Negli ultimi 20 anni il mondo degli amministratori di Microsoft Active Directory (AD) ha subito grandi cambiamenti, sia per l’aumento delle applicazioni cloud sia per l’evoluzione del panorama delle minacce.
Come in qualsiasi altro settore IT, l’impulso e la curiosità di ampliare le proprie competenze per rimanere al passo con le tecnologie emergenti sono qualità importanti che non dovrebbero mai mancare agli amministratori di Active Directory.
Dopo due decenni, sostanzialmente dedicati ai sistemi, agli utenti e alle applicazioni on-premise, la maggior parte degli amministratori di AD è oggi responsabile dell’integrazione cloud e di garantire l’accesso protetto a un ambiente in cui il tradizionale perimetro di rete non esiste più. Le loro attività si svolgono mentre gli hacker utilizzano strumenti di attacco sempre più sofisticati per approfittare degli errori di configurazione di AD e delle vulnerabilità di Windows, prendendo di mira le credenziali degli utenti e tentando di ottenere e consolidare una presenza persistente nei sistemi locali.
Alla luce di queste circostanze, i responsabili tecnologici riconoscono l’importanza della cooperazione tra i team che si occupano di sicurezza e di identità per garantire l’accesso sicuro dell’utente nell’era del cloud computing e del telelavoro sempre più diffuso.
In futuro, gli esperti di AD dovranno assumere un ruolo più attivo nei dibattiti inerenti la sicurezza. È una prassi ancora poco diffusa, ma poiché AD continua a costituire un obiettivo prioritario per i criminali informatici, per gli amministratori di AD è il momento di contribuire con la loro esperienza alle attività di sicurezza aziendale. L’identità assume un ruolo sempre più cruciale nelle strategie di sicurezza delle aziende e aumenta anche il coinvolgimento degli amministratori di AD nelle decisioni in merito; pertanto, chi amplierà le proprie competenze e conoscenze rappresenterà un maggior valore per l’azienda.
Il cambiamento è un’opportunità
Sotto molti aspetti, AD non è stata concepita per far fronte alle odierne sfide alla sicurezza, e non mi riferisco solo alle vulnerabilità come quelle sfruttate dagli attacchi Zerologon dello scorso anno. Nei loro attacchi, gli hacker approfittano anche dei protocolli incorporati nel sistema operativo Windows e nell’architettura stessa di AD.
A ciò si aggiunge il problema del ransomware. Negli attacchi ransomware registrati negli ultimi anni sono state utilizzate tecniche APT (Advanced Persistent Threat, minacce persistenti avanzate), come quelle fornite da strumenti quali BloodHound e Mimikatz, per svolgere attività di ricognizione e di furto delle credenziali. Nel 2020 un particolare tipo di ransomware ha sfruttato la condivisione SYSVOL nei controller di dominio di AD come veicolo per diffondere il malware nell’ambiente di destinazione.
In passato, i piani di ripristino di AD erano sostanzialmente incentrati su eventi come calamità naturali, guasti della rete elettrica o errori amministrativi. Oggi, di fronte all’eventualità che il ransomware interrompa ogni attività in ambito IT, le aziende devono essere pronte ad affrontare situazioni più plausibili, ad esempio un attacco che imponga il ripristino di AD da zero.
L’identità prima di tutto
I confini del tradizionale perimetro di rete sono oggi meno marcati a causa degli utenti mobili e del cloud computing. L’unico punto di controllo tra utenti, azioni e risorse di rete è l’identità. L’identità digitale incide su tutti gli aspetti dell’azienda moderna e per svolgere la propria mansione, ogni utente deve accedere ai sistemi e alle applicazioni appropriate. Controllare la sicurezza degli accessi, tuttavia, non è solo una questione di produttività. Autorizzazioni eccessive, password deboli e altri potenziali problemi possono causare violazioni dei dati, infezioni da malware, danni finanziari importanti e notti insonni per i responsabili IT e aziendali.
Con l’espansione dell’ecosistema delle applicazioni cloud utilizzate dal personale, gestire le integrazioni necessarie per AD diventa più complicato, e non solo per il team che si occupa delle identità. Anche l’estensione dei criteri di sicurezza e di accesso da AD on-premise ad AD nel cloud costituisce un problema di sicurezza. Per gli amministratori di AD abituati a un modello di autorizzazione per gli ambienti on-premise, il cambio di attitudine che implica l’integrazione di AD on-premise con Azure Active Directory (AAD) può risultare sgradito.
Come sempre accade, però, i cambiamenti portano con sé delle opportunità. Per chi è orientato alla trasformazione digitale, è di cruciale importanza capire i nuovi rischi a cui far fronte e il ruolo che occupa AD nel rompicapo della sicurezza. Gli amministratori dell’identità che, grazie alla propria esperienza, possono prendere parte alla discussione con il team della sicurezza o con la dirigenza saranno nella posizione migliore per dare il loro apporto al piano di sicurezza aziendale e migliorare le proprie prospettive di carriera.
L’istruzione è tutto
L’aggiornamento continuo è fondamentale per gli amministratori di AD che vogliono contribuire attivamente alla strategia di sicurezza della propria azienda, ma in realtà rappresenta sempre uno degli aspetti più complessi e gratificanti delle professioni in ambito IT. Pensiamo a tutte le tecnologie che i professionisti IT hanno usato nel corso della propria carriera e che oggi non sono più utilizzate. Quante tecnologie sono giunte al termine del ciclo di vita e sono state dismesse? La formazione è la chiave per adeguarsi alla realtà in costante cambiamento della sicurezza e delle operazioni in ambito IT.
La buona notizia è che Internet mette a disposizione dei professionisti IT innumerevoli risorse, come ad esempio Channel 9, dove reperire video informativi sui prodotti Microsoft. Microsoft pubblica inoltre guide alla preparazione degli esami di certificazione. “Security, Compliance, and Identity Fundamentals” e “Security Fundamentals” sono esempi di certificazioni sulla sicurezza che gli amministratori dell’identità potrebbero valutare. Oltre ad attestare le competenze maturate, queste e altre certificazioni consentono agli amministratori di acquisire quelle nozioni fondanti sulla sicurezza necessarie per un dibattito proficuo con i responsabili tecnologici.
Niente, tuttavia, vale come l’esperienza. Un’esperienza pratica in un ambiente di laboratorio, non esclusivamente con AD on-premise ma anche con gli ambienti ibridi che utilizzano Azure, AWS e Google Cloud Platform, è l’unico modo per acquisire competenze concrete nella gestione efficace e sicura di questi ambienti. I provider di tutte e tre le piattaforme mettono a disposizione contenuti completi per la formazione online e offrono la possibilità di creare un tenant gratuito per la valutazione e l’apprendimento.
Non smettere mai di studiare
In tutti i percorsi professionali in ambito IT, l’unica costante è il cambiamento. Per dominare qualsiasi aspetto di questo settore, dalla sicurezza allo sviluppo applicativo, occorre essere sempre aggiornati sulle tecnologie e le tendenze emergenti. I rischi di sicurezza correlati all’identità aumentano di pari passo con la progressiva adozione del cloud. Gli amministratori e i tecnici di AD devono comprendere a fondo e condurre il dibattito sull’importanza prioritaria della gestione delle identità nella strategia di sicurezza della propria organizzazione.
Informazioni su Semperis
Per i team incaricati della protezione degli ambienti ibridi e multicloud, Semperis garantisce l’integrità e la disponibilità dei servizi directory aziendali cruciali in ogni fase della cyber kill chain, con tempi di ripristino ridotti del 90%. Studiata appositamente per difendere gli ambienti ibridi di Active Directory, la tecnologia brevettata di Semperis protegge oltre 50 milioni di identità da attacchi informatici, violazioni di dati ed errori operativi. Le più importanti organizzazioni a livello mondiale si affidano a Semperis per rilevare le vulnerabilità nelle directory, intercettare gli attacchi informatici in corso e ripristinare in tempi rapidi l’ambiente in caso di ransomware e altre minacce all’integrità dei dati. Semperis ha sede a Hoboken, in New Jersey, ma lavora a livello internazionale: il suo team di ricerca e sviluppo opera in diverse sedi tra Stati Uniti, Canada e Israele.
Oltre a organizzare la pluripremiata conferenza e la serie di podcast Hybrid Identity Protection (www.hipconf.com), Semperis ha creato Purple Knight (www.purple-knight.com), lo strumento gratuito per valutare la sicurezza di Active Directory. L’azienda ha ricevuto i più importanti riconoscimenti del settore, recentemente è stata inserita da Inc. Magazine nella classifica 2022 dei migliori posti di lavoro e il Finalcial Times l’ha confermata come l’azienda americana in più rapida crescita nel settore della sicurezza informatica. Semperis è parte di Microsoft Enterprise Cloud Alliance e partner di Co-Sell.
