Quasi tutte le aziende si affannano per difendere le identità, poche conoscono la deception, una strategia di difesa particolarmente efficiente di cui dispone SentinelOne grazie all’acquisizione di Attivo Networks. Per capire di che cosa si tratta ne abbiamo parlato approfonditamente con Marco Rottigni, Technical Director per l’Italia di SentinelOne, che spiega come “tutto parte da un'esigenza, che è difendere le identità”.

Active Directory

Rottigni ricorda che ad Active Directory è affidata la gestione non solo delle identità, ma di tutto quello che compone gli asset di un'azienda: computer, gruppi, policy, finanche alla network security. Le dinamiche di attacco contro Active Directory (AD) non sono dovute a bug o a errori di progettazione, è la natura stessa di AD a renderla interessante per gli attaccanti. Rottigni infatti spiega che “AD nasce con l’obiettivo di fornire informazioni a chi ne ha bisogno: quanti computer ci sono nel dipartimento delle risorse umane, quali policy di security sono applicate ai web server, chi all’interno dell’azienda è un amministratore di dominio, eccetera. Il compito di AD è rispondere a queste domande in maniera precisa e puntuale”.

Marco Rottigni, Technical Director per l’Italia di SentinelOne

Il problema è chi pone le domande: nel momento in cui un criminale informatico mette le mani su Active Directory e ruba una identità, non viene scoperto subito perché “la mia identità rimane anche con me ed entrambi continuiamo a usarla, solo che il legittimo proprietario lo fa in maniera legittima, l’attaccante no” argomenta Rottigni. A questo si aggiunge il fatto che individuare e bloccare un attacco contro Active Directory è molto difficile perché nella stragrande maggioranza dei casi “l’attaccante non usa malware: si serve di interrogazioni e strumenti legittimi come per esempio i LOLBins (Living off the Land Binaries) che sono strumenti di sistema. In ambiente Windows lo strumento di elezione è PowerShell, in molti casi non si ricorre nemmeno a quest’ultimo, ma semplicemente a un comando di sistema” chiosa Rottigni.

Tutto questo in cybersecurity significa che l’attacco non è disinfettabile. Non c’è un sistema compromesso, non c’è un malware da estirpare, non c’è nulla fuori dall’ordinario. E non c’è modo di riportare le cose allo stato antecedente l’infezione, semplicemente perché non c’è una infezione. Da qui la necessità di studiare una tecnica per la protezione di AD del tutto differente da quelle ordinarie. SentinelOne reputa che il modo più efficiente per difendersi da questo tipo di minaccia sia “fare in modo che l'attaccante non possa mai venire in contatto con la mia vera identità. A fronte di un tentativo di attacco, il criminale informatico deve ricevere informazioni perfettamente plausibili, ma false”.

L’inganno

Il piano di difesa è macchinoso ma efficiente. Gli appassionati di Matrix non avranno difficoltà a comprendere di che cosa si tratta: i difensori creano una realtà parallela a quella reale, talmente perfetta da essere credibile, che però è del tutto falsa. Come precisa Rottigni, non ha nulla a che vedere con la strategia degli honeypot, ossia con “l’idea di esporre online risorse finte nella speranza che qualcuno ci inciampi. È tutto costruito sull’intercettazione delle richieste: tranne nei casi contemplati a priori dai difensori, chiunque chieda informazioni otterrà in cambio delle informazioni false”.

L’esempio pratico aiuta. L’utente legittimo dimentica di fare log-off, Luigi accede liberamente alla sua tastiera e inizia a interrogare AD: “chi sono i domain admins?” AD risponderà con una lista di nomi. A questo punto Luigi prende uno di questi nomi e chiede ad AD se “esiste in memoria un ticket kerberos” (le credenziali di un utente che rimangono in memoria) e la risposta di AD è: “certo, per il tuo livello di privilegi ho x, y e z”. Nulla vieta a Luigi di cominciare a spostarsi lateralmente, non usando la password (di cui non è in possesso), ma il ticket, che equivale a un lasciapassare con cui entrare in un domain server, esfiltrare dati, eccetera. È un tipico impianto di attacco.

Ma se quanto descritto accade in un sistema in cui è attiva la deception, tutte le riposte di AD erano false. Però i domain server esistono davvero, i loro indirizzi IP sono veri, e “portano a spasso” l’attaccante in un ambiente Matrix che può essere ampissimo. Al contempo le security operation vengono raggiunte da una sequenza di alert che dettaglia loro qual è la kill chain di MITRE ATT&CK che l’attaccante sta percorrendo e possono gestirlo in maniera opportuna prima che si accorga dell’inganno.

Fino a che punto si può ingannare l’attaccante? “Questo – spiega Rottigni – lo decide il cliente in fase di implementazione della strategia di deception. Si possono avere solo degli agenti software che forniscono delle credenziali finte, ma si può anche arrivare a costruire un Hologram, ossia una infrastruttura di rete completa”. Attenzione: le macchine virtuali, per essere credibili, possono essere vere e realmente popolate di applicativi identici a quelli usati dall’azienda, su cui girano però dei dati falsi. Tipicamente la struttura dell’ambiente di deception è inizialmente semplice, poi, sulla base degli attacchi rilevati, si può raffinare la profondità della simulazione affinché risulti credibile. Interessante è anche il fatto che la deception può essere multitenant, quindi può essere un servizio a valore venduto dagli MSSP.

Rottigni fa anche delle precisazioni circa il servizio: “l’acquisizione di Attivo Networks è stata perfezionata un anno e mezzo fa. Finora SentinelOne ha garantito supporto e assistenza ai clienti esistenti di Attivo che hanno continuato a consumare, e stanno ancora consumando, la tecnologia Attivo. Nel frattempo la Ricerca e Sviluppo di SentinelOne ha avviato il processo di integrazione e oggi la console di Attivo è già integrata con quella di SentinelOne. Dopo l'estate ci sarà l'integrazione dell’agente Sentinel One con quello di Attivo e chi usa già SentinelOne lo avrà a disposizione nella Identity Detection and Response”.

Perché la difesa di Active Directory è un problema globale

Per far capire la dimensione del problema della protezione di AD, Marco Rottigni ci ha mostrato alcuni dati di ricerche pubbliche. A Marzo 2022 Gartner calcolava che il 90% delle aziende usava AD. Di queste, il 3% stava migrando o aveva migrato da una gestione di AD in un ambiente controllato on-premise a un ambiente in cloud, con tutti i problemi che una transizione del genere può generare. La metà delle aziende percepisce il problema, quindi secondo Rottigni “è consapevole che AD è una superficie vulnerabile da governare, nel senso che si tratta di una superficie che cambia costantemente la cui configurazione è difficile da dominare completamente”.

Un altro dato importante si evince da uno studio del 2021 relativo all’healthcare. Sette dei 10 gruppi ransomware maggiormente attivi per numero di incidenti (fra cui Ragnarok, Hive, Clop, REvil, Conti) ha usato AD come target principale nelle proprie strategie di attacco. Rottigni rimarca che “questo fa comprendere non solo che c’è un problema e che il problema è grosso, ma che il problema è anche una fonte di interesse primaria per gli attaccanti”. Questi gruppi operano anche in settori diversi dall’healthcare, dove non si può escludere a priori che la situazione possa essere anche peggiore.

Un altro studio di Verizon relativo al 2022 rivela che il 63% degli attacchi di social engineering comporta la compromissione di credenziali. Questo conferma che le credenziali sono il punto di entrata più gettonato nella rete target. Sono sufficienti le credenziali dell’ultimo utente di dominio per ordine di importanza per interrogare AD e appropriarmi di dati utili a sferrare un attacco dannoso. A questo si aggiunge un dato che Rottigni definisce “preoccupante”, raccolto da EMA Research del 2021: il 42% degli attacchi contro AD ha avuto successo, e secondo Rottigni questa è una stima molto conservativa. Altro dato importante dallo stesso studio è che la metà dei business dal 2020 a oggi ha subito attacchi contro AD. Ecco perché l’86% dei business con cui EMA Research ha parlato progetta di aumentare la sicurezza di Active Directory.

Il problema in questo caso - argomenta Rottigni – è che “c'è una confusione totale da parte dei clienti su cosa significhi mettere in sicurezza AD. Alcuni clienti pensano che riguardi la resilienza delle password, i sistemi di gestione delle password, altri i sistemi di gestione delle identità in termini di assegnazione di privilegi”.