Red Hot Cyber

Sicurezza informatica, cybercrime, hack
news, e altro ancora
  • English

Active Directory e ransomware, è ora una priorità. Ecco come le aziende stanno rispondendo.

Per anni, Active Directory è stato un obiettivo primario per gli aggressori che cercavano di ottenere un vantaggio nelle risorse aziendali di alto valore, ma non è stato in primo piano nell’elenco delle priorità della maggior parte dei team di sicurezza aziendale.

Anche se ottenere l’accesso agli elementi di Active Directory, come gli elenchi di controllo degli accessi e gli account con privilegi, non è il fine che gli aggressori stanno cercando, è senza dubbio il mezzo per poter poter effettuar movimenti laterali all’interno della rete e quindi esfiltrare informazioni sensibili.

Active Directory e movimenti laterali

Active Directory di Microsoft è di fatto il sistema di autenticazione utilizzato dal 90% delle aziende globali. Data la dimensione e la complessità della superficie di attacco, non sorprende che ogni giorno insider malintenzionati svolgano attacchi informatici contro gli account di Active Directory.

Ma poiché non contiene dati importanti sui clienti, non è sempre al centro degli sforzi dei team di sicurezza IT per proteggere le risorse digitali delle organizzazioni.Allo stesso tempo, proteggerlo richiede una buona collaborazione tra più team all’interno dell’IT, anche se la sua configurazione si evolve continuamente per stare al passo con aggiunte, spostamenti e modifiche organizzative.

Advertisements

Nel mentre gli aggressori continuano a sfruttare questi vantaggi, portando avanti le loro TTPs (tattiche, tecniche e procedure) accumulando violazioni, tra cui la violazione di Solarwinds e il ceppo di ransomware LockBit 2.0, che ora può distribuire automaticamente il ransomware in un dominio Windows.

Per capire come i team di sicurezza IT stanno rispondendo a questa crescente minaccia, la principale società di ricerca IT Enterprise Management Associates (EMA) ha intervistato 250 professionisti della sicurezza IT in Nord America e ha riportato una serie di conclusioni.

Gli esiti dell’analisi

Il rapporto ha rivelato che il 50% delle organizzazioni ha subito un attacco ad Active Directory negli ultimi 1-2 anni, con oltre il 40% che indica che l’attacco ha avuto successo.

Un risultato altrettanto preoccupante è stato che i penetration tester svolti, hanno sfruttato con successo l’Active Directory per l’82% delle volte. Questo suggerisce che i risultati degli attacchi effettivi potrebbero essere sotto-rappresentati a causa della mancanza di visibilità sugli exploit utilizzati o una mancata denuncia delle violazioni.

Advertisements

In risposta all’incremento dell’utilizzo di Active Directory da parte dei criminali informatici, l’86% delle organizzazioni prevede di aumentare gli investimenti sulla sua protezione. Il 25% della maggiore incidenza è dovuta ad un aumento del 18% dell’attività remota o di lavoro da casa, mentre un 17% ad un’espansione dell’utilizzo del cloud. La prevalenza degli attacchi è causata dal ransowmare, con un aumento del 15% rispetto all’anno precedente.

Alla domanda sulla protezione da attacchi avanzati come il ransomware, le aziende hanno fornito una serie di risposte. Quasi due terzi, il 64%, hanno indicato di utilizzare strumenti di rilevamento degli attacchi, oltre a strumenti di rilevamento e risposta degli endpoint (EDR) pari al 64%, mentre poco più della metà utilizza piattaforme di protezione antivirus/endpoint (EPP) (55%).

Altre misure di protezione degne di nota menzionate nel rapporto includono strumenti di analisi comportamentale degli utenti e delle entità (UEBA) (40%), SIEM e strumenti di analisi dei log (36%) e strumenti di rilevamento e risposta dell’identità (IDR) (27%).

Data la relativa novità della categoria degli IDR, che ha iniziato a emergere nel 2021, è promettente vedere che una parte significativa delle imprese l’ha già adottata.

Advertisements

Durante l’indagine, c’è stata una tendenza a menzionare ripetutamente l’escalation dei privilegi, nonché la mancanza di visibilità per comprendere facilmente l’uso improprio e la deriva delle politiche di sicurezza.

Tutte queste scoperte hanno sottolineato il fatto che un’efficace protezione di Active Directory richiede un diligente controllo delle autorizzazioni e una perfetta gestione degli accessi, ma deve anche includere più livelli di visibilità e rilevamento degli attacchi in tempo reale.

“Gli aggressori stanno sfruttando le complessità di Active Directory per penetrare nell’ambiente attraverso un numero esponenziale di percorsi di attacco, offrendo movimenti laterali praticamente non rilevabili all’interno di Active Directory”

ha affermato Paula Musich, direttore della ricerca, Security and Risk Management presso Enterprise Management Associates.

“La buona notizia è che una solida maggioranza di organizzazioni riconosce questa minaccia e ha aumentato la propria priorità di sicurezza di Active Directory nel 2021, con piani per aumentare la spesa per la sua resilienza”.

mentre Carolyn Crandall, chief security defender di Attivo Networks ha detto:

Advertisements

“Le principali sfide per la protezione di Active Directory sono il rilevamento di attacchi AD in tempo reale, la mancanza di visibilità nell’ambiente AD e il necessario coordinamento della comunicazione della sicurezza di AD tra più team”