Active Directory ความปลอดภัย 101

เผยแพร่แล้ว: 2022-09-19

ปัจจุบันบริษัทส่วนใหญ่ใช้ Microsoft Active Directory (AD) เพื่อให้การดำเนินงานดำเนินต่อไป แต่ AD คืออะไร?

โดยพื้นฐานแล้ว AD คือเกตเวย์ที่เชื่อมต่อพนักงานกับทรัพยากรของพวกเขาบนเครือข่ายของบริษัท (เช่น อีเมลหรือไฟล์เครือข่ายที่ใช้ร่วมกัน) ผู้ดูแลระบบใช้เพื่อจัดการสิทธิ์ของผู้ใช้แต่ละราย ตรวจสอบสิทธิ์เมื่อเข้าสู่ระบบ และกำหนดว่าสามารถเข้าถึงทรัพยากรใดได้บ้าง

AD มีประโยชน์มากมาย ใช้งานง่าย มีมาหลายปีแล้ว และน่าเชื่อถืออย่างยิ่ง ทว่าหลายบริษัทยังไม่รู้เกี่ยวกับความเสี่ยงด้านความปลอดภัยที่มาพร้อมกับความเสี่ยง

ประวัติโดยย่อของ AD

ก่อนการเปิดตัว AD ในปี 2000 เซิร์ฟเวอร์ไดเรกทอรี IT ของ Microsoft ไม่ได้ปรับขนาดเพื่อรองรับความต้องการขององค์กรขนาดกลางและขนาดใหญ่อย่างเพียงพอ และจำเป็นต้องมีเซิร์ฟเวอร์จำนวนมาก บริษัทที่มีพนักงานประมาณ 1,000 คนอาจต้องการเซิร์ฟเวอร์ที่แตกต่างกัน 200 เซิร์ฟเวอร์ เป็นต้น

นี่เป็นจุดปวดที่สำคัญสำหรับบริษัทต่างๆ เซิร์ฟเวอร์เหล่านี้ไม่เพียงแต่จัดการได้ยากเท่านั้น แต่ละเซิร์ฟเวอร์ยังต้องการข้อมูลรับรองการเข้าสู่ระบบที่ไม่ซ้ำกัน แต่ยังทำให้กิจกรรมต่างๆ เช่น การแชร์ไฟล์ทำได้ยาก เนื่องจากไม่สามารถสื่อสารระหว่างกันได้

AD แก้ไขความท้าทายนี้ การผสานรวมกับแอปพลิเคชันอย่างง่ายดายและให้ความสามารถในการลงชื่อเพียงครั้งเดียวในสภาพแวดล้อมทางธุรกิจทั้งหมด ได้เปลี่ยนประสบการณ์เครือข่ายและกลายเป็นที่แพร่หลายอย่างรวดเร็ว

ความชุกของมันไม่เปลี่ยนแปลงในสองทศวรรษ แทนที่จะจางหายไป เทคโนโลยีที่มีอายุเกือบสี่ศตวรรษนี้มีความสำคัญมากกว่าที่เคย โดยทำหน้าที่เป็นรากฐานสำหรับระบบการระบุตัวตนบนคลาวด์ส่วนใหญ่ที่องค์กรทั่วโลกใช้

อย่างไรก็ตาม แม้ว่า AD ยังคงเป็นสิ่งจำเป็นสำหรับองค์กรส่วนใหญ่ทั่วโลก แต่ก็กลายเป็นความรับผิดชอบด้านความปลอดภัยด้วย

ทำไม AD ถึงเป็นปัญหาในวันนี้

AD มีความอ่อนไหวด้วยเหตุผลหลายประการ

ประการแรก ไม่ได้ออกแบบมาเพื่อจัดการกับภัยคุกคามด้านความปลอดภัยที่ซับซ้อน มันเปิดตัวในยุคก่อนแรนซัมแวร์ ชุดไซเบอร์ที่รัฐสนับสนุนอย่างซับซ้อน และการนำคลาวด์คอมพิวติ้งไปใช้อย่างแพร่หลาย เป็นเทคโนโลยีจากต่างเวลา ดังนั้นจึงไม่สามารถเผชิญหน้ากับภัยคุกคามขั้นสูงจำนวนมากที่เราเผชิญอยู่ในปัจจุบันได้อย่างมีประสิทธิภาพ

ประการที่สอง AD ได้รับการออกแบบให้เปิดเพื่อความสะดวกในการใช้งาน เชื่อถือผู้ใช้ที่ลงชื่อเข้าใช้เครือข่ายเพื่อจัดลำดับความสำคัญของประสบการณ์ผู้ใช้ที่ราบรื่น ทว่าการเปิดกว้างในทุกวันนี้ถือเป็นความท้าทายที่ยากสำหรับกองหลัง ทำให้เกิดอุปสรรคบางประการสำหรับผู้แทรกซึมที่ประสบความสำเร็จ

ประการที่สาม อายุของมันหมายความว่า ในหลายกรณี มันมีการตัดสินใจด้านความปลอดภัยที่ไม่ดีเป็นเวลากว่า 20 ปี ซึ่งเดิมสร้างขึ้นเพื่อประโยชน์ของความได้เปรียบที่สะสมไว้เพื่อสร้างเป้าหมายขนาดใหญ่ที่แม้แต่ผู้โจมตีมือสมัครเล่นก็ยังต้องดิ้นรนเพื่อพลาด

ด้วยเหตุนี้เองที่ประมาณ 90% ของธุรกิจทั้งหมดต้องเผชิญกับการละเมิดความปลอดภัยอันเป็นผลมาจากช่องโหว่ของ AD และ 9 ใน 10 ของการโจมตีทางไซเบอร์ทั้งหมดเกี่ยวข้องกับ AD ในทางใดทางหนึ่ง

สถิติดังกล่าวน่ากลัวจริงๆ และความเรียบง่ายของวิธีการโจมตีที่ใช้ในการกำหนดเป้าหมาย AD ก็เช่นกัน มาดูขั้นตอนกันเลย…

  1. ผู้โจมตีจะประนีประนอมพีซีผ่านฟิชชิ่ง ผู้โจมตีจะส่งข้อความหลอกลวงหรืออีเมลที่ออกแบบมาเพื่อหลอกให้เป้าหมายเปิดเผยข้อมูลที่ละเอียดอ่อน เช่น ข้อมูลรับรองการเข้าสู่ระบบสำหรับ AD
  2. จากนั้นพวกเขาก็ทำงานเพื่อรับสิทธิ์ในเครื่องนั้น ผู้โจมตีสามารถยกระดับสิทธิ์ของตนบนเครื่องได้หลายวิธี โดยใช้ประโยชน์จากช่องโหว่บนอุปกรณ์
    พวกเขาใช้ AD เพื่อค้นหาอุปกรณ์อื่นๆ จากนั้นผู้โจมตีจะใช้ AD เพื่อค้นหาคอมพิวเตอร์เครื่องอื่น โดยทำแผนที่เครื่องทั้งหมดที่เชื่อมต่อและใช้งานภายในเครือข่ายนั้น
  3. ต่อไป ผู้โจมตีจะเข้าสู่อุปกรณ์ต่างๆ มากขึ้น – จากที่นี่ ผู้โจมตีจะเคลื่อนที่ไปรอบๆ เครือข่ายเพื่อทำการลาดตระเวนที่ตรวจจับได้ยาก โจมตีเครื่องจำนวนมากเพื่อค้นหาเครื่องที่มีสิทธิ์ของผู้ดูแลระบบ AD
  4. และในที่สุดก็ปลอดภัยในการเข้าถึงบัญชีที่มีสิทธิพิเศษ – ในที่สุดพวกเขาก็จะเข้าถึงข้อมูลประจำตัวของบัญชีที่มีสิทธิพิเศษหรือของผู้ดูแลระบบ เมื่อมีสิ่งนั้นแล้ว พวกเขาก็สามารถควบคุม AD และทุกอย่างที่ขึ้นอยู่กับมันได้อย่างเต็มที่

ตัวอย่างหนึ่งของการโจมตี AD ที่ได้รับความนิยมคือการโจมตี Golden Ticket เราทุกคนต่างคุ้นเคยกับตั๋วทองในนวนิยายเรื่อง Charlie & the Chocolate Factory ของ Roald Dahl ในโลกดิจิทัล Golden Tickets ยังให้การเข้าถึงสภาพแวดล้อมไอทีขององค์กรของคุณอีกด้วย การโจมตีด้วย Golden Ticket ช่วยให้ผู้คุกคามสามารถเข้าถึงทรัพยากรในเครือข่ายได้อย่างไม่มีขอบเขต และความสามารถในการอาศัยอยู่ในเครือข่ายอย่างไม่มีกำหนด โดยปลอมตัวเป็นผู้ใช้ระดับผู้ดูแลระบบที่ได้รับการรับรอง

สรุปภัยคุกคาม

AD ไม่ได้เป็นเพียงปัญหาเพราะง่ายต่อการโจมตี รางวัลสำหรับผู้โจมตีก็สำคัญไม่แพ้กัน

AD ถือกุญแจสู่อาณาจักรของคุณเป็นหลัก ลองนึกภาพตู้เซฟที่คุณเก็บกุญแจจริงไว้ที่สำนักงานของคุณ โฆษณาก็เหมือนกับตู้เซฟนั้น เป็นศูนย์กลางในการเข้าถึงระบบที่สำคัญของคุณ เช่น คอมพิวเตอร์ แอปพลิเคชันซอฟต์แวร์ และทรัพยากรอื่นๆ

มันอันตรายเพราะมันทั้งง่าย และ ร่ำรวย ในปี 2564 บริษัทแห่งหนึ่งจ่ายเงินค่าไถ่สูงถึง 40 ล้านดอลลาร์เพื่อเข้าถึงเครือข่ายของตน

ในขณะเดียวกัน อุปสรรคในการเข้ามาของผู้โจมตีก็ลดลง ต้องขอบคุณตลาด ransomware-as-a-service (RaaS) ที่เฟื่องฟู พวกเขาไม่จำเป็นต้องมีความรู้ด้านเทคนิคอีกต่อไป แต่พวกเขาเพียงแค่ซื้อเครื่องมือและบริการจากผู้ที่อยู่

เป็นวงจรอุบาทว์ รางวัลสำหรับผู้โจมตีเพิ่มขึ้นในขณะที่ความรู้ด้านเทคนิคที่จำเป็นยังคงลดลง ขยายแนวการโจมตีแบบทวีคูณ

ดังนั้นจึงเป็นเรื่องง่ายที่จะเห็นว่าทำไมการศึกษา Ransomware ประจำปี 2021 ของ International Data Corporation เปิดเผยว่าองค์กรทั่วโลกมากกว่าหนึ่งในสาม (37%) ตกเป็นเหยื่อของการโจมตีด้วยแรนซัมแวร์ในปี 2564 แท้จริงแล้ว โอกาสที่จะได้รับผลประโยชน์จากผู้โจมตีกลับลดลง .

บริษัทจะตอบสนองอย่างไร?

บริษัทต่างๆ จะต้องตอบสนองเพื่อพลิกกระแสที่เพิ่มขึ้นนี้

ในการลดความเสี่ยงของคุณ ก่อนอื่นคุณต้องรู้ว่าคุณมีความเสี่ยงที่ใด สำหรับบริษัทหลายๆ แห่ง การพยายามทำความเข้าใจเรื่องนี้อาจรู้สึกหนักใจ โดยเฉพาะอย่างยิ่งสำหรับผู้ที่ไม่มีความรู้เรื่องความปลอดภัยทางไซเบอร์เพียงเล็กน้อยหรือไม่มีเลย อย่างไรก็ตาม วางใจได้ว่ามีวิธีแก้ไขและการสนับสนุนที่พร้อมให้ความช่วยเหลือ

Purple Knight เป็นจุดเริ่มต้นที่ดี เครื่องมือประเมินความปลอดภัย Active Directory ฟรีที่สร้างและจัดการโดยกลุ่มผู้เชี่ยวชาญด้านข้อมูลประจำตัวของ Microsoft ชั้นนำ ช่วยให้คุณระบุจุดอ่อนใน Active Directory ของคุณก่อนผู้โจมตีจะทำ โดยเน้นถึงช่องโหว่ทั่วไปที่ควรแก้ไข

ช่องโหว่ที่อาจเกิดขึ้นทั้งหมดมีอยู่ในรายงาน Purple Knight ฉบับล่าสุด แต่สำหรับผู้เริ่มต้น ตัวอย่างทั่วไปได้แก่:

  • การเลื่อนการกำหนดค่า – การเลื่อน การกำหนดค่าเป็นผลมาจากการปฏิบัติโฆษณาที่ไม่ดีมาหลายปี แอปต้องได้รับการกำหนดค่าใน AD เพื่อให้ทำงานได้ แต่ต้องใช้เวลา วิธีแก้ปัญหาอย่างรวดเร็วคือให้สิทธิ์การดูแลระบบแก่แอปพลิเคชันมากเกินไป ซึ่งเป็นสิ่งที่บริษัทต่างๆ เคยทำมาในอดีต โดยต้องการนำเครื่องมือใหม่ที่เป็นประกายของตนและเรียกใช้โดยเร็ว เป็นผลให้บัญชีผู้ดูแลระบบเริ่มสะสมใน AD ทว่าต้องใช้เวลาเพียงหนึ่งในสิ่งเหล่านี้เพื่อโจมตีสำหรับผลร้ายแรงที่จะเกิดขึ้น
  • บัญชีผู้ดูแลระบบแบบเดิม – บัญชี ผู้ดูแลระบบแบบเดิมก่อให้เกิดปัญหาที่คล้ายคลึงกัน พวกเขาเป็นโครงกระดูกในตู้เสื้อผ้า หากผู้โจมตีสามารถเข้าถึงบัญชีที่มีสิทธิพิเศษเหล่านี้ พวกเขาจะกลับมาหลอกหลอนคุณ
  • รหัสผ่านที่ไม่รัดกุมหรือรหัสผ่านทั่วไป – ผู้โจมตีจะยังคงพยายามเข้าถึงหลายบัญชีโดยลองใช้รหัสผ่านที่ใช้กันทั่วไปในช่วงต่างๆ สิ่งนี้เรียกว่าการพ่นรหัสผ่าน ซึ่งเป็นเทคนิคที่สามารถขัดขวางได้อย่างง่ายดายโดยกำจัดการใช้รหัสผ่านที่ไม่รัดกุมหรือรหัสผ่านทั่วไปในเครือข่ายของคุณ

แน่นอนว่าการระบุและจัดการกับช่องโหว่เหล่านี้เป็นเพียงส่วนเล็กๆ ของปริศนาเท่านั้น เพื่อต่อสู้กับภัยคุกคามที่เพิ่มมากขึ้นของอาชญากรรมทางอินเทอร์เน็ตในระยะยาว องค์กรจำเป็นต้องนำแนวปฏิบัติที่ดีที่สุดมาใช้อย่างจริงจัง

สิ่งเหล่านี้อาจรวมถึงอะไรก็ได้ตั้งแต่การตรวจสอบความปลอดภัยภายในเป็นประจำและการปรับปรุงการปฏิบัติงานโดยสังเขปไปจนถึงการฝึกอบรมพนักงานทั่วไปเกี่ยวกับฟิชชิ่งและการลงทุนในกระบวนการกู้คืนเพื่อให้แน่ใจว่ามีการดีดกลับอย่างรวดเร็วหากมีการโจมตี

สำหรับการสนับสนุนหรือคำแนะนำในการพัฒนาการป้องกันที่แข็งแกร่งทั่วกระดาน คุณควรปรึกษาผู้เชี่ยวชาญเฉพาะทางที่เชี่ยวชาญด้านการรักษาความปลอดภัย AD เพื่อทำความเข้าใจการเปลี่ยนแปลงหลักที่คุณต้องทำ การโจมตี Active Directory จะไม่เป็นปัญหาอีกต่อไปว่าจะเกิดขึ้นเมื่อใด หากบริษัทต่างๆ จัดการกับช่องโหว่ AD ที่สำคัญ พวกเขาก็มีโอกาสต่อสู้ หากไม่เป็นเช่นนั้น พวกเขาจะยังคงเป็นเป็ดนั่งต่อไปเพื่อเผชิญกับผลลัพธ์ที่แย่ที่สุด