato le indicazioni per la correzione incluse nelle loro valutazioni.
Le principali sfide per la risoluzione delle vulnerabilità AD includono:
- Mancanza di visibilità sulle vulnerabilità dell’AD
- Mancanza di tempo e risorse per affrontare la proliferazione delle vulnerabilità.
- Mancanza di attenzione ai problemi di sicurezza dell’AD da parte dei leader aziendali e di altri team.
- Complicazioni dovute a infrastrutture AD ereditate o preesistenti.
- Mancata identificazione delle vulnerabilità di sicurezza da parte di audit di terze parti.
Vulnerabilità comuni scoperte da Purple Knight
- Principi di sicurezza non predefiniti con diritti DCSync sul dominio
- Utenti privilegiati con password deboli
- Abilitazione all’accesso anonimo ad Active Directory
- Account con diritti di amministrazione non protetti
- Account utente con vecchie password
- Account amministratore con vecchie password
- Utenti privilegiati di Azure AD che sono anche privilegiati in AD
Gli intervistati hanno citato varie motivazioni che hanno spinto al download di tool per la valutazione della sicurezza, che vanno dalla proliferazione degli attacchi nei loro settori, ai mandati organizzativi o alla remediation post violazione. Molti degli intervistati hanno dichiarato di essere stati colti alla sprovvista dai risultati dei report di Purple Knight.
A proposito del report, Mickey Bresman, CEO di Semperis, ha affermato: « Abbiamo constatato che molte aziende non hanno una buona comprensione delle vulnerabilità di Active Directory che gli attaccanti sono in grado di utilizzare contro di loro. Volevamo offrire ai team di sicurezza, che non dispongono di competenze approfondite in materia di AD, un sistema per comprendere il loro livello di sicurezza AD e quindi colmare le lacune esistenti in modo che non possano essere utilizzate contro di loro ».