Gestire correttamente i privilegi in Entra ID è essenziale per proteggere gli ambienti cloud e ibridi dalle minacce informatiche. Errori comuni nella configurazione degli accessi possono compromettere l’intera infrastruttura aziendale, facilitando movimenti laterali e attacchi ransomware.
Indice degli argomenti
Il ruolo della gestione privilegi Entra ID negli attacchi moderni
SolarWinds, Colonial Pipeline, Hafnium Exchange. Cosa hanno in comune questi attacchi?
Oltre a essere tra gli attacchi informatici più noti degli ultimi anni, queste violazioni segnalano un cambiamento nel percorso di attacco degli hacker.
Le minacce informatiche prendono sempre più di mira gli ambienti cloud, in particolare Microsoft Entra ID (precedentemente noto come Azure AD), per poi spostarsi su Active Directory (AD) on-premises, o viceversa.
In quanto principale archivio di identità per ambienti cloud e ibridi, Entra ID è diventato un obiettivo primario per gli attaccanti. Spesso, un attore malevolo utilizza account con privilegi bassi o nulli per muoversi lateralmente nella rete, cercando una vulnerabilità che gli permetta di ottenere privilegi più elevati. Maggiore è il livello di privilegio, maggiore è il potenziale di abuso ed exploit. Questo metodo, comunemente usato dagli operatori di ransomware, è efficace sia per le identità cloud che per AD. Anche gli attacchi mirati di phishing contro utenti con privilegi elevati, come gli amministratori globali, rappresentano una preoccupazione costante.
L’impatto della scarsa gestione dei privilegi nella sicurezza
Purtroppo, troppo spesso le organizzazioni implementano controlli deboli sulle identità. Secondo Microsoft, controlli insufficienti sugli accessi privilegiati e sui movimenti laterali hanno contribuito al 93% degli interventi di risposta agli incidenti ransomware.
Per migliorare i controlli di sicurezza occorre iniziare dall’identificare gli errori più comuni commessi dalle aziende.
I tre errori che rendono Entra ID vulnerabile agli attacchi e come evitarli
Vediamo i tre principali fattori che rendono Entra ID vulnerabile agli attacchi:
Troppi amministratori globali e privilegi permanenti: un rischio evitabile
Gli amministratori globali hanno accesso completo alle risorse di Entra ID, Microsoft 365 e Azure collegati al tenant Entra, e possono gestire tutti gli aspetti amministrativi. Tuttavia, nella maggior parte dei casi, questi amministratori non necessitano di tale livello di accesso nel 90% del loro tempo, rendendo i loro account un obiettivo particolarmente appetibile per gli hacker.
Spesso, dirigenti di alto livello o CTO ricevono privilegi di accesso globale per via della loro posizione aziendale, ma non utilizzano mai realmente questi privilegi. Inoltre, dipendenti che necessitano di privilegi estesi per un determinato progetto o attività ottengono diritti amministrativi, ma nessuno si preoccupa di revocarli una volta terminato il loro compito. Più persone hanno accesso illimitato, maggiore diventa la superficie di attacco dell’organizzazione.
Microsoft raccomanda che ogni azienda abbia meno di cinque amministratori globali, indipendentemente dalle dimensioni. In alcuni casi, potrebbe essere necessario concedere accesso amministrativo a più utenti, ma questo dovrebbe essere limitato a periodi specifici tramite controlli di accesso basati sul tempo, che concedono privilegi per un’ora, un giorno o una settimana e li revocano automaticamente al termine del periodo stabilito.
Oltre a mantenere un numero minimo di utenti privilegiati, rivedere regolarmente i privilegi e rimuovere gli accessi elevati non necessari limita le opportunità per gli attaccanti di ottenere un accesso più ampio. Anche se gestire gli utenti privilegiati è un compito dispendioso e alcuni potrebbero opporsi alla perdita di privilegi, è essenziale per ridurre il rischio aziendale.
La separazione dei privilegi come strategia difensiva
Separare i privilegi è un altro modo per ridurre la superficie di attacco, assegnando agli utenti set di privilegi separati per ciascun account e richiedendo loro di accedere con account diversi a seconda del lavoro che devono svolgere.
Ad esempio, un membro del team di sicurezza potrebbe avere un account amministrativo in Entra ID, ma non ha bisogno di privilegi amministrativi in Office 365. Oppure potrebbe avere un account di amministratore globale che non gli serve mentre lavora su altri sistemi che gestisce o, peggio, mentre svolge attività quotidiane che non richiedono alcun privilegio. Tuttavia, molte organizzazioni non separano ancora i privilegi in base a questi criteri.
Separando i privilegi, a partire da chi ha accesso amministrativo globale in un determinato ambiente, le aziende riducono il rischio di abuso dei diritti amministrativi, aggiungendo un livello critico alla strategia di difesa a più livelli. Se un account senza privilegi viene compromesso, la capacità dell’attaccante di muoversi lateralmente e accedere a sistemi critici o dati è limitata, se non del tutto impedita. Al contrario, se un utente connesso come amministratore clicca su un’email di phishing e l’attaccante ottiene i suoi token di accesso, quest’ultimo acquisisce automaticamente quei privilegi amministrativi. Se lo stesso utente cliccasse sulla stessa email mentre utilizza un account senza privilegi, la capacità dell’attaccante di muoversi nel cloud sarebbe significativamente ridotta.
Sfruttare i ruoli in Entra e assegnare potenzialmente gruppi ai ruoli può semplificare la gestione dei ruoli privilegiati. Inoltre, strumenti come la gestione delle identità privilegiate (PIM) possono aiutare a gestire il ciclo di vita degli utenti privilegiati, mentre gli utenti senza privilegi sono gestiti dai normali processi aziendali, generalmente regolati dai sistemi HR. Questa separazione aiuta anche a proteggersi dagli account inutilizzati che, se trascurati dopo che un dipendente lascia l’azienda, possono diventare una via d’accesso per gli attaccanti.
Utenti ibridi privilegiati e sincronizzazione tra AD e cloud
Questo problema è spesso legato alla separazione dei privilegi. Le organizzazioni sono spesso tentate di assegnare account altamente privilegiati, come gli amministratori globali, direttamente da Active Directory. Tuttavia, se questi account sono sincronizzati, gli attaccanti possono sfruttare un compromesso su AD per ottenere l’accesso all’ambiente cloud. Poiché i ruoli e gli utenti privilegiati di Entra non hanno un corrispettivo privilegiato nativo in AD, le organizzazioni finiscono per creare un percorso aggiuntivo e superfluo che complica inutilmente la protezione di questi account.
Mantenere separati gli account AD e Entra aiuta a ridurre l’impatto di un attacco su uno dei due ambienti. Inoltre, monitorare continuamente le attività sospette in entrambi i tipi di account aiuta a rilevare e bloccare azioni malevole, come modifiche non autorizzate ai membri di account e gruppi privilegiati.
Poiché gli utenti privilegiati hanno accesso ai dati e ai servizi più critici di un’azienda, rappresentano un bersaglio primario per gli attaccanti. La mancata gestione efficace dei privilegi di accesso in Entra ID può esporre l’organizzazione a una serie di rischi di sicurezza che potrebbero portare alla compromissione dell’intero ambiente.
Le aziende che non hanno una visione chiara dei privilegi assegnati ai loro utenti si espongono inutilmente agli attacchi. Dando priorità alla gestione di Entra ID e applicando rigorosamente il principio del minimo privilegio in tutta l’azienda, le organizzazioni possono aumentare significativamente il livello di difficoltà per gli attaccanti.
