Testata iscritta al tribunale di Roma n. 129/2012 del 3/5/2012. ISSN: 2280-4188

Il Documento Digitale

IL FURTO DI CREDENZIALI: MISURE DI PROTEZIONE E DETECTION

di Andrea Piazza

Nel furto di credenziali, l’attaccante cattura le credenziali di accesso da un sistema compromesso, e le riutilizza per accedere sulla rete a tutti i sistemi dove quelle credenziali sono valide. Esiste un principio che, se rispettato nell’ambito dei processi di amministrazione, aiuta a minimizzare questa tipologia di rischio: è il principio di evitare di esporre credenziali privilegiate su sistemi meno privilegiati e potenzialmente compromessi. Un utente privilegiato dovrebbe quindi evitare di compiere attività rischiose (come navigare o leggere la posta) dalla stessa postazione che usa per fare attività di amministrazione. Microsoft ha introdotto sul mercato nel 2015 la soluzione denominata Advanced Threat Analytics (ATA), che fornisce in modo semplice e veloce la possibilità di identificare le attività sospette di utenze e sistemi, e di fornire informazioni sulle minacce chiare e rilevanti su un timeline dell’attacco di facile lettura.

pdf-icon

 

 

In un contesto in cui le minacce informatiche vanno crescendo col passare del tempo in frequenza, impatto e sofisticazione, il furto di credenziali rappresenta una categoria di attacchi estremamente rilevante e pericoloso, soprattutto nella situazione sempre più frequente in cui le stesse credenziali vengono utilizzate per accedere a diversi sistemi nella rete aziendale facendo leva su meccanismi di single sign-on.
Nel furto di credenziali, l’attaccante cattura le credenziali di accesso da un sistema compromesso, e le riutilizza per accedere sulla rete a tutti i sistemi dove quelle credenziali sono valide.

In questa tipologia di attacchi ci sono delle fasi ben note che si ripetono in modo sistematico:

  1. Dopo un’opportuna attività di profilazione della vittima, l’attaccante la prende di mira tramite email opportunamente realizzate per, da un lato, apparire il più possibile legittime perché legate ad eventi o attività note o di interesse della vittima stessa; d’altro lato, queste mail includono dei vettori di attacco che tentano di sfruttare vulnerabilità note su applicazioni di uso comune (browser, lettori di documenti, plugin grafiche)
  2. Compromessa la prima vittima, l’attaccante inizia a raccogliere dal sistema compromesso il maggior numero possibile di credenziali su questo presenti (credenziali locali, credenziali di rete, utenze di servizio e di job schedulati), e utilizza queste credenziali per compromettere altri sistemi allo stesso livello di privilegio del prima sistema compromesso, accedendo in modo apparentemente legittimo e con strumenti validi agli altri sistemi
  3. I passi precedenti vengono ripetuti in modo iterativo, con l’obiettivo di arrivare a identificare e rubare delle credenziali che abbiano un livello di privilegio superiore all’interno della rete aziendale; raggiunto questo obiettivo l’attaccante può elevare i suoi privilegi tipicamente a un livello amministrativo tale da estendere il suo controllo sulla totalità della rete o su una superficie talmente ampia da consentirgli di avere accesso alle informazioni più importanti dell’azienda.

A seconda dell’obiettivo dell’attaccante, questi procede poi a esfiltrare i dati di suo interesse (informazioni finanziarie, proprietà intellettuale, comunicazioni riservate), tipicamente in modo graduale e silente, tale da passare inosservato.
L’attaccante infine cerca di mantenere una presenza nascosta e di basso profilo nell’azienda, ma tale da consentirgli di ripristinare l’accesso privilegiato in qualunque momento, tramite l’impianto di malware disegnati ad hoc per l’ambiente (in modo tale da evadere le tradizionali protezioni antivirus) e posizionato su sistemi tali da garantire nuovamente l’accesso.

Nel corso del 2014 e del 2015 abbiamo assistito a diversi casi pubblici di grandi aziende che hanno patito la compromissione dei loro sistemi aziendali, attraverso tecniche del tutto simili a quella sopra citata.

Quali sono le attività più efficaci a ridurre il rischio di furto di credenziali? Come è possibile limitare l’impatto di questo tipo di incidenti?

Esiste un principio che, se rispettato nell’ambito dei processi di amministrazione, aiuta a minimizzare questa tipologia di rischio: è il principio di evitare di esporre credenziali privilegiate su sistemi meno privilegiati e potenzialmente compromessi.

Esemplifichiamo questo principio con un esempio concreto. Immaginiamo uno scenario in cui abbiamo delle postazioni client, su cui vengono effettuate attività tipiche di un utente finale, come lettura della posta, navigazione ed utilizzo di varie applicazioni utente. In caso di necessità su questi client l’Helpdesk può fornire assistenza collegandosi da remoto alla postazione per effettuare attività di troubleshooting. Tipicamente un’utenza helpdesk avrà privilegi amministrativi su tutto o gran parte del parco client dell’azienda. In alcune realtà aziendali, questa utenza potrebbe anche avere dei privilegi amministrativi su alcuni sistemi server. Qualora un client di questo tipo risultasse compromesso da un malware o sotto il controllo di un attore che si prefigge di compiere un furto di credenziali, nel momento in cui l’helpdesk dovesse collegarsi al client esporrebbe le sue credenziali al furto, con potenziale impatto a livello di intera rete client. Qualora invece l’utenza usata per collegarsi avesse dei privilegi limitati al solo client, e non estesi sull’intera rete, l’impatto del furto sarebbe limitato. Ancora meglio, se lo strumento usato per effettuare il controllo remoto è tale da non lasciare traccia delle credenziali helpdesk sul client, il furto di credenziali risulta non praticabile.

In linea generale, risulta utile pensare alla nostra infrastruttura come suddivisi in vari livelli di privilegio, dove al livello più alto risiedono le utenze e i sistemi maggiormente privilegiate, e al livello più basso le utenze e i sistemi meno privilegiati. In questo modello a livelli, un’utenza più privilegiata (livello 0) non deve mai essere usata per collegarsi a sistemi di un livello inferiore (1 o 2). Qualora la stessa persona fisica abbia necessità di amministrare sistemi di livello differente, è necessario che sia dotata di più utenze, ognuna specifica per il livello da amministrare.

Una conseguenza del principio precedente è che un utente privilegiato dovrebbe evitare di compiere attività rischiose (come navigare o leggere la posta) dalla stessa postazione che usa per fare attività di amministrazione, in quanto espone in questo modo il sistema di amministrazione al rischio di compromissione e al conseguente rischio di furto di credenziali privilegiate. Ne segue che, nell’ottica del furto di credenziali, non c’è sostanziale beneficio nell’usare i cosiddetti sistemi ponte (o Terminal) per effettuare attività di amministrazione, a partire da una macchina a rischio. Il modello corretto è quello che prevede esattamente i ruoli opposti, ovvero che l’amministrazione venga svolta a partire da una macchina sicura, e possibilmente dedicata, e che eventuali attività rischiose debbano essere fatte su un sistema secondario su cui vengono esposte solamente credenziali non privilegiate.

Un secondo principio importante è quello di evitare che sistemi meno privilegiati abbiamo la possibilità di effettuare modifiche su sistemi più privilegiati. Se ad esempio sono in presenza di un server di livello 0 (privilegio massimo), su cui sono in esecuzione dei servizi relativi a un sistema di monitoraggio di livello 1, che può eseguire delle attività sul server, sto a tutti gli effetti abbassando il livello di sicurezza del server da 0 a 1. Se sono in presenza di client su cui risultano in esecuzione dei servizi che utilizzano credenziali di livello 0, sto riducendo il livello di sicurezza della mia intera infrastruttura alla sicurezza del sistema pìù insicuro su cui sto esponendo le credenziali di livello 0.

Si intuisce quindi come la prevenzione del furto di credenziali richieda un ridisegno delle architetture di sicurezza, una revisione sostanziale dei processi di amministrazione dei sistemi nell’ottica di individuare tutti i punti in cui le credenziali privilegiate vengono esposte e di segmentare logicamente i sistemi tra loro sulla base del livello di privilegio delle credenziali su essi utilizzate.

Nell’ambito dei sistemi Microsoft, le linee guida raccomandate per far fronte al furto di credenziali sono contenute nella serie di whitepaper Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft Techniques e nella guida Best Practices for Securing Active Directory. Tra gli strumenti più utili nell’implementazione di architetture più sicure rientrano: la soluzione gratuita Local Administrator Password Solution, che consente di definire password casuali per l’utente amministratore locale; e le nuove funzionalità di sicurezza introdotte in Windows 10, come Credential Guard; le funzionalità di Just-In-Time-Administration introdotte in Microsoft Identity Manager.
Per un’analisi approfondita dell’esposizione della propria infrastruttura al rischio di furti di credenziali, Microsoft offre il servizio di Offline Assessement for Active Directory Security che consente di individuare le principali vulnerabilità tecnologiche, operative e di processo che possono portare alla compromissione dell’infrastruttura aziendale.

Come è possibile individuare se sono in corso attacchi di furto di credenziali?

La peculiarità di questi attacchi è legata al fatto che sono ormai resi facilmente possibili da vari strumenti automatizzati, che non richiedono competenze particolarmente elevate da parte degli attaccanti, e dal fatto che sono di difficile individuazione, poiché in diverse fasi dell’attacco vengono usati strumenti leciti e modalità di accesso del tutto equivalenti a una normale autenticazione, il che rende estremamente complessa la fase di Detection dell’attacco.
In linea di principio si può affermare che l’individuazione di questi attacchi richiede l’analisi dei comportamenti seguiti durante le attività di autenticazione, e l’individuazione dei comportamenti anomali. Se ad esempio osservo che una credenziale privilegiata viene utilizzata a partire da un sistema di un utente finale per fare amministrazione remota di un server sensibile, sono in presenza di un comportamento quantomeno anomalo e che richiede investigazione.
Oltre ad un’analisi tradizionale degli eventi di sicurezza, è necessario quindi affiancare la definizione di una baseline di comportamento normale, e la rilevazione degli scostamenti dalla normalità. È chiaro che, in un ambiente complesso, un’analisi di questo tipo richiede strumenti di automazione opportuni e di semplice utilizzo, che siano suscettibili il meno possibile a falsi positivi, e che siano in grado di evidenziare i comportamenti anomali attraverso l’aggregazione di dati relativi al comportamento normale e, tramite attività di machine learning e analytics, l’individuazione degli scostamenti dalla normalità. Sono nate in queste ambito soluzioni, classificate come User and Entity Behavior Analytics (UEBA), che si prefiggono di:

  • Minimizzare i tempi di analisi degli eventi di sicurezza
  • Ridurre il volume di alert e assegnare la corretta priorità agli alert rimanenti
  • Identificare gli attori malevoli

Microsoft ha introdotto sul mercato nel 2015 la soluzione denominata Advanced Threat Analytics (ATA), che fornisce in modo semplice e veloce la possibilità di identificare le attività sospette di utenze e sistemi, e di fornire informazioni sulle minacce chiare e rilevanti su un timeline dell’attacco di facile lettura. ATA utilizza meccanismi di ispezione approfondita dei pacchetti di rete integrata a informazioni recepite da altre sorgenti dati (SIEM, Active Directory) per costruire un grafo di sicurezza dell’organizzazione e per individuare attacchi avanzati come quelli relativi al furto di credenziali in tempo quasi reale.
Le funzionalità di detection di ATA si integrano con altre soluzioni di sicurezza avanzata e i servizi professionali di sicurezza che Microsoft offre tramite la sua unità di Cybersecurity (https://www.microsoft.com/en-us/microsoftservices/campaigns/cybersecurity-protection.aspx). ©

 


Altri articoli di Microsoft

windows-10-logo TELEMETRIA IN WINDOWS 10
di Carlo Mauceli (N. II_MMXVI)
“It’s not just simple mechanics, although there are big changes in terms of our development methodology, our deployment policy, our servicing. It’s much more fundamental than that. For us, it is about aligning our goals of successful Windows with customers and their experience and engagement with Windows. That’s what Windows-as-a-service means.” - Satya Nadella, Microsoft CEO, January 21, 2015
microsoft-logo-square LA PROTEZIONE DEI DATI PERSONALI NEL CLOUD
di Bianca Del Genio (N. I_MMXVI)
Lo stato dell’arte della disciplina legale del cloud, dal Garante della Privacy italiano al Working party 29, con uno sguardo veloce al futuro che ci aspetta. Secondo lo studio dell’istituto Forrester Research, la spesa per i servizi cloud nel 2016 potrebbe raggiungere i 106 miliardi di dollari nel mondo, il che significa un aumento del 21% rispetto ai livelli di spesa registrati nel 2015. Lo studio del Computer World Forecast 2015 ha trovato che, ad oggi, le iniziative di cloud computing sono i progetti più importanti per la maggioranza dei dipartimenti IT.
Translate »