Active Directory セキュリティ 101

公開: 2022-09-19

現在、ほとんどの企業は、Microsoft Active Directory (AD) に依存して業務を継続しています。しかし、ADとは正確には何ですか？

AD は本質的に、従業員を企業ネットワーク上のリソース (電子メールやネットワークファイル共有など) に接続するゲートウェイです。管理者は、各ユーザーのアクセス許可を管理し、ログオン時に認証し、アクセスできるリソースを決定するために使用します。

ADには多くの利点があります。使いやすく、長年にわたって使用されており、非常に信頼性があります。しかし、多くの企業は、それに伴うセキュリティリスクについてまったく知りません。

ADの簡単な歴史

2000 年に AD が発売される前は、Microsoft IT のディレクトリサーバーは、中規模および大規模企業のニーズを十分にサポートできるほどには拡張されておらず、非常に多くのサーバーが必要でした。たとえば、約 1,000 人の従業員を抱える企業では、200 の異なるサーバーが必要になる場合があります。

これは、企業にとって大きな問題でした。これらの個々のサーバーはすべて管理が難しく、それぞれに一意のログイン資格情報が必要であっただけでなく、相互に簡単に通信できないため、ファイル共有などのアクティビティも困難でした。

AD はこの課題を解決しました。アプリケーションと簡単に統合し、ビジネス環境全体でシングルサインオン機能を提供することで、ネットワークエクスペリエンスを変革し、すぐにユビキタスになりました。

その有病率は 20 年間変わっていません。このほぼ四半世紀の古いテクノロジーは、衰退するのではなく、今まで以上に重要性を増しており、世界中の企業が使用するほとんどのクラウド ID システムの基盤として機能しています。

ただし、AD は世界中のほとんどの組織にとって依然として不可欠ですが、セキュリティ上の責任も負っています。

ADが今日問題になっている理由

AD はいくつかの理由で脆弱です。

まず、複雑なセキュリティの脅威に対処するように設計されていません。これは、ランサムウェア、国家が支援する洗練されたサイバー攻撃、およびクラウドコンピューティングが広く採用される前の時代にリリースされました。これは別の時代のテクノロジーであるため、今日直面している高度な脅威の多くに効果的に立ち向かうことはできません。

第 2 に、AD は使いやすいようにオープンに設計されています。シームレスなユーザーエクスペリエンスを優先するために、ネットワークにログインしているユーザーを信頼します。しかし、今日のこの開放性は防御側にとってトリッキーな課題であり、成功した侵入者にとって障壁はほとんどありません。

第 3 に、その古さは、多くの場合、20 年以上にわたり、当初は便宜上の目的で下された不十分なセキュリティ上の決定が蓄積され、アマチュアの攻撃者でさえ見逃すのに苦労する巨大な標的を作成していることを意味します。

このため、すべての企業の約 90% が AD の脆弱性の結果としてセキュリティ侵害にさらされており、すべてのサイバー攻撃の 10 分の 9 が何らかの形で AD に関与しています。

このような統計は本当に恐ろしいものであり、AD を標的とするために使用される攻撃方法の単純さも同様です。プロセスを段階的に見てみましょう…

攻撃者は、フィッシングを通じて PC を危険にさらす– 攻撃者は、標的をだまして AD のログイン資格情報などの機密情報を明らかにするように設計された詐欺的なメッセージまたは電子メールを送信します。
次に、そのローカルマシンで特権を取得します。 攻撃者は、デバイスの脆弱性を悪用して、さまざまな方法でマシンの権限を昇格させることができます。
彼らはADを使用して他のデバイスを見つけます– 次に、攻撃者は AD を使用して他のコンピューターを見つけ、そのネットワーク内で接続および使用されているすべてのコンピューターをマッピングします。
次に、攻撃者はより多くのデバイスに侵入します– ここから、攻撃者は検出が困難な偵察を行ってネットワーク内を移動し、多くのマシンを攻撃して、AD 管理者権限を持つマシンを見つけます。
最後に、特権アカウントへのアクセスを保護する– 最終的に、特権アカウントまたは管理者アカウントの資格情報にアクセスできるようになります。それができれば、AD とそれに依存するすべてのものを完全に制御できます。

一般的な AD 攻撃の一例は、いわゆるゴールデンチケット攻撃です。ロアルド・ダールの小説「チャーリーとチョコレート工場」に出てくるゴールデンチケットはよく知られています。デジタルの世界では、ゴールデンチケットは組織の IT 環境へのアクセスも提供します。ゴールデンチケット攻撃は、攻撃者にネットワークリソースへの自由なアクセスと、認証された管理者レベルのユーザーになりすましてネットワークに無期限に存在する能力を与えます。

脅威の概要

AD は攻撃しやすいため、単純な問題ではありません。同様に、攻撃者の報酬も重要です。

AD は本質的にあなたの王国への鍵を保持しています。オフィスの物理的な鍵を保管する金庫を想像してみてください。AD はまさにその金庫のようなものです。これは、重要なシステム (コンピューター、ソフトウェアアプリケーション、およびその他のリソース) へのアクセスの中心となるハブです。

単純で儲かるので危険です。 2021 年には、ある企業がネットワークへのアクセスを取り戻すために最大 4,000 万ドルの身代金を支払いました。

同時に、攻撃者の参入障壁は低下しています。サービスとしてのランサムウェア (RaaS) 市場が活況を呈しているおかげで、彼らはもはや技術に精通している必要はありません。代わりに、彼らはツールやサービスを購入するだけです。

それは壊滅的なサイクルです。必要な技術的知識が減少し続けている一方で、攻撃者の報酬は増加しており、攻撃の状況が指数関数的に拡大しています。

したがって、インターナショナルデータコーポレーションの 2021 年ランサムウェア調査で、2021 年にグローバル組織の 3 分の 1 以上 (37%) がランサムウェア攻撃の犠牲者であったことが最近明らかになった理由は容易に理解できます。 .

企業はどのように対応できますか?

企業は、この上昇傾向を変えるために対応しなければなりません。

脆弱性を最小限に抑えるには、まずどこが脆弱かを知る必要があります。多くの企業にとって、この理解を得ようとすることは、特にサイバーセキュリティの知識がほとんどまたはまったくない企業にとっては、圧倒される可能性があります。ただし、ご安心ください。役立つソリューションとサポートが用意されています。

パープルナイトは良い出発点です。 Microsoft ID の専門家の主要なグループによって構築および管理されている無料の Active Directory セキュリティ評価ツールであり、攻撃者が対処する前に Active Directory の弱点を特定し、対処すべき一般的な脆弱性を強調するのに役立ちます。

最新の Purple Knight レポートには、あらゆる範囲の潜在的な脆弱性がリストされています。ただし、まず、いくつかの一般的な例を次に示します。

構成のドリフト– 構成のドリフトは、何年にもわたる不適切な AD プラクティスの結果です。アプリを動作させるには AD で構成する必要がありますが、これには時間がかかります。これに対する簡単な解決策は、アプリケーションにあまりにも多くの管理者権限を付与することです。これは、光沢のある新しいツールをできるだけ早く稼働させたいと考えて、企業が歴史的に行ってきたことです。その結果、管理者アカウントが AD に蓄積され始めます。しかし、壊滅的な結果が続くために攻撃されるのは、これらの1つだけです.
従来の管理者アカウント– 従来の管理者アカウントは、同様の問題を引き起こします。彼らはクローゼットの中の骸骨です。攻撃者がこれらの特権アカウントにアクセスできた場合、彼らは戻ってきてあなたを悩ませます.
弱いパスワードまたは一般的なパスワード– 攻撃者は、一般的に使用されるさまざまなパスワードを試して、複数のアカウントにアクセスしようとします。これはパスワードスプレーと呼ばれ、ネットワークで弱いパスワードや一般的なパスワードを使用しないようにすることで簡単に阻止できる手法です。

もちろん、これらの脆弱性を特定して対処することは、パズルのほんの一部にすぎません。増大するサイバー犯罪の脅威に長期的に効果的に対抗するには、組織はさまざまなベストプラクティスを積極的に採用する必要があります。

これには、定期的な内部セキュリティ監査の実施や簡潔な運用改善から、フィッシングに関する定期的なスタッフトレーニングの実施や、攻撃が発生した場合に迅速なリバウンドを確保するための回復プロセスへの投資まで、あらゆるものが含まれます。

全面的に強力な防御を開発するためのサポートまたはガイダンスについては、AD セキュリティを専門とする専任の専門家に相談して、必要な主要な変更を理解することをお勧めします。 Active Directory への攻撃は、もはや問題ではなく、いつ発生するかです。企業が AD の重大な脆弱性に対処すれば、戦うチャンスがあります。そうでない場合、彼らは考えられる最悪の結果に直面する準備ができているアヒルに座ったままでいることになります.