Bezpieczeństwo Active Directory 101

Większość firm polega obecnie na Microsoft Active Directory (AD), aby utrzymać ciągłość swoich operacji. Ale czym właściwie jest AD?

AD jest w istocie bramą łączącą pracowników z ich zasobami w sieci firmowej (takiej jak poczta e-mail lub sieciowe udziały plików). Jest używany przez administratorów do zarządzania uprawnieniami każdego użytkownika, uwierzytelnienia go podczas logowania i określenia, do jakich zasobów mają dostęp.

AD ma wiele zalet. Jest łatwy w użyciu, istnieje od wielu lat i jest niezwykle niezawodny. Jednak wiele firm po prostu nie wie o zagrożeniach bezpieczeństwa, które się z tym wiążą.

Krótka historia AD

Przed wprowadzeniem AD w 2000 r. serwery katalogowe Microsoft IT nie były skalowane, aby odpowiednio obsługiwać potrzeby średnich i dużych przedsiębiorstw, dlatego potrzebnych było wiele serwerów. Na przykład firma licząca około 1000 osób mogła potrzebować 200 różnych serwerów.

To był poważny problem dla firm. Nie tylko trudno było zarządzać wszystkimi tymi pojedynczymi serwerami, z których każdy wymagał unikalnych danych logowania, ale także utrudniało to czynności, takie jak udostępnianie plików, ponieważ nie mogły one łatwo komunikować się ze sobą.

AD rozwiązało to wyzwanie. Łatwa integracja z aplikacjami i zapewnienie możliwości pojedynczego logowania w całym środowisku biznesowym zmieniło sposób korzystania z sieci, szybko stając się wszechobecne.

Jego rozpowszechnienie nie zmieniło się od dwóch dekad. Zamiast zanikać, ta prawie ćwierć wieku technologia jest teraz ważniejsza niż kiedykolwiek, stanowiąc podstawę większości systemów tożsamości w chmurze używanych przez przedsiębiorstwa na całym świecie.

Jednak, chociaż AD jest nadal niezbędna dla większości organizacji na całym świecie, stała się również odpowiedzialnością za bezpieczeństwo.

Dlaczego AD jest dzisiaj problemem

AD jest podatne na ataki z kilku powodów.

Po pierwsze, nie został zaprojektowany do radzenia sobie ze złożonymi zagrożeniami bezpieczeństwa. Został wydany w epoce przed oprogramowaniem ransomware, zaawansowanymi cybernetycznymi firmami wspieranymi przez państwo i powszechnym przyjęciem przetwarzania w chmurze. Jest to technologia z innych czasów i dlatego nie jest w stanie skutecznie stawić czoła wielu zaawansowanym zagrożeniom, z jakimi mamy dziś do czynienia.

Po drugie, AD został zaprojektowany tak, aby był otwarty, aby ułatwić korzystanie z niego. Ufa użytkownikom zalogowanym do sieci, aby priorytetowo traktować bezproblemową obsługę. Jednak ta otwartość jest dziś trudnym wyzwaniem dla obrońców, stanowiąc kilka barier dla skutecznych infiltratorów.

Po trzecie, jego wiek oznacza, że ​​w wielu przypadkach krył się w nim ponad 20 lat złych decyzji w zakresie bezpieczeństwa, podjętych pierwotnie ze względów praktycznych, które nagromadziły się, by stworzyć ogromny cel, który nawet amatorzy atakujący mieliby trudności z przeoczeniem.

Z tego powodu około 90% wszystkich firm jest narażonych na naruszenia bezpieczeństwa w wyniku luk w zabezpieczeniach AD, a dziewięć na 10 wszystkich cyberataków w jakiś sposób dotyczy AD.

Takie statystyki są naprawdę przerażające, podobnie jak prostota metod ataków używanych do atakowania AD. Przyjrzyjmy się procesowi krok po kroku…

1. Osoba atakująca złamie komputer PC poprzez phishing — osoba atakująca wyśle ​​oszukańczą wiadomość lub e-mail, której celem jest nakłonienie celu do ujawnienia poufnych informacji, takich jak dane logowania do usługi AD.
2. Następnie pracują nad uzyskaniem uprawnień na tym lokalnym komputerze – Atakujący mogą na różne sposoby podnosić swoje uprawnienia na komputerze, wykorzystując luki w urządzeniu.
   Używają AD, aby znaleźć inne urządzenia – Atakujący następnie używają AD, aby znaleźć inne komputery, mapując wszystkie maszyny podłączone i używane w tej sieci.
3. Następnie atakujący trafiają na więcej urządzeń — stąd atakujący poruszają się po sieci, przeprowadzając trudny do wykrycia rekonesans, atakując wiele komputerów, aby znaleźć taki, który ma uprawnienia administratora AD.
4. I wreszcie bezpieczny dostęp do konta uprzywilejowanego — w końcu uzyskują dostęp do poświadczeń konta uprzywilejowanego lub konta administratora. Kiedy już to mają, mają pełną kontrolę nad AD i wszystkim, co od tego zależy.

Jednym z przykładów popularnego ataku AD jest tak zwany atak Golden Ticket. Wszyscy znamy złoty bilet z powieści Roalda Dahla Charlie i fabryka czekolady. W cyfrowym świecie Golden Tickets zapewnia również dostęp do środowiska IT Twojej organizacji. Atak Golden Ticket zapewnia cyberprzestępcom nieograniczony dostęp do zasobów sieciowych i możliwość przebywania w sieci przez nieograniczony czas pod przykrywką uwierzytelnionych użytkowników na poziomie administratora.

Przedstawienie zagrożenia

AD to nie tylko problem, ponieważ łatwo go zaatakować. Równie znaczące są nagrody dla atakujących.

AD zasadniczo trzyma klucze do twojego królestwa. Wyobraź sobie sejf, w którym przechowujesz fizyczne klucze do biura — AD jest dokładnie taki sam jak ten sejf. Jest to centralne centrum dostępu do krytycznych systemów — komputerów, aplikacji i innych zasobów.

Jest niebezpieczna, ponieważ jest zarówno prosta, jak i lukratywna. W 2021 r. jedna firma zapłaciła okup w wysokości do 40 milionów dolarów, aby odzyskać dostęp do swojej sieci.

Jednocześnie obniżają się bariery wejścia dla atakujących. Dzięki dynamicznie rozwijającemu się rynkowi oprogramowania typu ransomware jako usługi (RaaS) nie muszą już posiadać wiedzy technicznej. Zamiast tego po prostu kupują narzędzia i usługi od tych, którzy są.

To niszczycielski cykl. Nagrody dla atakujących rosną, podczas gdy potrzebna wiedza techniczna stale spada, wykładniczo poszerzając krajobraz ataków.

Dlatego łatwo zrozumieć, dlaczego badanie ransomware 2021 przeprowadzone przez International Data Corporation wykazało, że ponad jedna trzecia (37%) organizacji na całym świecie padła ofiarą ataku ransomware w 2021 roku. .

Jak firmy mogą odpowiedzieć?

Firmy muszą zareagować, aby odwrócić ten wzrost.

Aby zminimalizować swoje podatności, musisz najpierw wiedzieć, gdzie jesteś podatny. Dla wielu firm próba zdobycia tego zrozumienia może wydawać się przytłaczająca — szczególnie dla tych, którzy mają niewielką lub żadną wiedzę na temat cyberbezpieczeństwa. Zapewniamy jednak, że dostępne są rozwiązania i wsparcie.

Fioletowy Rycerz to dobry punkt wyjścia. Darmowe narzędzie do oceny bezpieczeństwa Active Directory, zbudowane i zarządzane przez wiodącą grupę ekspertów ds. tożsamości firmy Microsoft, może pomóc w wykryciu słabych punktów Active Directory, zanim zrobią to atakujący, podkreślając typowe luki, którymi należy się zająć.

Pełną gamę potencjalnych luk w zabezpieczeniach wymieniono w najnowszym raporcie Purple Knight. Ale na początek kilka typowych przykładów to:

• Dryf konfiguracji — Dryf konfiguracji jest wynikiem lat złych praktyk AD. Aplikacje muszą być skonfigurowane w AD, aby działały, ale to wymaga czasu. Szybkim rozwiązaniem tego problemu jest nadanie aplikacji zbyt wielu praw administracyjnych — coś, co firmy robiły w przeszłości, chcąc jak najszybciej uruchomić swoje nowe, błyszczące narzędzie. W rezultacie konta administracyjne zaczynają się gromadzić w AD. Jednak wystarczy jeden z nich zostać zaatakowany, aby nastąpiły katastrofalne konsekwencje.
  
• Starsze konta administratorów — Starsze konta administratorów stwarzają podobne problemy. To szkielety w szafie. Jeśli atakujący zdoła uzyskać dostęp do tych uprzywilejowanych kont, wróci, by cię prześladować.
  
• Słabe lub powszechne hasła – Atakujący nadal będą również próbować uzyskać dostęp do wielu kont, wypróbowując szereg powszechnie używanych haseł. Jest to znane jako rozpylanie haseł — technika, którą można łatwo udaremnić, eliminując używanie słabych lub powszechnych haseł w sieci.

Oczywiście identyfikacja i usuwanie tych luk to tylko niewielka część układanki. Aby skutecznie zwalczać rosnące zagrożenie cyberprzestępczością w perspektywie długoterminowej, organizacje muszą aktywnie stosować szereg najlepszych praktyk.

Mogą one obejmować wszystko, od przeprowadzania regularnych wewnętrznych audytów bezpieczeństwa i wprowadzania zwięzłych ulepszeń operacyjnych po regularne szkolenia personelu w zakresie phishingu i inwestowanie w procesy odzyskiwania w celu zapewnienia szybkiego odbicia w przypadku ataku.

Aby uzyskać wsparcie lub wskazówki dotyczące opracowania silnej ochrony we wszystkich obszarach, warto skonsultować się z oddanymi specjalistami specjalizującymi się w zabezpieczeniach usług AD, aby zrozumieć podstawowe zmiany, które należy wprowadzić. Ataki Active Directory nie są już kwestią czy, ale kiedy. Jeśli firmy zajmą się krytycznymi lukami w zabezpieczeniach AD, mają szansę na walkę. Jeśli nie, nadal będą siedzieć jak kaczki przygotowane do stawienia czoła najgorszym możliwym wynikom.