Безопасность Active Directory 101

Сегодня большинство компаний полагаются на Microsoft Active Directory (AD) для поддержания своей работы. Но что такое AD?

По сути, AD — это шлюз, соединяющий сотрудников с их ресурсами в сети компании (такими как электронная почта или сетевые файловые ресурсы). Он используется администраторами для управления разрешениями каждого пользователя, аутентификации их при входе в систему и определения того, к каким ресурсам они могут получить доступ.

AD имеет много преимуществ. Он прост в использовании, существует уже много лет и чрезвычайно надежен. Тем не менее, многие компании просто не знают о связанных с этим угрозах безопасности.

Краткая история нашей эры

До запуска AD в 2000 году серверы ИТ-каталогов Microsoft не могли адекватно удовлетворять потребности средних и крупных предприятий, и требовалось очень много серверов. Например, компании из примерно 1000 человек могло понадобиться 200 различных серверов.

Это было серьезной проблемой для компаний. Мало того, что всеми этими отдельными серверами было трудно управлять, каждый из которых требовал уникальных учетных данных для входа, это также затрудняло такие действия, как обмен файлами, поскольку они не могли легко общаться друг с другом.

AD решила эту проблему. Легко интегрируясь с приложениями и предоставляя возможности единого входа во всей бизнес-среде, он преобразил работу в сети и быстро стал повсеместным.

Его распространенность не изменилась за два десятилетия. Эта технология, которой уже почти четверть века, не исчезает, а сейчас важнее, чем когда-либо, выступая в качестве основы для большинства облачных систем идентификации, используемых предприятиями по всему миру.

Однако, хотя AD по-прежнему имеет важное значение для большинства организаций по всему миру, она также стала проблемой безопасности.

Почему AD является проблемой сегодня

AD уязвима по нескольким причинам.

Во-первых, он не был предназначен для борьбы со сложными угрозами безопасности. Он был выпущен в эпоху, когда еще не было программ-вымогателей, изощренных киберподразделений, поддерживаемых государством, и широкого распространения облачных вычислений. Это технология из другого времени, и поэтому она не может эффективно противостоять многим передовым угрозам, с которыми мы сталкиваемся сегодня.

Во-вторых, AD была разработана открытой для облегчения использования. Он доверяет тем пользователям, которые вошли в сеть, чтобы отдать приоритет беспрепятственному взаимодействию с пользователем. Тем не менее, эта открытость сегодня представляет собой сложную задачу для защитников, не представляющую особых барьеров для успешных злоумышленников.

В-третьих, его возраст означает, что во многих случаях он хранил 20 с лишним лет плохих решений в области безопасности, изначально принятых ради целесообразности, которые накопились, чтобы создать массивную цель, которую даже злоумышленники-любители с трудом пропустили бы.

Именно по этой причине примерно 90% всех предприятий подвергаются нарушениям безопасности в результате уязвимостей AD, и девять из десяти всех кибератак так или иначе связаны с AD.

Такая статистика действительно пугает, как и простота методов атаки на AD. Рассмотрим процесс поэтапно…

1. Злоумышленник скомпрометирует компьютер с помощью фишинга . Злоумышленник отправит мошенническое сообщение или электронное письмо, предназначенное для того, чтобы обманным путем заставить свою цель раскрыть конфиденциальную информацию, например учетные данные для входа в AD.
2. Затем они работают, чтобы получить привилегии на этой локальной машине — Злоумышленники могут повысить свои привилегии на машине различными способами, используя уязвимости на устройстве.
   Они используют AD для поиска других устройств — Затем злоумышленники используют AD для поиска других компьютеров, отображая все машины, подключенные и используемые в этой сети.
3. Затем злоумышленники проникают на другие устройства . Отсюда злоумышленники перемещаются по сети, проводя труднообнаруживаемую разведку, атакуя множество машин, чтобы найти ту, у которой есть права администратора AD.
4. И, наконец, безопасный доступ к привилегированной учетной записи . В конце концов они получают доступ к учетным данным привилегированной учетной записи или учетной записи администратора. Получив это, они получают полный контроль над AD и всем, что от него зависит.

Одним из примеров популярной атаки AD является так называемая атака Golden Ticket. Мы все знакомы с золотым билетом в романе Роальда Даля «Чарли и шоколадная фабрика». В цифровом мире Golden Tickets также обеспечивает доступ к ИТ-среде вашей организации. Атака Golden Ticket дает злоумышленникам беспрепятственный доступ к сетевым ресурсам и возможность находиться в сети неограниченное время, маскируясь под учетных данных пользователей уровня администратора.

Описание угрозы

AD представляет собой проблему не только потому, что ее легко атаковать. В равной степени награды для злоумышленников значительны.

AD, по сути, держит ключи от вашего королевства. Представьте себе сейф, в котором вы храните физические ключи от своего офиса — AD именно такой сейф. Это центральный узел доступа к критически важным системам — компьютерам, программным приложениям и другим ресурсам.

Это опасно, потому что это одновременно просто и прибыльно. В 2021 году одна компания заплатила выкуп в размере до 40 миллионов долларов, чтобы получить доступ к своей сети.

При этом барьеры входа для злоумышленников снижаются. Благодаря быстро развивающемуся рынку программ-вымогателей как услуги (RaaS) им больше не нужно быть технически подкованным. Вместо этого они просто покупают инструменты и услуги у тех, кто ими пользуется.

Это разрушительный цикл. Награды для злоумышленников растут, в то время как необходимые технические знания продолжают снижаться, экспоненциально расширяя ландшафт атак.

Поэтому легко понять, почему исследование программ-вымогателей, проведенное International Data Corporation в 2021 году, недавно показало, что более трети (37%) глобальных организаций стали жертвами атак программ-вымогателей в 2021 году. Действительно, шансы сильно склоняются в пользу злоумышленников. .

Как компании могут реагировать?

Компании должны отреагировать, чтобы переломить этот прилив.

Чтобы свести к минимуму свою уязвимость, вам сначала нужно знать, где вы уязвимы. Для многих компаний попытка получить это понимание может показаться непосильной задачей, особенно для тех, у кого практически нет знаний о кибербезопасности. Тем не менее, будьте уверены, есть решения и поддержка, которые помогут вам.

Purple Knight — хорошая отправная точка. Бесплатный инструмент оценки безопасности Active Directory, созданный и управляемый ведущей группой экспертов Microsoft по идентификации, может помочь вам обнаружить слабые места в вашей Active Directory до того, как это сделают злоумышленники, выделяя распространенные уязвимости, которые необходимо устранить.

Полный спектр потенциальных уязвимостей указан в последнем отчете Purple Knight. Но для начала приведем несколько распространенных примеров:

• Дрейф конфигурации. Дрейф конфигурации является результатом многолетнего неправильного использования AD. Приложения должны быть настроены в AD для работы, но это требует времени. Быстрое решение этой проблемы — дать приложению слишком много административных прав — то, что компании делали исторически, желая как можно скорее запустить свой новый блестящий инструмент. В результате административные учетные записи начинают накапливаться в AD. Но достаточно, чтобы один из них подвергся нападению, чтобы наступили катастрофические последствия.
  
• Устаревшие учетные записи администраторов. У старых учетных записей администраторов возникают аналогичные проблемы. Они скелеты в шкафу. Если злоумышленнику удастся получить доступ к этим привилегированным учетным записям, они вернутся, чтобы преследовать вас.
  
• Слабые или распространенные пароли . Злоумышленники также будут пытаться получить доступ к нескольким учетным записям, пробуя диапазон часто используемых паролей. Это известно как распыление паролей — метод, которому можно легко помешать, исключив использование слабых или распространенных паролей в вашей сети.

Конечно, выявление и устранение этих уязвимостей — лишь малая часть головоломки. Чтобы эффективно бороться с растущей угрозой киберпреступности в долгосрочной перспективе, организациям необходимо активно внедрять ряд передовых методов.

Это может включать в себя что угодно, от проведения регулярных внутренних аудитов безопасности и внесения кратких операционных улучшений до проведения регулярного обучения персонала фишингу и инвестирования в процессы восстановления, чтобы обеспечить быстрое восстановление в случае атаки.

Для поддержки или руководства по разработке надежной защиты по всем направлениям стоит проконсультироваться с преданными профессионалами, специализирующимися на безопасности AD, чтобы понять основные изменения, которые вам необходимо внести. Атаки Active Directory больше не являются вопросом «если», а вопросом «когда». Если компании устранят свои критические уязвимости в AD, у них появится шанс на победу. В противном случае они останутся сидячей уткой, готовой столкнуться с наихудшими возможными последствиями.