活動目錄安全 101

已發表: 2022-09-19

如今,大多數公司都依賴 Microsoft Active Directory (AD) 來保持運營。 但究竟什麼是AD?

AD 本質上是將員工連接到公司網絡上的資源(例如電子郵件或網絡文件共享)的網關。 管理員使用它來管理每個用戶的權限,在他們登錄時對其進行身份驗證並確定他們可以訪問哪些資源。

AD有很多好處。 它易於使用,已經存在多年,並且非常可靠。 然而,許多公司根本不知道隨之而來的安全風險。

廣告簡史

在 2000 年推出 AD 之前,Microsoft IT 目錄服務器無法擴展以充分支持大中型企業的需求,因此需要大量服務器。 例如,一家大約 1,000 人的公司可能需要 200 台不同的服務器。

這是公司的主要痛點。 不僅所有這些單獨的服務器都難以管理,每個服務器都需要唯一的登錄憑據,而且還使得文件共享等活動變得困難,因為它們無法輕鬆地相互通信。

AD 解決了這一挑戰。 它與應用程序輕鬆集成並在整個業務環境中提供單點登錄功能,改變了網絡體驗,並迅速變得無處不在。

二十年來,它的流行程度沒有改變。 這項近 25 年曆史的技術不僅沒有消失,反而比以往任何時候都更加重要,它是全球企業使用的大多數雲身份系統的基礎。

然而,雖然 AD 對於全球大多數組織仍然必不可少,但它也已成為一種安全責任。

為什麼今天的廣告是一個問題

AD 易受攻擊有幾個原因。

首先,它不是為應對複雜的安全威脅而設計的。 它是在勒索軟件、複雜的國家支持的網絡裝備以及雲計算的廣泛採用之前發布的。 這是一項來自不同時代的技術,因此無法有效應對我們今天面臨的許多高級威脅。

其次,AD 被設計為開放式以方便使用。 它信任那些登錄到網絡的用戶,以便優先考慮無縫的用戶體驗。 然而,今天的這種開放性對防御者來說是一個棘手的挑戰,對成功的滲透者幾乎沒有障礙。

第三,它的年齡意味著,在許多情況下,它已經隱藏了 20 多年的糟糕安全決策,這些決策最初是為了權宜之計而做出的,這些決策積累起來創造了一個即使是業餘攻擊者也難以錯過的巨大目標。

正是由於這個原因,大約 90% 的企業都因 AD 漏洞而面臨安全漏洞,並且十分之九的網絡攻擊以某種方式涉及 AD。

這樣的統計數據確實令人恐懼,用於針對 AD 的攻擊方法的簡單性也是如此。 讓我們一步一步看這個過程……

  1. 攻擊者將通過網絡釣魚攻擊 PC – 攻擊者將發送欺詐性消息或電子郵件,旨在誘騙目標洩露敏感信息,例如他們的 AD 登錄憑據。
  2. 然後他們努力在該本地機器上獲得特權—— 攻擊者可以通過多種方式提升他們在機器上的權限,利用設備上的漏洞。
    他們使用 AD 來查找其他設備—— 然後,攻擊者使用 AD 查找其他計算機,映射出該網絡中連接和使用的所有計算機。
  3. 接下來,攻擊者在更多設備上進行攻擊——從這裡開始,攻擊者在網絡中移動,進行難以檢測的偵察,攻擊許多機器以找到具有 AD 管理員權限的機器。
  4. 最後是對特權帳戶的安全訪問——最終他們可以訪問特權或管理員帳戶的憑據。 一旦他們擁有了它,他們就可以完全控制 AD 以及依賴它的一切。

一種流行的 AD 攻擊示例是所謂的 Golden Ticket 攻擊。 我們都熟悉羅爾德達爾小說查理和巧克力工廠中的金票。 在數字世界中,Golden Tickets 還提供對您組織的 IT 環境的訪問。 Golden Ticket 攻擊使威脅參與者可以不受限制地訪問網絡資源,並能夠無限期地駐留在網絡上,偽裝成具有憑據的管理員級用戶。

概述威脅

AD 不僅僅是一個問題,因為它很容易受到攻擊。 同樣,攻擊者的回報也很可觀。

AD基本上掌握著你王國的鑰匙。 想像一個存放辦公室物理鑰匙的保險箱——AD 就像那個保險箱。 它是訪問您的關鍵系統(您的計算機、軟件應用程序和其他資源)的中心樞紐。

這是危險的,因為它既簡單有利可圖。 2021 年,一家公司支付了高達 4000 萬美元的贖金,以重新訪問其網絡。

與此同時,攻擊者的進入門檻正在降低。 得益於蓬勃發展的勒索軟件即服務 (RaaS) 市場,他們不再需要精通技術。 相反,他們只是從這些人那裡購買工具和服務。

這是一個毀滅性的循環。 對攻擊者的回報正在增加,而所需的技術知識卻在不斷下降,從而以指數方式擴大了攻擊範圍。

因此,很容易理解為什麼國際數據公司的 2021 年勒索軟件研究最近顯示,超過三分之一 (37%) 的全球組織成為 2021 年勒索軟件攻擊的受害者。事實上,攻擊者的可能性很大.

企業如何應對?

公司必須做出反應以扭轉這種上升趨勢。

為了盡量減少您的漏洞,您首先需要知道您的漏洞在哪裡。 對於許多公司來說,試圖獲得這種理解可能會讓人感到不知所措——尤其是對於那些對網絡安全知之甚少甚至一無所知的公司。 但是,請放心,有解決方案和支持可以提供幫助。

紫騎士是一個很好的起點。 由領先的 Microsoft 身份專家小組構建和管理的免費 Active Directory 安全評估工具,它可以幫助您在攻擊者之前發現 Active Directory 中的弱點,突出應該解決的常見漏洞。

最新的 Purple Knight 報告中列出了一系列潛在漏洞。 但對於初學者來說,一些常見的例子包括:

  • 配置漂移——配置漂移是多年來不良 AD 實踐的結果。 應用程序需要在 AD 中配置才能工作,但這需要時間。 一個快速的解決方案是為應用程序提供過多的管理權限——這是公司歷史上做過的事情,希望盡快啟動並運行他們閃亮的新工具。 結果,管理帳戶開始在 AD 中累積。 然而,只要其中之一受到攻擊,災難性後果就會隨之而來。
  • 舊版管理員帳戶- 舊版管理員帳戶會帶來類似的問題。 他們是壁櫥裡的骷髏。 如果攻擊者設法訪問這些特權帳戶,那麼他們就會回來困擾您。
  • 弱密碼或通用密碼——攻擊者仍會嘗試通過嘗試一系列常用密碼來訪問多個帳戶。 這被稱為密碼噴射——一種可以通過消除在網絡中使用弱密碼或常見密碼而很容易被挫敗的技術。

當然,識別和解決這些漏洞只是難題的一小部分。 為了長期有效地打擊日益增長的網絡犯罪威脅,組織需要積極採用一系列最佳實踐。

這些可以包括從定期進行內部安全審計和進行簡潔的運營改進到定期對員工進行網絡釣魚培訓和投資恢復流程以確保在發生攻擊時快速反彈。

要獲得全面發展強大防禦的支持或指導,值得諮詢專門從事 AD 安全的專業人士,以了解您需要進行的核心更改。 Active Directory 攻擊不再是是否發生的問題,而是何時發生的問題。 如果公司解決了他們的關鍵 AD 漏洞,他們就有了戰鬥的機會。 如果不是這樣,他們將繼續坐在鴨子上,準備面對最壞的結果。