Amministrazione

L'amministrazione è la pratica del monitoraggio, della manutenzione e del funzionamento dei sistemi IT (Information Technology) per soddisfare i livelli di servizio necessari per l'azienda. L'amministrazione introduce alcuni dei rischi di sicurezza più elevati perché l'esecuzione di queste attività richiede l'accesso con privilegi a un set molto ampio di questi sistemi e applicazioni. Gli utenti malintenzionati sono consapevoli che l'accesso a un account con privilegi amministrativi può concedere loro l'accesso alla totalità o alla maggior parte dei dati a cui mirano, rendendo la sicurezza degli amministratori una delle aree di sicurezza più critiche.

Microsoft, ad esempio, sta effettuando investimenti significativi nella protezione e nella formazione degli amministratori per i propri sistemi cloud e IT:

La strategia di base consigliata da Microsoft per i privilegi amministrativi consiste nell'usare i controlli disponibili per ridurre i rischi

Ridurre l'esposizione ai rischi (ambito e tempo) : il principio dei privilegi minimi viene ottenuto meglio con i controlli moderni che forniscono privilegi su richiesta. Per ridurre il grado di rischio, è quindi possibile limitare l'esposizione dei privilegi amministrativi secondo le modalità seguenti:

• Ambito : JEA (Just Enough Access) fornisce solo i privilegi necessari per l'operazione amministrativa richiesta (rispetto alla presenza di privilegi diretti e immediati per molti o tutti i sistemi alla volta, che non sono quasi mai necessari).

• Tempo : gli approcci JIT (Just-In Time) forniscono i privilegi necessari in base alle esigenze.

• Attenuare i rischi rimanenti: usare una combinazione di controlli preventivi e detective per ridurre i rischi, ad esempio isolare gli account amministratore dai rischi più comuni, il phishing e l'esplorazione Web generale, semplificare e ottimizzare il flusso di lavoro, aumentare la garanzia delle decisioni di autenticazione e identificare le anomalie dal comportamento normale della baseline che possono essere bloccate o analizzate.

Microsoft ha acquisito e documentato le procedure consigliate per la protezione degli account amministrativi e ha pubblicato roadmap con le priorità relative alla protezione degli accessi con privilegi, che è possibile usare come riferimento per assegnare la priorità alle mitigazioni eseguite su account con accesso con privilegi.

• Roadmap per la protezione dell'accesso con privilegi (SPA) per gli amministratori di Active Directory locale

• Indicazioni per la protezione degli amministratori di Microsoft Entra ID

Ridurre al minimo il numero di account amministratore con impatto critico

Concedere il numero minimo di account ai privilegi che possono avere un impatto aziendale critico

Ogni account amministratore rappresenta una potenziale superficie di attacco a cui può ambire un utente malintenzionato. Riducendo al minimo il numero di account con tale privilegio è possibile quindi limitare i rischi complessivi per l'organizzazione. L'esperienza ci ha insegnato che, se non attivamente limitata e gestita, l'appartenenza a questi gruppi con privilegi si estende naturalmente nel tempo man mano che le persone cambiano ruolo.

È consigliabile quindi un approccio che riduca i rischi inerenti alla superficie di attacco garantendo al tempo stesso la continuità aziendale nel caso in cui si verifichi un problema a un amministratore:

• Assegnare almeno due account al gruppo con privilegi per la continuità aziendale

• Se sono necessari due o più account, fornire una giustificazione per ogni membro, inclusi i due account originali

• Esaminare regolarmente l'appartenenza e la giustificazione per ogni membro del gruppo

Account gestiti per amministratori

Assicurarsi che tutti gli amministratori con impatto critico in siano gestiti dalla directory aziendale per seguire l'applicazione dei criteri dell'organizzazione.

Gli account consumer, ad esempio gli account Microsoft come @Hotmail.com, @live.com, @outlook.com, non offrono visibilità e controllo sufficienti per garantire che vengano seguiti i criteri dell'organizzazione e gli eventuali requisiti normativi. Poiché le distribuzioni di Azure spesso iniziano in misura ridotta e informale, prima di trasformarsi in tenant gestiti a livello aziendale, alcuni account consumer rimangono account amministrativi per molto tempo (ad esempio, i project manager di Azure originali), creando punti ciechi e potenziali rischi.

Account separati per gli amministratori

Assicurarsi che tutti gli amministratori con impatto critico dispongano di un account separato per le attività amministrative (rispetto all'account che usano per la posta elettronica, la navigazione sul Web e altre attività di produttività).

Gli attacchi di phishing e Web browser rappresentano i vettori di attacco più comuni per compromettere qualsiasi tipo di account, inclusi gli account amministrativi.

Creare un account amministrativo separato per tutti gli utenti con un ruolo che richiede privilegi critici. Per questi account amministrativi, bloccare gli strumenti di produttività come la posta elettronica di Office 365 (rimuovere la licenza). Se possibile, bloccare la navigazione Web arbitraria (con proxy e/o controlli sull'applicazione), impostando eccezioni per l'accesso al portale di Azure e ad altri siti necessari per le attività amministrative.

Nessun accesso permanente/privilegi Just-in-Time

Evitare di fornire l'accesso permanente "permanente" per qualsiasi account di impatto critico

I privilegi permanenti aumentano i rischi aziendali poiché allungano il tempo in cui un utente malintenzionato può usare l'account per provocare danni. I privilegi temporanei costringono invece gli utenti malintenzionati che puntano a un account ad agire entro l'intervallo di tempo in cui l'amministratore usa di fatto l'account o ad avviare l'elevazione dei privilegi (che aumenta tuttavia la probabilità di essere identificati ed espulsi dall'ambiente).

Concedere i privilegi necessari solo in base alle esigenze usando uno dei metodi seguenti:

• Just-in-Time - Abilitare Microsoft Entra Privileged Identity Management (PIM) o una soluzione di terze parti per richiedere che, dopo un flusso di lavoro di approvazione, ottenere privilegi per gli account di impatto critico

• Break glass: per gli account usati raramente, seguire un processo di accesso di emergenza per ottenere l'accesso agli account. Questa opzione è preferibile per i privilegi che per i quali non è previsto un utilizzo regolare, come nel caso dei membri di un account amministratore globale.

Accesso di emergenza o account "Break Glass"

Assicurarsi di aver messo a punto un meccanismo per ottenere l'accesso amministrativo in caso di emergenza

Anche se rare, si verificano talvolta situazioni estreme in cui tutti i normali strumenti di accesso amministrativo non sono disponibili.

È consigliabile seguire le istruzioni riportate in Gestione degli account amministrativi di accesso di emergenza in Microsoft Entra ID e assicurarsi che le operazioni di sicurezza monitorino attentamente questi account.

Sicurezza delle workstation di amministrazione

Assicurarsi che gli amministratori con impatto critico usino una workstation con protezione e monitoraggio di sicurezza elevati

I vettori di attacco che usano la navigazione Web e la posta elettronica, come il phishing, sono economici e molto comuni. Isolando gli account amministratore con impatto critico da questi rischi si riduce significativamente il rischio di un evento imprevisto grave in cui uno di questi account viene violato e usato per danneggiare materialmente l'azienda.

Scegliere il livello di sicurezza della workstation amministratore in base alle opzioni disponibili in https://aka.ms/securedworkstation

• Dispositivo di produttività altamente sicuro (workstation ad alta sicurezza o workstation specializzata)
  È possibile iniziare questo percorso di sicurezza per gli amministratori con impatto critico fornendo loro una workstation ad alta sicurezza che consenta comunque attività generiche di produttività e navigazione. L'applicazione di questo passaggio provvisorio consente di semplificare la transizione a workstation completamente isolate sia per gli amministratori con impatto critico che per il personale IT che fornisce assistenza a questi utenti e alle rispettive workstation.

• Workstation con accesso con privilegi (workstation specializzata o workstation protetta)
  Queste configurazioni rappresentano lo stato di sicurezza ideale per gli amministratori con impatto critico, in quanto limitano notevolmente l'accesso da parte di utenti malintenzionati tramite vettori di attacco quali applicazioni per la produttività, phishing e browser. Queste workstation non consentono l'esplorazione internet generale, ma consentono solo l'accesso al browser per portale di Azure e altri siti amministrativi.

Dipendenze degli account amministratore con impatto critico - Account/Workstation

Scegliere con attenzione le dipendenze di sicurezza locali per gli account con impatto critico e le relative workstation

Per contenere il rischio che un evento imprevisto grave si trasformi in una grave violazione degli asset cloud, è necessario eliminare o ridurre al minimo gli strumenti di controllo che le risorse locali devono avere per gestire gli account con impatto critico nel cloud. Ad esempio, gli utenti malintenzionati che comprometteno l'istanza locale di Active Directory possono accedere e compromettere gli asset basati sul cloud che si basano su tali account come risorse in Azure, Amazon Web Services (AWS), ServiceNow e così via. Gli utenti malintenzionati possono usare anche workstation appartenenti a domini locali per ottenere l'accesso ad account e servizi gestiti da tali domini.

Scegliere il livello di isolamento dagli strumenti di controllo locali, noti anche come dipendenze di sicurezza, per gli account con impatto critico

• Account utente: scegliere dove ospitare gli account di impatto critico

  • Account Microsoft Entra nativi -*Creare account Microsoft Entra nativi non sincronizzati con Active Directory locale

  • Eseguire la sincronizzazione da Active Directory locale (scelta non consigliata): sfruttare gli account esistenti ospitati nell'istanza di Active Directory locale.

• Workstation: scegliere come gestire e proteggere le workstation usate dagli account amministratore critici:

  • Gestione e sicurezza cloud nativa (scelta consigliata): aggiungere workstation a Microsoft Entra ID & Manage/Patch con Intune o altri servizi cloud. Proteggere e monitorare con Windows Defender ATP o un altro servizio cloud non gestito da account basati su locale.

  • Gestire con sistemi esistenti: aggiungere un dominio di Active Directory esistente e sfruttare la gestione/sicurezza esistente.

Autenticazione a più fattori o senza password per gli amministratori

Richiedere a tutti gli amministratori di impatto critico di usare l'autenticazione senza password o l'autenticazione a più fattori (MFA).

I metodi di attacco si sono evoluti al punto che le sole password non possono proteggere in modo affidabile un account. Questo fenomeno è ben documentato in una Sessione di Microsoft Ignite.

Gli account amministrativi e tutti gli account critici devono usare uno dei seguenti metodi di autenticazione. I metodi sono elencati in ordine di preferenza, dal più alto costoso/difficile da attaccare (opzioni preferite) al meno costo/difficile da attaccare:

• Senza password (ad esempio, Windows Hello)
  https://aka.ms/HelloForBusiness

• Senza password (ad esempio, App Authenticator)
  </azure/active-directory/authentication/howto-authentication-phone-sign-in>

• Autenticazione a più fattori
  </azure/active-directory/authentication/howto-mfa-userstates>

Per gli utenti malintenzionati è oggi molto facile ed economico violare l'autenticazione a più fattori basata su SMS, che quindi è preferibile evitare. Sebbene sia più efficace della sola password, questa opzione è molto più debole rispetto ad altri metodi di autenticazione a più fattori

Applicare l'accesso condizionale per gli amministratori - Zero Trust

Per supportare una strategia Zero Trust aziendale, la procedura di autenticazione per gli amministratori e altri account con impatto critico deve prevedere la valutazione e l'applicazione di attributi di sicurezza chiave.

Eventuali utenti malintenzionati che violano gli account amministratore di Azure possono provocare danni significativi. L'accesso condizionale può ridurre significativamente questo rischio applicando procedure di "igiene" della sicurezza prima di consentire l'accesso alla gestione di Azure.

Configurare i criteri di accesso condizionale per la gestione di Azure che soddisfi le esigenze operative e dell'appetito per i rischi dell'organizzazione.

• Richiedere l'autenticazione a più fattori e/o la connessione dalla rete aziendale designata

• Richiedi integrità del dispositivo con Microsoft Defender ATP (Strong Assurance)

Evitare autorizzazioni granulari e personalizzate

Evitare autorizzazioni che facciano riferimento in modo specifico a risorse o utenti individuali

Le autorizzazioni specifiche creano complessità e confusione non necessarie perché non portano l'intenzione a nuove risorse simili. Questo si accumula quindi in una configurazione legacy complessa che è difficile da gestire o modificare senza timore di "interrompere qualcosa", con un impatto negativo sia sulla sicurezza che sull'agilità della soluzione.

Anziché assegnare autorizzazioni per risorse specifiche, usare

• Gruppi di gestione per autorizzazioni a livello aziendale

• Gruppi di risorse per autorizzazioni nell'ambito di sottoscrizioni

Anziché concedere autorizzazioni a utenti specifici, assegnare l'accesso ai gruppi in MICROSOFT Entra ID. Se non è presente un gruppo appropriato, collaborare con il team di gestione delle identità per crearne uno. In questo modo è possibile aggiungere e rimuovere membri del gruppo esternamente ad Azure e assicurarsi che le autorizzazioni siano sempre aggiornate, consentendo al tempo stesso di usare il gruppo per altri scopi, ad esempio per la creazione liste di distribuzione.

Usare ruoli predefiniti

Se possibile, usare i ruoli predefiniti per l'assegnazione delle autorizzazioni.

La personalizzazione genera infatti complessità e confusione e rende l'automazione più difficile e meno sicura. Tutti questi fattori influiscono negativamente sulla sicurezza

Nella maggior parte degli scenari, quindi, è consigliabile prendere in considerazione i ruoli predefiniti. I ruoli personalizzati sono una funzionalità potente e talvolta utile, ma devono essere riservati per i casi in cui i ruoli predefiniti non funzioneranno.

Stabilire la gestione del ciclo di vita per gli account con impatto critico

Assicurarsi di aver messo a punto una procedura per disabilitare o eliminare un account amministrativo quando un amministratore lascia l'organizzazione (o lascia il ruolo amministrativo)

Per altri dettagli, vedere Gestire l'accesso utente e guest con verifiche di accesso.

Simulazione di attacchi per account con impatto critico

Simulare regolarmente attacchi verso account amministrativi con tecniche di attacco attuali per istruirli e potenziarli.

Il personale costituisce una parte essenziale della strategia di difesa, soprattutto i dipendenti che hanno account con impatto critico. Offrendo a questi utenti (e idealmente a tutti gli utenti) le conoscenze e le competenze necessarie per evitare e prevenire gli attacchi, sarà possibile ridurre notevolmente i rischi complessivi dell'organizzazione.

È possibile usare le funzionalità di simulazione di attacchi di Office 365 o qualsiasi altra offerta di terze parti.

Passaggi successivi

Per altre indicazioni sulla sicurezza di Microsoft, vedere la documentazione sulla sicurezza Microsoft.