Правителствени агенции от страните от инициативата „Пет очи“ публикуваха насоки за техниките, които заплахите използват, за да атакуват Active Directory, като предоставиха и препоръки за тяхното ограничаване.
Широко използвано решение за удостоверяване и оторизация в предприятията, Microsoft Active Directory предоставя множество услуги и опции за удостоверяване за локални и базирани в облака активи и представлява ценна цел за лошите играчи, казват агенциите.
„Active Directory“ е податлива на компрометиране поради разрешаващите си настройки по подразбиране, сложните си връзки и разрешения; поддръжката на стари протоколи и липсата на инструменти за диагностициране на проблеми със сигурността на „Active Directory“. Тези проблеми често се използват от злонамерени хакери за компрометиране на Active Directory“, се казва в ръководството (PDF).
Повърхността за атаки на AD е изключително голяма, главно защото всеки потребител има права да идентифицира и използва слабостите и защото връзката между потребителите и системите е сложна и непрозрачна. Тя често се използва от заплахите, за да поемат контрол над корпоративните мрежи и да се задържат в средата за дълъг период от време, което изисква драстично и скъпо възстановяване и отстраняване на повредите.
„Получаването на контрол върху активната директория дава на злонамерените типове привилегирован достъп до всички системи и потребители, които Active Directory управлява. С този привилегирован достъп злонамерените хакери могат да заобиколят други механизми за контрол и да получат достъп до системи, включително до имейл и файлови сървъри, както и до критични бизнес приложения по свое желание“, се посочва в ръководството.
Основният приоритет за организациите при намаляване на вредите от компрометиране на AD, отбелязват агенциите, които са автори на ръководството, е осигуряването на привилегирован достъп, което може да се постигне чрез използване на многостепенни модели, като например Enterprise Access Model на Microsoft.
Многостепенният модел гарантира, че потребителите от по-високо ниво не излагат своите идентификационни данни на системите от по-ниско ниво, потребителите от по-ниско ниво могат да използват услуги, предоставяни от по-високите нива, налага се йерархия за подходящ контрол, а пътищата за привилегирован достъп са защитени чрез минимизиране на техния брой и прилагане на защити и мониторинг.
„Прилагането на модела за корпоративен достъп на Microsoft значително затруднява изпълнението на много техники, използвани срещу активната директория, а някои от тях прави невъзможни. Злосторниците ще трябва да прибягват до по-сложни и по-рискови техники, като по този начин се увеличава вероятността техните дейности да бъдат открити“, се казва в ръководството.
Най-често срещаните техники за компрометиране на AD, както се вижда от документа, включват Kerberoasting, AS-REP roasting, password spraying, MachineAccountQuota compromest, unconstrained delegation exploitation, GPP passwords compromest, certificate services compromest, Golden Certificate, DCSync, dumping ntds.dit, Golden Ticket, Silver Ticket, Golden SAML, Microsoft Entra Connect compromest, one-way domain trust bypass, SID history compromest и Skeleton Key.
„Откриването на компрометиране на Active Directory може да бъде трудно, отнемащо време и ресурси, дори за организации със зрели възможности за управление на информацията и събитията в областта на сигурността (SIEM) и център за операции по сигурността (SOC). Това е така, защото много от пробивите на Active Directory използват легитимна функционалност и генерират същите събития, които се генерират от нормална дейност“, се казва в ръководството.
Един от ефективните методи за откриване на компромати е използването на „канарни“ обекти в AD, които не разчитат на корелация на дневниците за събития или на откриване на инструментариума, използван по време на проникването, а идентифицират самия компромат. Канарните обекти могат да помогнат за откриването на компрометиране на Kerberoasting, AS-REP Roasting и DCSync, казват агенциите, които са автори на доклада.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.