Znaczenie Active Directory
Active Directory (AD) to potężna usługa uwierzytelniania i katalogowania, używana przez organizacje na całym świecie. Z tą wszechobecnością wiąże się możliwość nadużyć. Wielu użytkowników ma mało ograniczony dostęp i wgląd do sieci wewnętrznej.
Duży poziom dostępu i nadanie zaufania użytkownikom do sieci wewnętrznej organizacji prowadzi do luk w zabezpieczeniach. Bezpieczeństwo sieci często koncentruje się na powstrzymaniu atakującego, a nie na bezpieczeństwie obecnych użytkowników i potencjalnych lukach.
Luki w Active Directory
Z zewnątrz odpowiednio skonfigurowana domena AD oferuje bezpieczne rozwiązania do uwierzytelniania i autoryzacji. Jednak w przypadku ataków typu phishing na użytkownika, katalog Active Directory może zostać naruszony. Po dostaniu się do wewnątrz cyberprzestępcy mają wiele możliwości zaatakowania usługi.
Niezabezpieczone urządzenia
Wraz z rozwojem „Bring Your Own Device” (BYOD) wzrasta obsługa urządzeń i złożoność zabezpieczeń. Jeśli użytkownicy podłączą urządzenie, które jest już przejęte lub ma nieodpowiednie zabezpieczenia, atakujący mają prosty sposób na uzyskanie dostępu do sieci wewnętrznej w organizacji.
W przeszłości osoba atakująca musiała się wkraść, aby zainstalować złośliwe urządzenie. Teraz jednak użytkownik z zainfekowanym urządzeniem wykonuje za nich całą pracę.
Ponadto wielu pracowników może podłączyć do sieci smartfony lub tablety. Oznacza to, że zamiast jednego służbowego laptopa możesz mieć dwa lub trzy urządzenia użytkownika, które nie podlegają takim samym środkom bezpieczeństwa.
Nadmierny dostęp do sieci wewnętrznej organizacji
Dodanie złożoności do bezpieczeństwa wewnętrznego jest częstym problemem nadmiernej alokacji dostępu. Organizacje często rozszerzają dostęp, zamiast go ograniczać. Wygodny dostęp może mieć niezamierzoną konsekwencję w postaci stworzenia potencjalnego wektora ataku, o którym często się zapomina.
W przypadku użytkowników, którzy są również administratorami, nie zawsze istnieje wysoce bezpieczne konto „Administracyjne” utworzone w celu oddzielenia różnych poziomów dostępu. W ten sposób wygoda wykonywania zadań administracyjnych za pośrednictwem standardowego konta użytkownika otwiera drzwi do wielu nadużyć z powodu zainfekowanego i wysoce uprzywilejowanego konta.
Słabe zasady dotyczące haseł
Wiele organizacji, zwłaszcza większych, może mieć słabsze zasady dotyczące haseł ze względu na różne aplikacje, które obsługują. Nie wszystkie aplikacje są takie same, a niektóre nie obsługują najnowszych standardów bezpieczeństwa.
Słaba polityka haseł w połączeniu z brakiem uwierzytelniania wieloskładnikowego ułatwia złamanie pobranego skrótu za pomocą techniki takiej, jak Keberoasting, za pośrednictwem uprzywilejowanego konta wewnętrznego.
Najlepsze praktyki dotyczące zabezpieczenia usługi Active Directory
Aby zabezpieczyć usługę Active Directory, należy przestrzegać wielu najlepszych praktyk. Oto kilka dobrych praktyk w zabezpieczeniu usługi Active Directory:
- ogranicz dostęp do systemów i sieci do osób, które mają uzasadnioną potrzebę biznesową,
- upewnij się, że podłączone urządzenia spełniają minimalne standardy bezpieczeństwa,
- skonfiguruj bezpiecznie usługę Active Directory z wymaganiami dotyczącymi podpisywania LDAP i LDAPS,
- regularnie zmieniaj hasła i korzystaj z kont usług zarządzanych przez grupę do rotacji poświadczeń kont usług.
- włącz uwierzytelnianie wieloskładnikowe i politykę silnych haseł, uzupełnioną o rozwiązania zabezpieczające.
- oddziel uprawnienia od typowego konta użytkownika i przypisz je do specjalnych kont administracyjnych.
- upewnij się, że użytkownicy znają niebezpieczeństwa związane z wiadomościami phishingowymi i socjotechniką.
Niezbędne jest szkolenie użytkowników w zakresie identyfikowania potencjalnych wiadomości e-mail phishingowych i ataków socjotechnicznych.
Zadbaj o cyberbezpieczeństwo pracowników!
Ponadto należy zniechęcać użytkowników do klikania jakichkolwiek załączników, a organizacje powinny korzystać z systemów skanujących w poszukiwaniu złośliwych treści. Środki te mogą pomóc zmniejszyć ryzyko udanego ataku hakerskiego.
Jednak załóżmy, że AD zostało już naruszone. Organizacja może i powinna dogłębnie przyjrzeć się uprawnieniom przypisanym aktywnym i nieaktywnym lub wycofanym użytkownikom i systemom.
Czy istnieją sposoby na oddzielenie uprawnień od typowych kont użytkowników i przypisanie ich do specjalnych kont administracyjnych o wyższym poziomie bezpieczeństwa?
Włączenie uwierzytelniania wieloskładnikowego z silnymi zasadami haseł jest niezbędne do stworzenia jednych z najsilniejszych dostępnych zabezpieczeń. Ponieważ wiele ataków socjotechnicznych polega na poznaniu i naruszeniu zewnętrznych witryn użytkownika, w których ponownie użyte hasło może stanowić powód ataku. Organizacja musi narzucić silne hasła.
Dostęp do eksperskiej wiedzy!
Zadbaj o cyberbezpieczeństwo w Twojej organizacji