Quando l'identità di un utente è compromessa, cosa può fare un aggressore? La risposta è quasi tutto. Con l'accesso a un ambiente aziendale, un aggressore può rubare i dati dalle applicazioni SaaS, compresi gli archivi di dati Microsoft 365 di alto valore come SharePoint, Teams ed Exchange, nonché applicazioni come Salesforce e ADP, e condurre campagne contro i fornitori di servizi cloud federati e gli ambienti di rete ibridi.
I difensori devono rispondere e bloccare gli attacchi incentrati sull'identità contro Azure AD e M365 prima che si verifichino danni. Meccanismi di prevenzione come la formazione dei dipendenti, l'MFA e un criterio di accesso condizionato ben realizzato sono utili, ma gli aggressori trovano sempre una via d'accesso. Ma prima di tutto, la comprensione di ciò che un attaccante fa, una volta entrato nel vostro ambiente, è fondamentale per fermarlo quando le misure preventive vengono aggirate. Quindi, cosa fare?
I team di sicurezza hanno bisogno degli strumenti giusti per testare i controlli di sicurezza cloud in modo da emulare il comportamento di un aggressore reale, per capire le lacune e assicurarsi di avere la visibilità adeguata per fermare un aggressore. Secondo la mia esperienza, è questo che determina la resilienza. Garantire una configurazione resiliente cloud con i giusti meccanismi di rilevamento e risposta in tempo può aiutare a mitigare e prevenire i danni di una violazione. Ora, quando si pensa agli avversari che sfruttano le lacune della sicurezza, la resilienza discutibile e la visibilità che potrebbe mancare, è il momento di arrabbiarsi e MAAD-AF!!!
Che cos'è MAAD AF, alias M365 e Azure AD Attack Framework
MAAD-AF (acronimo di Microsoft 365 & Azure AD Attack Framework) è un framework di attacco cloud open-source sviluppato per testare la sicurezza degli ambienti Microsoft 365 e Azure AD attraverso l'emulazione di avversari. MAAD-AF è stato progettato per rendere i test di sicurezza cloud semplici, veloci ed efficaci per i professionisti della sicurezza, fornendo uno strumento di test intuitivo e concentrandosi sulle aree più critiche.
MAAD-AF offre vari moduli di attacco facili da usare per sfruttare le falle di configurazione di diversi strumenti e servizi cloud M365/Azure AD, con la possibilità di integrare facilmente e aggiungere nuovi moduli nel tempo. Grazie all'assenza di requisiti di configurazione e ai moduli di attacco interattivi, i team di sicurezza possono testare i controlli di sicurezza cloud , le capacità di rilevamento e i meccanismi di risposta in modo semplice e rapido. È un aspetto su cui riflettere quando si prende in considerazione un nuovo strumento per colmare le lacune della sicurezza.
Con MAAD-AF, i team di sicurezza possono facilmente emulare tattiche e tecniche di attacco reali per avanzare in un ambiente M365 e Azure AD compromesso. Questo può aiutare a identificare le lacune nelle configurazioni esistenti e nelle capacità di rilevamento e risposta per rafforzare la sicurezza dell'ambiente cloud . Provatelo voi stessi!
Cosa rende buono MAAD-AF
MAAD-AFè uno strumento di sfruttamento post-compromissione e pre-compromissione.
I suoi moduli interattivi consentono agli utenti di sfruttare le falle di configurazione di Microsoft 365 e Azure AD da un'unica interfaccia semplice da usare.
I moduli post-compromesso di MAAD-AF utilizzano tecniche di vita fuori dalla terra.
MAAD-AF utilizza le funzionalità intrinseche dei servizi cloud di Microsoft per eseguire azioni nell'ambiente di destinazione.
MAAD-AF supporta azioni di pre-compromissione come la ricognizione iniziale e la forza bruta delle credenziali.
Per chi è interessato ad altre tecniche di compromissione, consigliamo vivamente AADInternals e PowerZure, due strumenti che hanno contribuito a ispirare lo sviluppo del framework di attacco MAAD.
Le tecniche incluse in MAAD-AF si basano sui comportamenti attivi che gli attori delle minacce eseguono durante gli attacchi contro gli ambienti Azure AD e M365. MAAD-AF rende i test di sicurezza semplici ed efficaci, concentrando i moduli sulle tecniche comunemente utilizzate e sullo sfruttamento di servizi cloud Microsoft chiave e frequentemente presi di mira.
MAAD-AF è inoltre praticamente privo di requisiti di configurazione.
Gli utenti possono scaricare lo strumento dal repo github di MAAD-AF e iniziare a testarlo. Tutte le dipendenze necessarie possono essere gestite direttamente da MAAD-AF. Inoltre, abbiamo creato un'analisi gratuita del gap di esposizione all'identità per aiutare i team a comprendere il rischio attuale.
Provate voi stessi
MAAD è open-source e tutti sono invitati a utilizzarlo e a contribuire al suo sviluppo. Diamo il benvenuto a tutti coloro che vogliono unirsi alla missione di MAAD e contribuire in qualsiasi modo possibile. Inviate le vostre grandi idee, richieste di funzionalità, segnalate bug/problemi o contribuite direttamente scrivendo nuovi moduli di attacco per la libreria MAAD.
Per saperne di più su come il framework MAAD-AF può testare la sicurezza degli ambienti cloud , guardate il webinar on-demand su Identity Based Attacks.
È inoltre possibile leggere la parte relativa ai moduli di attacco MAAD-AF e ai componenti principali, all'installazione e alla configurazione.
Ecco come rendere i test di sicurezza semplici, veloci ed efficaci!
Ottenere MAAD-AF dal repository Github di MAAD-AF.