Active Directory (AD) è stato introdotto alla fine degli anni ’90, quando il networking aziendale era ancora agli albori: la virtualizzazione e il lavoro da remoto erano poco diffusi, così come i servizi cloud.
AD è diventato una parte fondamentale dell’infrastruttura di identità delle organizzazioni: gestisce l’autenticazione e l’autorizzazione per la maggior parte delle applicazioni e dei dati on-premise e, tramite la sincronizzazione e federazione con Entra ID, Okta o altri provider di identità cloud (IDP), estende questi stessi controlli anche alle applicazioni e risorse nel cloud.
Oggi, i sistemi di identità AD ed Entra ID sono utilizzati in oltre il 90% delle reti a livello globale. Tuttavia, molti ambienti AD mostrano la loro età. Decenni di debiti tecnologici, di insorgenza di configurazioni e di cambiamenti nelle best practice di sicurezza hanno ampliato la superficie di attacco di AD aprendo la strada agli attaccanti. Sia che si voglia semplificare la gestione di AD che migliorare la sicurezza delle identità, la modernizzazione di Active Directory è un passo fondamentale ma comporta sia rischi che vantaggi.
Indice degli argomenti
Modernizzare Active Directory, una priorità per la sicurezza
AD è il componente che consente agli utenti di accedere in modo sicuro sia alle applicazioni aziendali on-prem che a quelle nel cloud. Per un attaccante è molto più efficace violare AD e poi accedere a un’applicazione cloud come Salesforce, piuttosto che tentare di violare ogni singola applicazione cloud separatamente.
Allo stesso tempo, detenendo di fatto le “chiavi del regno”, AD è profondamente integrato nella maggior parte delle organizzazioni ed è essenziale per tutte le operazioni IT. Se un attaccante ottiene accesso privilegiato ad AD, ottiene anche accesso e controllo su tutte le risorse che da esso dipendono.
Per questi motivi, AD è un obiettivo importante per chi vuole eseguire ricognizioni ed escalation dei privilegi all’interno di una rete compromessa.
Negli ultimi anni, ci sono stati numerosi attacchi informatici ad alto profilo che coinvolgevano AD. Nell’attacco NotPetya del 2017, AD era tra gli obiettivi: la sua cifratura lasciò molte organizzazioni in difficoltà, perché l’accesso ai sistemi, incluso il software di recovery, dipendeva da AD.
Qualche anno dopo, un attacco sofisticato colpì il software di monitoraggio IT di SolarWinds, installando una backdoor nei suoi aggiornamenti, distribuiti poi ai clienti. Anche i sistemi AD furono tra i bersagli, in quanto porta d’accesso a dati e sistemi critici.
Dal momento che AD è una componente essenziale delle infrastrutture IT, il numero di attacchi verso AD è destinato a crescere.
Ridurre la superficie di attacco per abbattere il rischio globale
Alla fine degli anni ’90, le reti erano molto diverse da oggi. I domini AD venivano progettati tenendo conto delle limitazioni di banda e delle problematiche di replica, portando a strutture complesse. Queste complessità, sommate a decenni di modifiche non coordinate e pratiche di sicurezza obsolete, hanno introdotto numerose vulnerabilità.
Inoltre, l’architettura originaria di AD non era pensata per gestire infrastrutture cloud o moderne, rendendo inadeguate le raccomandazioni di sicurezza per le esigenze attuali.
Oggi, nella matrice del rischio informatico, AD è spesso segnato in rosso. I progetti di modernizzazione ne riducono il profilo di rischio e la complessità, eliminando sistematicamente vulnerabilità che gli attaccanti sfruttano per compromettere interi sistemi.
In molte organizzazioni, permangono trust ereditati da fusioni, che espongono ulteriori rischi. La modernizzazione permette di implementare controlli di autorizzazione più robusti e centralizzare la gestione della rete. Semplificando l’ambiente tramite il consolidamento, la modernizzazione può anche ridurre i costi di gestione e migliorare l’esperienza utente.
Sfide di sicurezza nei domini e foreste multiple
Una foresta è un insieme di domini. Ogni dominio è un gruppo logico di oggetti (utenti, gruppi, computer, stampanti, ecc.) gestito dallo stesso team amministrativo.
Quando AD fu introdotto, era comune avere più domini all’interno di una foresta, con la convinzione (errata) che ogni dominio rappresentasse un confine di sicurezza indipendente.
Oggi sappiamo che non è così. In un ambiente con più domini, in cui i sistemi di autenticazione di due domini sono collegati da relazioni di fiducia, un attaccante con accesso admin a un dominio a basso livello di fiducia può sfruttare la relazione di fiducia per accedere a un dominio a fiducia più alta.
Oltre a ciò, avere più domini comporta sfide gestionali che portano a esposizioni di sicurezza evitabili.
Importanza del consolidamento delle foreste in active directory
Per permettere agli utenti di una foresta di accedere alle risorse di un’altra, viene creata una relazione di fiducia tra le due, così da garantire un’esperienza fluida di autenticazione e autorizzazione.
Gli ambienti multi-foresta rappresentano un’esposizione significativa. Spesso si formano nel tempo, in particolare dopo fusioni o acquisizioni.
Una delle principali vulnerabilità sta proprio nelle relazioni di fiducia tra le foreste. Se la foresta meno sicura viene compromessa, l’attaccante può usare la fiducia per accedere ad ambienti più sensibili. È stato dimostrato che, ad esempio, un amministratore di una foresta può compromettere risorse in un’altra foresta legata da una relazione di fiducia bidirezionale.
Consolidare quante più foreste possibile in una sola riduce la superficie d’attacco, semplifica l’ambiente, e limita le opportunità per gli attaccanti di muoversi inosservati.
Inoltre, la semplificazione riduce i costi di gestione, liberando risorse IT impegnate nella gestione di ambienti distribuiti e complessi.
Rischi di sicurezza nelle fusioni aziendali
Storicamente, le M&A hanno portato alla creazione di relazioni di fiducia tra foreste per permettere alle aziende unite di condividere facilmente risorse. Ma, come detto, più foreste significano più complessità. Più complessità significa più risorse IT necessarie, meno efficienza operativa e maggior rischio di sicurezza.
Gli ambienti multi-foresta spesso soffrono di efficienza ridotta, con policy ridondanti, maggiore difficoltà nella pulizia di account/oggetti e isolamento degli asset. Non è raro che i progetti di migrazione restino incompleti: gli utenti risultano migrati, ma applicazioni e database restano ancora nella foresta originale, richiedendo così relazioni di fiducia potenzialmente pericolose da mantenere a lungo.
Anche il rischio di sicurezza aumenta, specie se si connette una foresta più debole. E talvolta le acquisizioni possono aumentare anche il rischio di attacchi interni, specie in contesti di stress, incertezza o licenziamenti, proprio quando la postura di sicurezza è abbassata per favorire l’integrazione dell’azienda acquisita.
È essenziale monitorare continuamente l’ambiente AD durante la migrazione, rilevando accessi non autorizzati, modifiche ai permessi o attività anomale.
Strategie per una modernizzazione sicura di Active Directory
Durante la migrazione, la sicurezza deve essere la stella polare. Ogni passo dovrebbe essere fatto tenendo come priorità assoluta la protezione dell’ambiente.
Prima di iniziare la migrazione, occorre valutare la sicurezza dell’AD di origine e seguire framework consolidati come MITRE ATT&CK per identificare e risolvere vulnerabilità (password deboli, sistemi non protetti, ecc.).
Esistono poi strumenti gratuiti come Purple Knight o Forest Druid che possono aiutare in questa fase. È anche utile rimuovere i privilegi dagli account rischiosi prima della migrazione.
Durante la migrazione, è necessario tracciare tutte le modifiche nelle foreste di origine e destinazione, ed essere pronti a ripristinare rapidamente modifiche non intenzionali.
Un ambiente in transizione è terreno fertile per gli attaccanti, quindi, la protezione in questa fase è fondamentale.
Dopo la migrazione, occorre continuare a monitorare l’ambiente di destinazione per garantirne la sicurezza e rimuovere le foreste non più necessarie (dopo il backup).
Anche l’attributo SID History va rimosso poiché rappresenta un rischio di sicurezza, ma deve poter essere ripristinabile rapidamente se necessario.
Modernizzazione di Active Directory e conformità normativa
Il monitoraggio e la protezione di Active Directory sono importanti non solo per la difesa informatica. Active Directory è una fonte vitale di informazioni per le normative di conformità che richiedono audit trail e prove dei controlli di accesso e delle policy sui dati sensibili. Una solida strategia di monitoraggio della sicurezza di Active Directory fornisce informazioni importanti ai fini della conformità.
