Търсене
Close this search box.

Правителствени агенции от страните от инициативата „Пет очи“ публикуваха насоки за техниките, които заплахите използват, за да атакуват Active Directory, като предоставиха и препоръки за тяхното ограничаване.

Широко използвано решение за удостоверяване и оторизация в предприятията, Microsoft Active Directory предоставя множество услуги и опции за удостоверяване за локални и базирани в облака активи и представлява ценна цел за лошите играчи, казват агенциите.

„Active Directory“ е податлива на компрометиране поради разрешаващите си настройки по подразбиране, сложните си връзки и разрешения; поддръжката на стари протоколи и липсата на инструменти за диагностициране на проблеми със сигурността на „Active Directory“. Тези проблеми често се използват от злонамерени хакери за компрометиране на Active Directory“, се казва в ръководството (PDF).

Повърхността за атаки на AD е изключително голяма, главно защото всеки потребител има права да идентифицира и използва слабостите и защото връзката между потребителите и системите е сложна и непрозрачна. Тя често се използва от заплахите, за да поемат контрол над корпоративните мрежи и да се задържат в средата за дълъг период от време, което изисква драстично и скъпо възстановяване и отстраняване на повредите.

„Получаването на контрол върху активната директория дава на злонамерените типове привилегирован достъп до всички системи и потребители, които Active Directory управлява. С този привилегирован достъп злонамерените хакери могат да заобиколят други механизми за контрол и да получат достъп до системи, включително до имейл и файлови сървъри, както и до критични бизнес приложения по свое желание“, се посочва в ръководството.

Основният приоритет за организациите при намаляване на вредите от компрометиране на AD, отбелязват агенциите, които са автори на ръководството, е осигуряването на привилегирован достъп, което може да се постигне чрез използване на многостепенни модели, като например Enterprise Access Model на Microsoft.

Многостепенният модел гарантира, че потребителите от по-високо ниво не излагат своите идентификационни данни на системите от по-ниско ниво, потребителите от по-ниско ниво могат да използват услуги, предоставяни от по-високите нива, налага се йерархия за подходящ контрол, а пътищата за привилегирован достъп са защитени чрез минимизиране на техния брой и прилагане на защити и мониторинг.

„Прилагането на модела за корпоративен достъп на Microsoft значително затруднява изпълнението на много техники, използвани срещу активната директория, а някои от тях прави невъзможни. Злосторниците ще трябва да прибягват до по-сложни и по-рискови техники, като по този начин се увеличава вероятността техните дейности да бъдат открити“, се казва в ръководството.

Най-често срещаните техники за компрометиране на AD, както се вижда от документа, включват Kerberoasting, AS-REP roasting, password spraying, MachineAccountQuota compromest, unconstrained delegation exploitation, GPP passwords compromest, certificate services compromest, Golden Certificate, DCSync, dumping ntds.dit, Golden Ticket, Silver Ticket, Golden SAML, Microsoft Entra Connect compromest, one-way domain trust bypass, SID history compromest и Skeleton Key.

„Откриването на компрометиране на Active Directory може да бъде трудно, отнемащо време и ресурси, дори за организации със зрели възможности за управление на информацията и събитията в областта на сигурността (SIEM) и център за операции по сигурността (SOC). Това е така, защото много от пробивите на Active Directory използват легитимна функционалност и генерират същите събития, които се генерират от нормална дейност“, се казва в ръководството.

Един от ефективните методи за откриване на компромати е използването на „канарни“ обекти в AD, които не разчитат на корелация на дневниците за събития или на откриване на инструментариума, използван по време на проникването, а идентифицират самия компромат. Канарните обекти могат да помогнат за откриването на компрометиране на Kerberoasting, AS-REP Roasting и DCSync, казват агенциите, които са автори на доклада.

Източник: По материали от Интернет

Подобни публикации

11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
10 октомври 2024

Какво е Command Prompt, какво е Terminal и кое ...

Чували ли сте някога за Command Prompt на Windows? Или Terminal на ...
10 октомври 2024

Нов проект на Google има за цел да се превърне ...

Днес Google обяви старта на Глобалния обмен на сигнали (GSE) –...
10 октомври 2024

Marriott се съгласи да плати 52 млн. долара и д...

Marriott International се съгласи да плати 52 млн. долара и да напр...
10 октомври 2024

Атаката на American Water подновява фокуса върх...

Кибератака продължава да засяга най-голямата регулирана компания за...
Бъдете социални
Още по темата
09/10/2024

Microsoft потвърждава експл...

Във вторник Microsoft издаде спешно предупреждение...
03/10/2024

Microsoft представя Copilot...

Във вторник Microsoft представи нов инструмент...
21/09/2024

Windows Server 2025 ще се ...

Microsoft обяви днес, че Hotpatching вече...
Последно добавени
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
11/10/2024

Киберсигурността - стълбът ...

Октомври е не само първият месец...
11/10/2024

31 милиона потребители са з...

Интернет архивът потвърди, че е бил...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!