La protezione di Active Directory, fulcro del lavoro di Semperis

Le identità digitali di dipendenti e collaboratori rappresentano uno dei pilastri del funzionamento di un’azienda e anche un patrimonio prezioso da proteggere. Molte realtà si sono affidate ad Active Directory, specie se l’ambiente di lavoro si basa su Microsoft.

Tuttavia, la garanzia di sicurezza su questo fronte è andata ad attenuarsi nel corso del tempo, sia per la crescente sofisticatezza delle tecniche d’attacco sia per la complessità dei parametri da tenere in considerazione.

Su questo fronte molto verticale, si è specializzata un’azienda come Semperis, nata negli Usa nel 2013 e da poco tempo presente anche in Italia: “Un numero sempre più ampio di vulnerabilità sfrutta configurazioni stratificate nel tempo, che prestano il fianco all’azione dei malintenzionati”, spiega Bruno Filippelli, sales director per l’Italia di Semperis. “Per questa via, essi possono entrare nei sistemi dei propri bersagli, accedere a informazioni sensibili, prendere il controllo di un’identità magari secondaria, ma poi scalare fino agli amministratori di sistema”.

Avviata per proporre soluzioni di backup & recovery, Semperis si è andata nel tempo specializzando nella gestione pre, durante e post-attacchi che avvengono attraverso Active Directory: “Diverse aziende sono in grado di analizzare i log attraverso le soluzioni Siem o ripristinare uno stato precedente con il backup”, evidenzia Filippelli. “Nessuna però è dedicata espressamente alla tecnologia di Microsoft, non consentono di comprendere bene la fonte di un attacco e si limitano a ricreare la struttura dei metadati in caso di violazione”.

L’offerta della società è articolata, ma parte da Purple Knight, uno strumento di assessment gratuito, proposto proprio per generare consapevolezza su questo potenziale fronte di debolezza. Il prodotto simula un utente reale ed effettua chiamate ad Active Directory, per individuare eventuali vulnerabilità: “Non ci sono limiti al suo utilizzo, ma è previsto un contatto con noi per chiarirsi sull’esito dei test e comprendere quali passi effettuare”, puntualizza Filippelli. Da studi ricavati proprio dall’utilizzo del tool, Semperis ha rilevato come l’autenticazione Kerberos rappresenti la principale zona di rischio.

Bruno Filippelli, sales director per l'Italia di Semperis

Se l’attenzione va a concentrarsi sulle informazioni sensibili, occorre passare a Directory Service Protector (Dsp), che installa degli agent sui sistemi e automatizza un controllo periodico per controllare che la postura dell’azienda sia corretta, oltre ad aggiornarsi costantemente, a differenza di Purple Knight. La soluzione si è recentemente potenziata con Dsp Intelligence, che rileva in modo proattivo le vulnerabilità pericolose provenienti da minacce esterne, le debolezze sistemiche dei parametri di identità e accesso by default e anche i disallineamenti delle configurazioni interne che possono provocare una regressione della sicurezza.

Il top del portafoglio è rappresentato da Active Directory Forest Recovery (Adfr), che si occupa del corretto ripristino della situazione preesistente in presenza di attacco andato a buon fine. Tra le funzionalità aggiunte di recente alla soluzione, troviamo chiavi di crittografia univoche per set di backup, ricerca forense avanzata e supporto esteso per l'autenticazione Saml e Mfa.

Il cloud rappresenta il nuovo terreno di sviluppo tanto per gli attaccanti quanto per le realtà come Semperis, impegnate sull’altro lato della barricata: “Chi ha scelto la migrazione deve comunque controllare le configurazioni scorrette, le policy e i comportamenti dei propri utenti”, sottolinea Filippelli. “Molti pensano che con l’adozione di Siem e antivirus o spostamento di workload in cloud sia tutto a posto, ma recenti attacchi come quelli che hanno colpito Solarwinds o Kaseya dimostrano che non è così. Noi stessi stiamo portando in cloud le nostre soluzioni, ma in modo graduale e con la dovuta attenzione”.