Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 3 Dicembre 2021 09:55
Per anni, Active Directory è stato un obiettivo primario per gli aggressori che cercavano di ottenere un vantaggio nelle risorse aziendali di alto valore, ma non è stato in primo piano nell’elenco delle priorità della maggior parte dei team di sicurezza aziendale.
Anche se ottenere l’accesso agli elementi di Active Directory, come gli elenchi di controllo degli accessi e gli account con privilegi, non è il fine che gli aggressori stanno cercando, è senza dubbio il mezzo per poter poter effettuar movimenti laterali all’interno della rete e quindi esfiltrare informazioni sensibili.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Active Directory di Microsoft è di fatto il sistema di autenticazione utilizzato dal 90% delle aziende globali. Data la dimensione e la complessità della superficie di attacco, non sorprende che ogni giorno insider malintenzionati svolgano attacchi informatici contro gli account di Active Directory.
Ma poiché non contiene dati importanti sui clienti, non è sempre al centro degli sforzi dei team di sicurezza IT per proteggere le risorse digitali delle organizzazioni.Allo stesso tempo, proteggerlo richiede una buona collaborazione tra più team all’interno dell’IT, anche se la sua configurazione si evolve continuamente per stare al passo con aggiunte, spostamenti e modifiche organizzative.
Nel mentre gli aggressori continuano a sfruttare questi vantaggi, portando avanti le loro TTPs (tattiche, tecniche e procedure) accumulando violazioni, tra cui la violazione di Solarwinds e il ceppo di ransomware LockBit 2.0, che ora può distribuire automaticamente il ransomware in un dominio Windows.
Per capire come i team di sicurezza IT stanno rispondendo a questa crescente minaccia, la principale società di ricerca IT Enterprise Management Associates (EMA) ha intervistato 250 professionisti della sicurezza IT in Nord America e ha riportato una serie di conclusioni.
Il rapporto ha rivelato che il 50% delle organizzazioni ha subito un attacco ad Active Directory negli ultimi 1-2 anni, con oltre il 40% che indica che l’attacco ha avuto successo.
Un risultato altrettanto preoccupante è stato che i penetration tester svolti, hanno sfruttato con successo l’Active Directory per l’82% delle volte. Questo suggerisce che i risultati degli attacchi effettivi potrebbero essere sotto-rappresentati a causa della mancanza di visibilità sugli exploit utilizzati o una mancata denuncia delle violazioni.
In risposta all’incremento dell’utilizzo di Active Directory da parte dei criminali informatici, l’86% delle organizzazioni prevede di aumentare gli investimenti sulla sua protezione. Il 25% della maggiore incidenza è dovuta ad un aumento del 18% dell’attività remota o di lavoro da casa, mentre un 17% ad un’espansione dell’utilizzo del cloud. La prevalenza degli attacchi è causata dal ransowmare, con un aumento del 15% rispetto all’anno precedente.
Alla domanda sulla protezione da attacchi avanzati come il ransomware, le aziende hanno fornito una serie di risposte. Quasi due terzi, il 64%, hanno indicato di utilizzare strumenti di rilevamento degli attacchi, oltre a strumenti di rilevamento e risposta degli endpoint (EDR) pari al 64%, mentre poco più della metà utilizza piattaforme di protezione antivirus/endpoint (EPP) (55%).
Altre misure di protezione degne di nota menzionate nel rapporto includono strumenti di analisi comportamentale degli utenti e delle entità (UEBA) (40%), SIEM e strumenti di analisi dei log (36%) e strumenti di rilevamento e risposta dell’identità (IDR) (27%).
Data la relativa novità della categoria degli IDR, che ha iniziato a emergere nel 2021, è promettente vedere che una parte significativa delle imprese l’ha già adottata.
Durante l’indagine, c’è stata una tendenza a menzionare ripetutamente l’escalation dei privilegi, nonché la mancanza di visibilità per comprendere facilmente l’uso improprio e la deriva delle politiche di sicurezza.
Tutte queste scoperte hanno sottolineato il fatto che un’efficace protezione di Active Directory richiede un diligente controllo delle autorizzazioni e una perfetta gestione degli accessi, ma deve anche includere più livelli di visibilità e rilevamento degli attacchi in tempo reale.
“Gli aggressori stanno sfruttando le complessità di Active Directory per penetrare nell’ambiente attraverso un numero esponenziale di percorsi di attacco, offrendo movimenti laterali praticamente non rilevabili all’interno di Active Directory”
ha affermato Paula Musich, direttore della ricerca, Security and Risk Management presso Enterprise Management Associates.
“La buona notizia è che una solida maggioranza di organizzazioni riconosce questa minaccia e ha aumentato la propria priorità di sicurezza di Active Directory nel 2021, con piani per aumentare la spesa per la sua resilienza”.
mentre Carolyn Crandall, chief security defender di Attivo Networks ha detto:
“Le principali sfide per la protezione di Active Directory sono il rilevamento di attacchi AD in tempo reale, la mancanza di visibilità nell’ambiente AD e il necessario coordinamento della comunicazione della sicurezza di AD tra più team”
RedazioneSabato 9 maggio, al Teatro Italia di Roma, si è chiusa la Red Hot Cyber Conference 2025, l’appuntamento annuale gratuito creato dalla community di RHC dedicato alla sicurezza informatica, ...
La banda di criminali informatici di NOVA rivendica all’interno del proprio Data Leak Site (DLS) un attacco informatico al Comune di Pisa. Disclaimer: Questo rapporto include screenshot e/o tes...
Un grave attacco informatico ha colpito l’infrastruttura digitale dell’Università nella notte tra l’8 e il 9 maggio, causando l’interruzione improvvisa dei servizi onl...
Per anni, Reddit è rimasto uno dei pochi angoli di Internet in cui era possibile discutere in tutta sicurezza di qualsiasi argomento, dai videogiochi alle criptovalute, dalla politica alle teorie...
Le autorità statunitensi continuano a cercare soluzioni per fermare la fuga di chip avanzati verso la Cina, nonostante le rigide restrizioni all’esportazione in vigore. Il senatore Tom Cot...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
