Difendersi dagli attacchi ad Azure AD con la protezione dell’identità
Indice dell'articolo
Fino a non molto tempo fa, la protezione dell’accesso alla rete era il punto focale della difesa per i team di sicurezza. Potenti firewall assicuravano che gli aggressori venissero bloccati all’esterno ed erano la difesa definitiva: nessuno dei malintenzionati poteva accedere. Finché non è successo. Con l’avvento del cloud computing, il margine di una rete (edge) non è più protetto da un firewall. Anzi, a dirla tutta la rete non ha più un margine, visto che nel nostro ambiente di lavoro da qualsiasi luogo non possiamo più fare affidamento sui meccanismi di protezione tradizionali. La sicurezza è diventata più legata alla protezione dell’identità che della rete stessa.
Microsoft ha discusso alcune tendenze nella protezione dell’identità di Azure Active Directory (Azure AD) in un recente approfondimento, in cui ha sottolineato come oggi molte sequenze di attacco partano dall’individuo nel tentativo di ottenere un punto d’appoggio nell’organizzazione, per poi lanciare ransomware o altri attacchi.
Le password sono ancora il punto debole della sicurezza
Come osserva Alex Weinert, vicepresidente di Microsoft per la sicurezza delle identità, le password sono ancora il tallone d’Achille della sicurezza, con tre principali tipi di sequenze di attacco in gioco:
- Password spray: indovinare password comuni per molti account
- Phishing: convincere qualcuno a digitare le proprie credenziali su un sito web falso o in risposta a un testo o a un’e-mail
- Breach replay: basarsi sul riutilizzo pervasivo delle password per prendere le password compromesse su un sito e provarle su altri
Un tempo gli aggressori cercavano i punti deboli di una rete, mentre ora cercano i punti deboli dell’autenticazione e della protezione. Riutilizziamo troppo spesso le password e gli aggressori lo sanno, quindi prendono una password da un database precedentemente violato e cercano di utilizzarla in un altro luogo. Sebbene la maggior parte degli attacchi alle password riguardi gli account che non dispongono dell’autenticazione a più fattori (MFA), gli attacchi più sofisticati stanno prendendo di mira l’MFA. Quando avviene ciò, gli aggressori cercano di ottenere i seguenti risultati:
- SIM-jacking e altre vulnerabilità della telefonia
- Attacchi di MFA hammering
- Attacchi Adversary-in-the-middle, che ingannano gli utenti per farli interagire con l’MFA
Abbandonare l’MFA e proteggere le password
Per difendersi da questi tre attacchi, Microsoft raccomanda di abbandonare l’MFA e di aumentare la protezione delle password. Gli aggressori sanno che a causa della cosiddetta “stanchezza da autenticazione” possiamo essere indotti a inserire le password in siti che simulano le nostre normali piattaforme di autenticazione. L’affaticamento da password è uno dei motivi per cui Microsoft sta modificando le impostazioni predefinite della sua applicazione di autenticazione in modo da ottenere una corrispondenza numerica piuttosto che un semplice “pop” di autenticazione da approvare.
Recentemente è stato pubblicato un utile approfondimento che illustra i diversi tipi di attacchi e le tecniche di rimedio. Come fa notare Microsoft, uno degli attacchi (pass-the-cookie) è simile agli attacchi pass-the-hash o pass-the-ticket in Azure AD. Dopo l’autenticazione ad Azure AD tramite un browser, viene creato e memorizzato un cookie per quella sessione.
Se un aggressore riesce a compromettere un dispositivo e a estrarre i cookie del browser, può passare quel cookie in un browser web separato su un altro sistema, aggirando così i punti di controllo della sicurezza lungo il percorso. Gli utenti che accedono alle risorse aziendali su dispositivi personali sono particolarmente a rischio, poiché spesso questi dispositivi hanno controlli di sicurezza più deboli rispetto a quelli gestiti dall’azienda e il personale IT non ha visibilità su questi dispositivi per determinare la compromissione.
Verificare chi può accedere ai vostri sistemi
Quando si elabora una revisione della protezione MFA, è importante considerare chi avrà accesso a quali sistemi ed eseguire revisioni gerarchiche dei vostri account. Per prima cosa, esaminate i vostri utenti e segmentateli in base al rischio e a ciò a cui hanno accesso; gli aggressori spesso prendono di mira un utente specifico o qualcuno nella sua area di lavoro. Ad esempio, LinkedIn è spesso utilizzato per identificare le connessioni tra i dipendenti di un’azienda, quindi dovete essere consapevoli di queste relazioni e individuare le risorse adeguate per proteggere le persone chiave.
In genere le aziende distribuiscono i computer per soddisfare le esigenze di un lavoro, non in base ai rischi inerenti a un ruolo, e distribuiscono le postazioni di lavoro in base al budget. Ma cosa succederebbe se doveste tornare indietro e rivedere la vostra rete in base a come la vede un aggressore? Windows 11 richiede un hardware aggiuntivo proprio per proteggere meglio i login basati sul cloud. Il modulo Trusted Platform (TPM) viene utilizzato per proteggere e rendere più sicure le credenziali utilizzate su un computer.
Ma se non avete implementato un hardware in grado di supportare Windows 11 o, cosa altrettanto importante, non vi siete assicurati di avere una licenza adeguata per ottenere i vantaggi di Windows 11 per questi ruoli chiave, potreste trovarvi nella situazione di non poter proteggere la vostra rete in modo adeguato.
Come difendere Azure AD dagli attacchi
La protezione di una rete dagli attacchi di tipo Azure AD inizia assicurandosi di aver configurato le impostazioni in modo appropriato. Mentre gli autori di un recente post su GitHub hanno stilato un elenco di configurazioni, a nostro avviso bisogna cominciare da un concetto molto semplice: smettere di distribuire le workstation con diritti di amministratore locale e unirsi direttamente all’Azure AD.
Come passi successivi, ecco alcune mitigazioni consigliate dagli autori del post:
- Creare regole di riduzione della superficie di attacco (ASR) in Microsoft Intune per proteggere il processo LSAAS
- Implementare Microsoft Defender for Endpoint per ricevere avvisi automatici in caso di rilevamento di attività o strumenti sospetti
- Impedire agli utenti di intraprendere azioni come disattivare la protezione da virus e minacce, la protezione fornita dal cloud, le azioni automatiche contro le minacce rilevate, il monitoraggio del comportamento o la rimozione degli aggiornamenti delle informazioni sulla sicurezza
- Creare un criterio di conformità del dispositivo per richiedere Microsoft Defender Antimalware e Defender Real-time Protection e applicare immediatamente il controllo di conformità
- Richiedere un punteggio minimo di rischio macchina nei criteri di conformità dei dispositivi senza un lungo periodo di tolleranza
- Utilizzare un attributo univoco per il dispositivo che verrà aggiornato non appena un endpoint verrà inserito o disinserito. Questo attributo può essere utilizzato come filtro di gruppo dinamico per creare un’assegnazione per il criterio di conformità del dispositivo che richieda un punteggio di rischio della macchina. In caso contrario, la conformità del dispositivo fallirà
- Monitorare attivamente i vostri endpoint per rilevare strumenti dannosi per il furto di credenziali come Mimikatz e AADInternals
- Ricorrere ad Azure Sentinel per “isolare il dispositivo” se viene rilevata un’attività sospetta