Ormai è risaputo che i cyberattaccanti considerano Active Directory il vostro obiettivo preferito. AD - il principale negozio di identità per il 90% per le aziende di tutto il mondo è stato creato per un'efficiente autenticazione degli utenti e per la gestione degli accessi., ma molti ambienti AD locali legacy presentano dei bug pericolosi errori di configurazione accumulati nel tempo. Sfruttando le lacune della sicurezza AD, gli aggressori possono prendere il controllo della rete, potenzialmente paralizzando le operazioni dell'azienda.
Ciò che è meno conosciuto sono le complicazioni inerenti alla protezione di un ambiente AD ibrido che include sia l'AD on-prem che Entra ID (ex Azure AD), che è il caso della maggior parte delle aziende. In un ambiente di identità ibrido, la superficie di attacco si espande e molte organizzazioni non dispongono degli strumenti e delle competenze necessarie per proteggersi efficacemente dai comportamenti dannosi.
Approfondiamo le implicazioni di sicurezza, spesso trascurate, della gestione delle risorse di identità attraverso AD ed Entra ID e come colmare queste lacune con Semperis Disaster Recovery for Entra Tenant (DRET), che abbiamo rinnovato con nuove funzionalità.
1. Gli errori di configurazione dell'Entra ID causano problemi di sicurezza
Come per l'AD on-premise, Entra ID può essere afflitto da innumerevoli configurazioni errate che si sono accumulate nel tempo ed espongono le organizzazioni ad attacchi. Le configurazioni che si discostano dalle politiche dell'organizzazione possono avere conseguenze indesiderate, avere un impatto sulla sicurezza e sull'interazione con gli utenti e persino portare a un denial of service.
Nel rapporto 2023 Cavaliere Viola in cui sono stati intervistati gli utenti dello strumento di valutazione della sicurezza guidato dalla comunità Semperis, 55% delle organizzazioni hanno dichiarato di aver riscontrato 5 o più vulnerabilità di sicurezza nei loro ambienti Entra ID. Questi indicatori includevano gruppi privilegiati contenenti un account ospite, utenti o dispositivi inattivi da più di 90 giorni e molteplici indicatori relativi a criteri di accesso condizionato mal configurati.
2. Il cestino di Entra ID non ti salverà
Sebbene il cestino di Entra ID possa proteggere da alcuni sfortunati errori, la sua potenza è limitata. Gli utenti, i gruppi e le applicazioni di Microsoft 365 che sono stati eliminati in modo permanente possono essere recuperati dal cestino entro 30 giorni. Tuttavia, molti altri tipi di oggetti vengono eliminati immediatamente e non possono essere ripristinati.
In un caso di cui siamo a conoscenza, più di 1.600 service manager sono stati accidentalmente rimossi da Entra ID, causando la disattivazione delle applicazioni line-of-business. L'organizzazione è stata costretta a ricreare manualmente queste applicazioni in Entra ID e gli amministratori hanno lavorato 24 ore su 24 per 28 giorni per ripristinare tutti i servizi. Un altro inconveniente del cestino di Entra ID è che è utile solo in caso di eliminazione: è inutile se gli oggetti vengono modificati.
3. La mancanza di comprensione del modello di responsabilità condivisa IdP lascia lacune nella sicurezza
In qualità di identity provider (IdP) per Entra ID, Microsoft fornisce diverse funzionalità per aiutarvi a prepararvi a un incidente di sicurezza, come le funzionalità di gestione dell'identità e dell'accesso (IAM), gli strumenti per la documentazione, la disponibilità e la coerenza dei registri e la sicurezza della piattaforma. Se è necessario recuperare da modifiche o cancellazioni dolose o non intenzionali, Microsoft fornisce anche la disponibilità limitata nel tempo delle risorse eliminate dal software (il cestino) e la disponibilità delle API.
Ma per prepararsi a un incidente, come cliente siete responsabili della pianificazione di emergenza, della documentazione degli stati noti, del monitoraggio e della conservazione dei dati e della sicurezza operativa. In caso di attacco, è necessario essere in grado di ripristinare le risorse eliminate da mezzi fisici e virtuali, le configurazioni precedenti e le risorse non configurate correttamente. Senza un piano collaudato, un attacco all'Entra ID potrebbe lasciarvi in balia della ricostruzione di queste risorse, un processo che in genere richiede giorni o settimane per la maggior parte delle organizzazioni.
4. Gli aggressori prendono di mira Inserisci ID
L'aumento degli attacchi che prendono di mira Entra ID dovrebbe far suonare un campanello d'allarme in tutte le organizzazioni con un ambiente di identità ibrido, come spesso accade. (Secondo il rapporto Semperis Valutazione delle soluzioni di rilevamento e risposta alle minacce all'identità80% delle organizzazioni utilizzano un sistema di identità ibrido che comprende sia AD on-prem che Entra ID). Come nel caso delle famigerate violazioni di Kaseya e SolarWinds, i criminali informatici sfruttano le debolezze di sicurezza dei sistemi di identità ibridi entrando nel cloud e passando al sistema di identità on-premise, o viceversa.
Uno dei bersagli preferiti dagli aggressori informatici è il servizio cloud che le organizzazioni tendono ad adottare per primo e più rapidamente: Microsoft 365. I ricercatori di Mandiant ha segnalato un aumento degli incidenti che coinvolgono Microsoft 365 ed Entra ID, perlopiù legati ad attività di phishing che hanno indotto gli utenti a condividere le proprie credenziali di Office 365. I ricercatori di Mandiant hanno anche osservato che gli aggressori utilizzano AADInternals, un modulo PowerShell che consente loro di navigare dall'ambiente AD on-prem a Entra ID, dove possono creare backdoor, rubare password e stabilire la persistenza.
Colmare le lacune di sicurezza dei sistemi di identità nel cloud
Partendo dalla nostra solida base di fornitura di soluzioni complete di sicurezza e ripristino per l'AD, Semperis Disaster Recovery per Entra Tenant (DRET) affronta gli ovvi rischi per la sicurezza che abbiamo osservato in molti ambienti AD ibridi. DRET riprende il discorso dal cestino di Entra ID, fornendo resilienza alle risorse critiche di Entra ID e garantendo un'archiviazione sicura e una gestione flessibile dei dati di Entra ID.
Ecco una breve panoramica di come DRET può aiutarvi a prepararvi e a riprendervi da modifiche dannose o indesiderate al vostro Tenant Entra ID:
- Recuperare gli oggetti utente eliminati
- Recuperare i gruppi di sicurezza
- Recupera i criteri di accesso condizionato
- Consente il restauro selettivo di singoli oggetti
- Restauro di massa di più oggetti
- Conservare più versioni di backup
- Offre un'archiviazione sicura (conforme a SOC 2 Type II e certificata ISO 27001) per i dati Entra ID con l'opzione di crittografia BYOK (Bring Your Own Key).
- Offre una scelta di data center Microsoft Azure negli Stati Uniti, nell'UE o in Australia.
Data la crescente diffusione degli attacchi ai sistemi di identità ibridi, garantire la recuperabilità delle risorse Entra ID è oggi una priorità per molte organizzazioni. Disaster Recovery for Entra Tenant vi aiuta a raggiungere questo obiettivo fornendo backup e ripristino sicuri e affidabili per i vostri dati Entra ID critici, eliminando i fastidiosi problemi di gestione dello storage e garantendo un rapido ripristino dopo un attacco.
UKOTEK - distributore di fiducia di SEMPERIS in Spagna
Con oltre 20 anni di esperienza nel settore della cybersecurity, il team di Ukotek assiste le organizzazioni nell'implementazione di soluzioni avanzate per proteggere i loro asset digitali e garantire la loro continuità operativa.
Siamo specializzati nella fornitura di tecnologie innovative che proteggono le aziende dalle minacce informatiche in continua evoluzione. Il nostro team di esperti fornisce consulenza e assistenza tecnica personalizzata per garantire a ogni cliente una protezione ottimale.
Offriamo soluzioni scalabili adattate alle esigenze di ogni organizzazione.
Vorrei ricevere ulteriori informazioni su Semperis
Articolo di partenza e altre risorse: https://www.semperis.com/es/blog/4-reasons-to-increase-recoverability-of-entra-id-resources/
