Каталог Active Directory (AD) от Microsoft широко используется организациями по всему миру, ведь он позволяет соединять отдельные хосты и управлять ими в корпоративных сетях. AD пользуется большой популярностью, например, 90% компаний из списка Global Fortune 1000 применяют его в качестве основного инструмента для обеспечения единой аутентификации и авторизации
Microsoft Active Directory — это главный инструмент управления сетями с ОС Windows. Каталог AD пользуется большой популярностью: 90% компаний из списка Global Fortune 1000 применяют его в качестве основного инструмента для обеспечения бесшовной аутентификации и авторизации.
Из-за этого AD стала главной мишенью киберпреступников, которым нужно получить доступ к конфиденциальным данным компании. Проникнув в AD, злоумышленники могут передвигаться по системам, которые управляются с помощью AD, и получать в них доступ к существенному объему проприетарных и критических данных. Более того, из-за все более широкого использования продукта Office 365, в котором за аутентификацию пользователей отвечает Azure AD, поверхность атаки разрослась от локальных до облачных сред.
Бизнеса-проблематика защиты Active Directory
Чтобы успевать следить за изменениями, происходящими в инфраструктуре и в групповых политиках, необходим непрерывный мониторинг и анализ AD. К сложной структуре постоянно меняющейся среды на базе AD прибавляется то, что работа с журналами событий Windows требует специальных знаний: нужно уметь искать информацию вручную или иметь продвинутые навыки в написании скриптов PowerShell. Наконец, централизованно собирать и агрегировать журналы событий всех Windows-машин в масштабах организации просто невозможно.
Злоумышленник, который стремится получить контроль над AD, после проникновения в сеть постоянно ищет уязвимости и слабые места в системе с целью повысить свои привилегии и стать администратором домена. По некоторым данным, уже через 20 минут после проникновения атакующий начинает латерально двигаться по сети. Это значит, что даже 20-минутной задержки алерта об инциденте может быть достаточно для того, чтобы злоумышленник получил контроль над AD.
В организации даже могут быть сотрудники, которые умеют работать со скриптами PowerShell, тем самым помогая обнаруживать угрозы по данным из логов Windows, но такой процесс все равно неэффективен и занимает много времени.
Безопасность Active Directory на практике
За последние несколько лет организации увеличили свои расходы на обеспечение кибербезопасности в ответ на непрерывную эволюцию ландшафта угроз. Компании внедрили множество точечных решений, которые обеспечивают мониторинг систем, обнаружение и устранение угроз, но меры по защите AD развиваются не так быстро, как современные цифровые инфраструктуры. Вот три самые распространенные причины недостаточной защищенности AD:
- многие высококлассные системные администраторы AD не обладают знаниями в сфере ИБ;
- защита Active Directory не является приоритетной задачей;
- нехватка специалистов, компетентных в вопросах защиты Active Directory.
Чтобы разработать план проактивной защиты AD, необходимо следовать такому алгоритму:
Шаг 1: без задержки оценивайте риски с помощью специализированного решения для AD, которое легко встраивается и сразу же выявляет ошибки в конфигурации, которые могут привести к эксплуатации.
Шаг 2: будьте готовы к тому, что «кто-то или что-то» обязательно воспользуется неправильной конфигурацией AD для манипуляции организационными данными.
Шаг 3: выявляйте атаки и изменения в AD, из-за которых система может стать уязвимой, а также настройте алерты для них.
Шаг 4: обеспечьте проактивный хантинг для выявления и анализа изменений в реальном времени.
Многие точечные решения на рынке ИБ затрагивают только отдельные аспекты защиты AD. Например, одни продукты анализируют систему безопасности AD на наличие пробелов, другие отслеживают изменения в среде или аномальную активность, которые потом должен проанализировать администратор.
Однако развертывание и применение таких точечных решений по каждому аспекту безопасности может оказаться сложным, неэффективным и трудным в управлении. Чтобы достичь зрелой безопасности в средах AD, командам ИТ и департаментам ИБ нужно комплексное решение, которое удовлетворит все требования по защите Active Directory.
Как активно защищать Active Directory?
Чтобы узнать больше о безопасности Active Directory, скачайте бизнес-отчет Frost & Sullivan «Active Directory хранит ключи от вашего царства, но насколько они защищены?» с обзором решения Tenable.ad.
Tenable.ad — специализированный инструмент, который помогает защищать от атак на AD. Убедитесь сами, заказав демонстрацию или тестирование Tenable.ad в вашей инфраструктуре.