Lo scorso anno Gartner ha introdotto una nuova categoria nella tassonomia della soluzioni di sicurezza: Identity Threat Detection and Response, o ITDR. Nella categoria rientrano quelle soluzioni che servono a rilevare e mitigare gli attacchi che puntano ad alterare o cancellare i sistemi aziendali che si occupano di gestire l’identità degli utenti e i permessi a essi attribuiti, primo su tutti Microsoft Active Directory, che è utilizzato come fonte primaria delle identità dal 90 percento delle aziende.

Coley Burke, Chief Revenue Officer di Semperis

Coley Burke, Chief Revenue Officer di Semperis

Un attacco portato ad Active Directory è particolarmente grave, innanzi tutto perché AD è “il fulcro attorno a cui ruota tutta la sicurezza, dall’endpoint alla rete”, afferma Coley Burke, Chief Revenue Officer di Semperis, azienda specializzata in soluzioni di detection and response di minacce ad Active Directory. In secondo luogo, perché un danneggiamento ad Active Directory è lungo e complicato da ripristinare, andando a compromettere la capacità stessa dei tecnici di accedere a rete e sistemi per poter intervenire. “Nelle aziende in cui Active Directory viene usata anche per autorizzare gli accessi fisici a uffici e data center, il personale potrebbe essere addirittura bloccato fuori dagli edifici”, sottolinea Burke.

E l’eventualità che un attacco alteri o comprometta Active Directory non è affatto remota: il 90 percento degli attacchi ransomware sfruttano in qualche modo un abuso di AD.

Protezione di Active Directory: le soluzioni di Semperis

Le soluzioni Semperis promettono di proteggere Active Directory in tre diverse fasi:

  • Protezione preventiva, attraverso un assessment della situazione attuale, evidenziando possibili problemi di configurazione. Questo è possibile in modo puntuale anche con il tool Purple Knight, gratuito nella versione Community, che effettua una fotografia della configurazione AD spiegando in modo comprensibile gli eventuali problemi rilevati;
  • Rilevamento e risposta alle minacce, identificando modifiche o anomalie e lanciando segnali di allarme, che possono essere convogliati in una console SIEM, ma anche intervenendo automaticamente per annullare modifiche dannose;
  • Ripristino post attacco in tempi rapidi (“ci sono molte soluzioni di backup per AD – afferma Burke – ma il semplice fatto di avere un backup non garantisce di poter effettuare un restore della funzionalità in tempi compatibili con le SLA”) e verifica dell’effettiva integrità della directory ripristinata.

L’approccio di Semperis prevede di identificare gli asset più strategici e poi analizzare quali connessioni questi hanno con altri sistemi o utenti, per costruire le difese dal cuore dei sistemi verso la periferia, e non il contrario.

La piattaforma Semperis si può integrare con soluzioni Zero Trust, ma opera come livello ulteriore e fondamentale: “Crediamo che Zero Trust non possa sostituire una gestione di base dell’identità, che deve essere il fondamento attorno a cui costruire la difesa”, afferma Burke.

(Immagine di apertura: monticello / Shutterstock.com)