In Active Directory molte criticità restano invisibili, se ci limitiamo ad analizzare i singoli oggetti come liste separate.
Il vero rischio emerge quando iniziamo a leggere le relazioni:
- Una delega dimenticata;
- Un’ACL poco visibile;
- Un account ordinario con permessi di lettura su LAPS o gMSA;
- Un percorso cross-domain che, preso singolarmente, non desterebbe sospetti.
Per un Blue Team, il punto non è accumulare finding. È capire quando più elementi, apparentemente innocui, si legano per formare un attack path reale.
Per questo trovo molto interessante AD Miner. È un tool che parte dai dati già raccolti da BloodHound / Neo4j e li riorganizza in un report web statico con grafi dinamici, indicatori storici e rating di rischio.
Mi piace soprattutto perché aiuta a fare il salto di qualità, passando dal “cosa c’è” al “cosa conta davvero”.
Quando l’analisi smette di essere una checklist e diventa un percorso, le priorità cambiano radicalmente:
- Path verso account ad alto privilegio;
- Rischi legati a DCSync, AdminSDHolder o Shadow Credentials;
- Esposizioni su LAPS e gMSA;
- Relazioni ibride e pericolose tra on-prem ed Entra ID.
Concentrarci su un singolo pezzo del puzzle, a volte, non ci aiuta a vedere il quadro nel suo complesso.
Download: https://github.com/AD-Security/AD_Miner
