Non è un mistero che oggi buona parte della cybersicurezza ruoti intorno alle identità, che sono diventate il vero “perimetro” IT delle aziende. Dunque è quanto mai importante proteggere Active Directory, una delle tecnologie più usate per l’autenticazione e l’accesso alle reti e applicazioni aziendali, diventata ancor più rilevante in tempi di lavoro ibrido. Due novità appena presentate riguardano l’una il monitoraggio e l’altra la risposta agli incidenti già avvenuti.
La prima è di Sgbox, che ha introdotto nella propria piattaforma Siem (Security Information and Event Management una funzionalità dedicata alle imprese che adottano sistemi Windows: Active Directory Auditor (Ada). Il sistema monitora costantemente lo stato delle Active Directory aziendali, determina il rischio relativo e invia delle allerte nel caso vengano superare le soglie impostate su più di trenta indicatori di performance (per esempio, Kpi su utenti Amministratori inattivi, utenti Amministrativi con password senza scadenza, utenti disabilitati, e altri).
Active Directory Auditor opera in sinergia con gli altri moduli di Sgbox dedicati allo stesso ecosistema, tra cui Windows Audit e Windows File System Audit. Gli altri moduli della piattaforma possono utilizzare gli elenchi prodotti da Active Directory Auditor per realizzare report filtrati ed eseguire attività avanzate come la correlazione degli eventi. Sgbox ha già annunciato il futuro lancio di altre funzionalità, come il confronto dell'appartenenza al gruppo tra valori correnti e snapshot storici, report sullo stato e sulla conformità, autorizzazione del file system e molti altri.
La seconda novità riguardante Active Directory è di Semperis e si chiama Purple Knight Post-Breach: come il nome suggerisce, in questo caso il focus è sulla risposta agli attacchi già andati a bersaglio, ma non soltanto. Purple Knight Post-Breach permette di identificare tutte le backdoor utilizzate per l’attacco e di velocizzarne la messa in sicurezza, nonché di prevenire eventuali violazioni successive. Inoltre è possibile riuscire a determinare se l’attacco fosse già in corso quando è stato eseguito il backup di AD.
Si tratta di un strumento rivolto principalmente agli Msp (fornitori di servizi gestiti), utile per migliorare le attività di ripristino e il contenimento degli attacchi ai danni delle dalle aziende clienti. Semperis propone una nuova edizione, disponibile solo tramite il canale, del tool gratuito di valutazione della sicurezza di Active Directory. Questo nuovo strumento si basa sulla versione destinata alla community di Purple Knight, già scaricata in poco più di un anno dal lancio (a marzo 2021) da oltre cinquemila utenti.
“Dopo un attacco informatico, individuarne l’origine è un compito gravoso che implica l’analisi di un’infinità di dati”, ha commentato Dave Evans, vicepresidente Global Channels and Alliances di Semperis. “E durante queste operazioni gli utenti malintenzionati potrebbero essere già all’opera per colpire di nuovo. Purple Knight Post-Breach velocizza le analisi forensi post-attacco per i nostri partner, consentendogli di aiutare i clienti a ridurre i danni e a ottenere un ripristino completo dagli attacchi che mirano ad Active Directory.”
