Securitate Active Directory 101

Majoritatea companiilor de astăzi se bazează pe Microsoft Active Directory (AD) pentru a-și menține operațiunile în funcțiune. Dar ce este mai exact AD?

AD este, în esență, poarta de acces care conectează angajații la resursele lor dintr-o rețea a companiei (cum ar fi e-mailul sau partajările de fișiere din rețea). Este folosit de administratori pentru a gestiona permisiunile fiecărui utilizator, autentificându-le pe măsură ce se conectează și determinând ce resurse pot accesa.

AD are multe beneficii. Este ușor de utilizat, există de mulți ani și este extrem de fiabil. Cu toate acestea, multe companii pur și simplu nu știu despre riscurile de securitate pe care le implică.

O scurtă istorie a AD

Înainte de lansarea AD în 2000, serverele de directoare Microsoft IT nu s-au scalat pentru a susține în mod adecvat nevoile întreprinderilor mijlocii și mari și erau necesare atât de multe servere. O companie de aproximativ 1.000 de oameni ar fi avut nevoie de 200 de servere diferite, de exemplu.

Acesta a fost un punct de durere major pentru companii. Nu numai că toate aceste servere individuale au fost greu de gestionat, fiecare necesitând acreditări unice de conectare, dar a îngreunat și activități precum partajarea fișierelor, deoarece nu puteau comunica cu ușurință între ele.

AD a rezolvat această provocare. Integrandu-se cu ușurință cu aplicațiile și oferind capabilități de conectare unică într-un întreg mediu de afaceri, a transformat experiența de rețea, devenind rapid omniprezentă.

Prevalența sa nu s-a schimbat în două decenii. În loc să dispară, această tehnologie veche de aproape un sfert de secol este acum mai importantă ca niciodată, acționând ca fundație pentru majoritatea sistemelor de identitate cloud utilizate de întreprinderi la nivel global.

Cu toate acestea, deși AD este încă esențial pentru majoritatea organizațiilor din întreaga lume, a devenit, de asemenea, o răspundere de securitate.

De ce AD ​​este o problemă astăzi

AD este vulnerabilă din mai multe motive.

În primul rând, nu a fost conceput pentru a face față amenințărilor complexe de securitate. A fost lansat într-o eră înainte de ransomware, echipamente cibernetice sofisticate susținute de statul național și adoptarea pe scară largă a cloud computing. Este o tehnologie dintr-o altă epocă și, prin urmare, nu se poate confrunta în mod eficient cu multe dintre amenințările avansate cu care ne confruntăm astăzi.

În al doilea rând, AD a fost conceput pentru a fi deschis pentru a facilita ușurința în utilizare. Are încredere în acei utilizatori conectați la o rețea pentru a acorda prioritate unei experiențe de utilizator fără întreruperi. Cu toate acestea, această deschidere de astăzi este o provocare dificilă pentru apărători, prezentând puține bariere pentru infiltrații de succes.

În al treilea rând, vârsta sa înseamnă că, în multe cazuri, a găzduit peste 20 de ani de decizii proaste de securitate luate inițial de dragul oportunității, care s-au acumulat pentru a crea o țintă masivă pe care chiar și atacatorii amatori s-ar strădui să o rateze.

Din acest motiv, aproximativ 90% din toate companiile sunt expuse la breșe de securitate ca urmare a vulnerabilităților AD, iar nouă din 10 dintre toate atacurile cibernetice implică AD într-un fel.

Astfel de statistici sunt cu adevărat înfricoșătoare, la fel și simplitatea metodelor de atac folosite pentru a viza AD. Să vedem procesul pas cu pas...

1. Un atacator va compromite un computer prin phishing – Un atacator va trimite un mesaj sau un e-mail fraudulent conceput pentru a-și păcăli ținta să dezvăluie informații sensibile, cum ar fi datele de conectare pentru AD.
2. Apoi lucrează pentru a obține privilegii pe acea mașină locală - Atacatorii își pot ridica privilegiile pe mașină într-o varietate de moduri, exploatând vulnerabilitățile dispozitivului.
   Ei folosesc AD pentru a găsi alte dispozitive - Atacatorii folosesc apoi AD pentru a găsi alte computere, cartografiind toate mașinile conectate și utilizate în acea rețea.
3. Apoi, atacatorii se află pe mai multe dispozitive – De aici, atacatorii se deplasează într-o rețea care efectuează recunoașteri greu de detectat, atacând multe mașini pentru a găsi una care are drepturi de administrator AD.
4. Și, în sfârșit, accesul securizat la un cont privilegiat – În cele din urmă, aceștia obțin acces la acreditările unui cont privilegiat sau de administrator. Odată ce au asta, au controlul deplin asupra AD și a tot ceea ce depinde de ea.

Un exemplu de atac popular AD este așa-numitul atac Golden Ticket. Cu toții suntem familiarizați cu biletul de aur din romanul lui Roald Dahl Charlie și fabrica de ciocolată. În lumea digitală, Golden Tickets oferă și acces la mediul IT al organizației dumneavoastră. Un atac Golden Ticket oferă actorilor amenințărilor acces neîngrădit la resursele din rețea și capacitatea de a locui în rețele pe termen nelimitat, deghizați în utilizatori la nivel de administrator acreditați.

Conturând amenințarea

AD nu este pur și simplu o problemă pentru că este ușor de atacat. În egală măsură, recompensele pentru atacatori sunt semnificative.

AD deține în esență cheile regatului tău. Imaginează-ți un seif în care depozitezi cheile fizice ale biroului tău — AD este exact așa. Este centrul central de acces la sistemele dumneavoastră critice – computerele, aplicațiile software și alte resurse.

Este periculos pentru că este atât simplu, cât și profitabil. În 2021, o companie a plătit o răscumpărare de până la 40 de milioane de dolari pentru a avea acces înapoi la rețeaua sa.

În același timp, barierele de intrare pentru atacatori se scad. Datorită unei piețe în plină expansiune de ransomware-as-a-service (RaaS), aceștia nu mai trebuie să fie cunoscători din punct de vedere tehnic. În schimb, pur și simplu cumpără instrumente și servicii de la cei care sunt.

Este un ciclu devastator. Recompensele pentru atacatori sunt în creștere în timp ce cunoștințele tehnice necesare continuă să scadă, lărgind exponențial peisajul atacurilor.

Prin urmare, este ușor de înțeles de ce un studiu privind ransomware 2021 al International Data Corporation a dezvăluit recent că mai mult de o treime (37%) din organizațiile globale au fost victimele unui atac ransomware în 2021. Într-adevăr, șansele sunt înclinate ferm în favoarea atacatorilor. .

Cum pot răspunde companiile?

Companiile trebuie să răspundă pentru a schimba acest val în creștere.

Pentru a vă minimiza vulnerabilitățile, mai întâi trebuie să știți unde sunteți vulnerabil. Pentru multe companii, încercarea de a obține această înțelegere poate fi copleșitoare, în special pentru cei cu puține sau deloc cunoștințe despre securitatea cibernetică. Cu toate acestea, fiți siguri că există soluții și asistență disponibile pentru a vă ajuta.

Purple Knight este un bun punct de plecare. Un instrument gratuit de evaluare a securității Active Directory, construit și gestionat de un grup lider de experți în identitate Microsoft, vă poate ajuta să identificați punctele slabe din Active Directory înainte ca atacatorii să o facă, evidențiind vulnerabilitățile comune care ar trebui abordate.

O gamă completă de vulnerabilități potențiale sunt enumerate în cel mai recent raport Purple Knight. Dar, pentru început, câteva exemple comune includ:

• Derivarea configurației – Deviația configurației este rezultatul anilor de practici AD slabe. Aplicațiile trebuie configurate în AD pentru a funcționa, dar acest lucru necesită timp. O soluție rapidă la acest lucru este să acordați prea multe drepturi administrative aplicației - ceva ce companiile au făcut istoric, dorind să pună în funcțiune noul lor instrument strălucitor cât mai curând posibil. Ca urmare, conturile administrative încep să se acumuleze în AD. Cu toate acestea, este nevoie doar de unul dintre acestea pentru a fi atacat pentru a avea consecințe catastrofale.
  
• Conturi de administrator vechi – Conturile de administrator vechi prezintă probleme similare. Sunt schelete în dulap. Dacă un atacator reușește să acceseze aceste conturi privilegiate, atunci se va întoarce să te bântuie.
  
• Parole slabe sau comune – Atacatorii vor încerca în continuare să acceseze mai multe conturi încercând o serie de parole utilizate în mod obișnuit. Acest lucru este cunoscut sub denumirea de pulverizare a parolelor - o tehnică care poate fi dejucată cu ușurință prin eliminarea utilizării parolelor slabe sau comune în rețeaua dvs.

Desigur, identificarea și abordarea acestor vulnerabilități este doar o mică parte a puzzle-ului. Pentru a combate eficient amenințarea tot mai mare a criminalității cibernetice pe termen lung, organizațiile trebuie să adopte în mod activ o serie de bune practici.

Acestea pot include orice, de la efectuarea de audituri interne regulate de securitate și realizarea de îmbunătățiri operaționale succinte, până la furnizarea de formare regulată a personalului despre phishing și investiții în procese de recuperare pentru a asigura o revenire rapidă în cazul în care are loc un atac.

Pentru asistență sau îndrumări în dezvoltarea unei apărări puternice la nivel global, merită să consultați profesioniști dedicați specializați în securitate AD pentru a înțelege schimbările de bază pe care trebuie să le faceți. Atacurile Active Directory nu mai sunt o problemă de dacă, ci când. Dacă companiile își abordează vulnerabilitățile critice AD, au o șansă de luptă. Dacă nu, ei vor continua să fie niște rațe pregătite să se confrunte cu cele mai rele rezultate posibile.