Come rendere sicuro l’Active Directory

Innalzare il livello di sicurezza informatica nelle organizzazioni è fondamentale, analizziamo con Mickey Bresman, Co-founder di Semperis perché è importante ammodernare l'AD

La crescente tendenza verso l’uso di ambienti informatici distribuiti e basati sul cloud,  ha attirato l’attenzione dei cybercriminali, che puntano a ottenere credenziali di accesso per infiltrarsi nelle risorse aziendali. Strumenti come Active Directory (AD) ed Entra ID, precedentemente noto come Azure AD, sono impiegati da oltre il 90% delle aziende a livello globale, divenendo così bersagli primari per attacchi malevoli.

Active Directory, un servizio di directory che gestisce utenti e risorse, è diventato un componente integrante dell’infrastruttura IT aziendale, essenziale per il mantenimento delle operazioni quotidiane. Un sondaggio condotto da Semperis ha rivelato che il 77% dei leader aziendali, inclusi i team IT e di sicurezza, percepirebbe un impatto grave o addirittura catastrofico in caso di compromissione dell’AD. Molte delle architetture AD esistenti non sono state originariamente progettate per l’integrazione con il cloud o con infrastrutture moderne, in quanto AD è un prodotto che ha le sue radici in un’epoca precedente all’avvento del cloud computing.

Per mitigare questi rischi, è essenziale che le aziende esaminino e aggiornino le loro architetture di sicurezza per includere solide misure di protezione delle identità e gestione degli accessi, nonché per garantire che le loro infrastrutture possano resistere alle minacce emergenti nel panorama del cloud computing moderno.

Come rendere sicuro l'Active Directory, Come rendere sicuro l’Active DirectoryA questo proposito Mickey Bresman, Co-founder di Semperis condivide con noi il motivo per il quale nelle aziende odierne modernizzare l’AD è un requisito prioritario.

L’adozione diffusa di sistemi basati sul cloud ha reso obsoleto il tradizionale concetto di perimetro di rete. Con l’incremento delle minacce informatiche, si assiste a una focalizzazione delle tecniche di attacco sulla compromissione delle identità, spesso mediante il phishing e altre tattiche maligne. Di conseguenza, le politiche di sicurezza si sono evolute per enfatizzare la gestione accurata e il controllo delle identità utente.

Tuttavia, molte linee guida iniziali per configurare la sicurezza e l’architettura di Active Directory (AD) sono diventate inadeguate di fronte alle esigenze delle aziende contemporanee. All’epoca del suo lancio con Windows Server 2000, verso la fine del XX secolo, il panorama delle reti era molto diverso da oggi. La progettazione dei domini AD di quel tempo era limitata dalla banda stretta e dai problemi di replicazione NT.

“I vincoli appena citati in combinazione con i limiti tecnologici dei dispositivi, nonché le sfide poste dalla migrazione (domini legacy di Windows NT 4), hanno spinto all’adozione di un numero maggiore di domini AD all’interno della struttura della foresta – commenta Bresman -. Questi progetti sono senza dubbio complicati e se sommati a decenni di deviazioni della configurazione, hanno generato ulteriori complessità oltre che configurazioni errate, con il risultato di aver aumentano in modo significativo la superficie di attacco dell’AD”.

L’ammodernamento

La modernizzazione e l’aggiornamento di AD offre alle organizzazioni la possibilità di recuperare decenni di gap tecnico dovuti ad ambienti multi-foresta e ad anni e anni di impostazioni di sicurezza obsolete e inefficaci. “Questo permette ai team l’implementazione di controlli di autorizzazione efficaci con cui gestire le identità e di rendere il controllo delle reti centralizzato, consentendo di ridurre i costi totali di gestione e di semplificare l’ambiente con lo scopo di soddisfare i requisiti normativi”.

La complessità di migrazione dell’AD

Pur portando numerosi benefici, l’ammodernamento di Active Directory (AD) richiede che le aziende procedano con una pianificazione scrupolosa di ogni fase. La transizione verso un nuovo dominio o foresta AD può essere un processo impegnativo, arricchito di sfide tecniche, poiché comporta la migrazione di utenti, gruppi, applicazioni e computer. Durante questo processo, le vulnerabilità non individuate nell’ambiente preesistente potrebbero essere involontariamente trasferite al nuovo sistema. Inoltre, il processo di migrazione può introdurre nuove vulnerabilità che potrebbero non essere immediatamente identificate. Per evitare ciò, è essenziale implementare un sistema di monitoraggio e valutazione continuo che operi in tempo reale durante tutta la fase di migrazione.

“È tipicamente improbabile che tutto l’AD venga migrato in un’unica soluzione poiché lo spostamento di risorse come applicazioni, file server e database risulta più complessa rispetto alla migrazione degli utenti e dei gruppi – spiega il manager -. Questo aspetto è da considerare perché applicazioni, file server e database, potrebbero restare nel vecchio ambiente in modo temporaneo creando così una situazione di instabilità. Ed è proprio dagli ambienti instabili che i malintenzionati amano trarre vantaggio, pertanto è di fondamentale importanza garantire il massimo livello di sicurezza durante il periodo di migrazione”.

Come migrare con successo e in modo sicuro

Per minimizzare le interruzioni durante la migrazione di Active Directory (AD), è cruciale adottare un approccio incentrato sulla sicurezza. Questo inizia con l’elaborazione di un piano di migrazione dettagliato che garantisca la progettazione del dominio destinatario in conformità con le migliori best practice di sicurezza in vigore.

“Le best practice comprendono la valutazione dell’ambiente precedente alla migrazione, il cui scopo è quello di individuare lacune come ad esempio account compromessi, configurazioni errate (e vulnerabili) del sistema, ecc., nonché la creazione di un ambiente di test che replichi l’AD onde poter verificare l’iter di migrazione – illustra Bresman -. È inoltre necessario verificare che le autorizzazioni utente e i diritti di accesso vengano migrati in conformità con la policy generale, che vengano sincronizzate le password e che account, protocolli di autenticazione e algoritmi di crittografia risultino perfettamente compatibili con il nuovo ambiente”.

In modo parallelo, occorre applicare le medesime precauzioni alle attività di migrazione più complesse che riguardano applicazioni, risorse e architetture multilivello, le quali spesso richiedono configurazioni particolari. È altrettanto necessario verificare che vengano aggiornati gli username hardcoded, i nomi distinti e i nomi server. Nel caso in cui l’ambiente di destinazione utilizzi username o server differenti, gli user potrebbero non essere autenticati o le risorse risultare inaccessibili.

Prima dell’attivazione dell’ambiente di destinazione, sono fondamentali test e convalida in modo da garantire il corretto funzionamento dell’ambiente. Anche il monitoraggio continuo è un aspetto fondamentale che deve essere portato avanti poiché consente il rilevamento di accessi non autorizzati, modifiche delle autorizzazioni e comportamenti anomali una volta che la migrazione è stata completata. Allo stesso modo anche i controlli di sicurezza dovranno essere effettuati in modo regolare così come i penetration test.

Infine, ma non meno importante, occorre prevedere la formazione dedicata agli utenti finali, al personale IT e al management. È necessario documentare in modo accurato la nuova struttura del dominio, prevedere la stesura di procedure per gli utenti e gruppi integrandole con tutte le policy di sicurezza.

 

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

LEGGI ANCHE

Gli ultimi articoli