Le aziende che iniziano a concentrarsi sulla protezione della directory attiva si faranno un grande favore, ha sottolineato Derek Melber nella sua sessione di InfoSec World 2020 di martedì pomeriggio, "Nuovi schemi di attacco: prendere di mira le chiavi del Regno".
"Gli aggressori stanno inseguendo direttamente il core IAM (Identity and Access Management) per quasi il 95 percento del mondo: Active Directory", ha sottolineato Melber, direttore tecnico per il Nord America ad Alsid, in un'anteprima della sua sessione.
Le organizzazioni in genere non sono preparate per il modo in cui gli attaccanti stanno cambiando i loro attacchi e nel frattempo cercano di proteggere i loro ambienti dagli attacchi tradizionali, motivo per cui coloro che sono incaricati di proteggere le chiavi del regno devono ora modificare le loro strategie di sicurezza.
"Gli aggressori stanno ora esaminando più a fondo le configurazioni di oggetti e attributi per sfruttare l'accesso e la funzionalità grezzi all'interno di Active Directory (AD)", ha detto Melber. La realtà è che molti attacchi aggirano la registrazione degli eventi e sembrano accessi di routine, ha aggiunto.
Ha sottolineato che l'Active Directory è stato costruito su concetti e architettura non sicuri e sulla fiducia di chi lo sta usando. Nel frattempo, gli aggressori vogliono eseguire azioni che assomigliano alla gestione di annunci standard.
Poiché gli aggressori generalmente rientrano in categorie – addetti ai lavori e outsider – i loro approcci per entrare nella rete sono diversi, ed entrambi di solito non hanno problemi a ottenere l'accesso in lettura AD, ha osservato Melber, il vincitore MVP per 15 volte sia in Active Directory che in Criteri di gruppo.
Gli addetti ai lavori hanno un tempo più facile ottenere l'accesso alla rete, ma una volta che gli estranei riescono a superare l'accesso agli endpoint, che è facilmente ottenibile attraverso schemi di phishing, l'AD è suscettibile di furti, ha detto.
Naturalmente, gli aggressori bramano sempre i privilegi che derivano dall'appartenenza al gruppo, dalle autorizzazioni / ACL (Elenco controllo accessi), dai diritti degli utenti e da coloro che impersonano utenti legittimi.
"Il Cyber Killchain Framework è un gap di sicurezza che ha ricevuto troppa poca attenzione", ha affermato Melber. Sono in gioco l'escalation dei privilegi locali per le credenziali e l'AD, movimenti laterali non rilevati, backdooring, manomissione delle risorse aziendali ed esfilitrazione mediante tunnel del canale laterale.
Non proteggere gli annunci pubblicitari va di pari passo con il lasciare la tua organizzazione suscettibile agli attacchi di ransomware, sottolinea, citando il malware RYUK in attesa di essere eliminato fino a quando una configurazione errata di annunci pubblicitari mesi dopo.
I SIEM e il monitoraggio degli annunci pubblicitari, benché bravi nel riferire la conformità e i dirigenti che fanno richieste di budget, non riescono a bloccare gli attacchi perché si basano sui registri degli eventi e l'evento viene completato al momento della pubblicazione dell'avviso. "Non puoi vedere eventi che non sono registrati, ha detto Melber, aggiungendo che ci sono troppi eventi per consentire al sistema di consumarli in modo efficiente. Mentre gli attacchi possono innescare avvisi, possono apparire normali o ritardare. "È necessaria una notifica immediata per annullare un attacco", ha detto.
Il post Melber di Alsid sollecita la protezione di Active Directory a respingere nuovi schemi di attacco apparsi per primi su SC Media .