A Graph-based Tool for Workload Generation and Emulation of Active Directory Environments

In recent years, the number of cyberattacks has grown exponentially, thus, it is very important to protect digital infrastructures by assessing their potential security risks. To this end, it is necessary to perform specific assessments. These assessments should be repeated several times under the same conditions and the scenario modified in order to discover new potential security threats. This approach is difficult to implement in practice. For this reason, in recent years there has been a growing interest in emulation techniques because they allow environments to be tested in a controlled manner, also enabling the analysis of different scenarios. In addition, the costs are reduced as the assessments do not involve real environments. This thesis work takes advantage of the benefits of emulation to design and develop a tool that, by integrating workload generation and graph modeling techniques, simplifies the activities carried out for testing the security of the infrastructures. In particular, the tool emulates Active Directory environments, which are nowadays the most prolific environments used by companies and organizations. These environments are very complex, as they are composed by multiple interacting entities. This complexity makes it difficult to identify potential security risks. Furthermore, having multiple interconnected entities gives cybercriminals the possibility to take advantage of different attack vectors in an attempt to exploit infrastructure vulnerabilities. The combination of workload generation and graph modeling allows the emulation of realistic Active Directory environments. In addition, this approach allows the detection of non-obvious relationships between the entities of an Active Directory environment, thus highlighting potential security risks.

Uno strumento basato su grafi per la generazione di carichi di lavoro e l'emulazione di ambienti Active Directory. Negli ultimi anni il numero di attacchi informatici è aumentato notevolmente, per questo motivo è estremamente importante proteggere le infrastrutture digitali valutando i potenziali rischi per la loro sicurezza. A questo scopo, è necessario eseguire test specifici, i quali dovrebbero essere ripetuti più volte, mantenendo invariate le condizioni. In aggiunta, lo scenario dovrebbe essere modificato al fine di scoprire nuove minacce per la sicurezza. Tuttavia, nella pratica, è difficile attuare un approccio di questo genere. Per ovviare a questo problema, negli ultimi anni è cresciuto l'interesse verso una nuova tecnica: l'emulazione. Essa consente di testare gli ambienti in maniera controllata, permettendo anche l'analisi di diversi scenari. Inoltre, i costi vengono ridotti, in quanto i test non coinvolgono ambienti reali. Questo lavoro di tesi sfrutta i benefici messi a disposizione dall'emulazione al fine di progettare e sviluppare uno strumento che, integrando tecniche di generazione di carico di lavoro e modellazione di grafi, semplifica le attività svolte per testare la sicurezza delle infrastrutture. In particolare, lo strumento emula ambienti Active Directory, i quali al giorno d'oggi risultano essere quelli maggiormente utilizzati da aziende ed organizzazioni. Gli ambienti Active Directory sono molto complessi, in quanto costituti da numerose entità che interagiscono tra loro. Tale complessità rende difficile identificare potenziali rischi per la sicurezza. Per di più, la presenza di diverse entità interconnesse tra loro offre ai criminali informatici la possibilità di sfruttare diversi vettori di attacco nel tentativo di sfruttare le vulnerabilità delle infrastrutture. La combinazione di generazione di carico di lavoro e modellazione di grafi permette di emulare ambienti Active Directory realistici. Inoltre, tale approccio permette di rilevare relazioni non ovvie tra le entità di un ambiente Active Directory, evidenziando così potenziali rischi per la sicurezza dell'infrastruttura.