Сканер уязвимостей Tenable и Nessus

Active Directory хранит ключи от вашего бизнеса, но насколько они защищены?

Каталог Active Directory (AD) от Microsoft широко используется организациями по всему миру, ведь он позволяет соединять отдельные хосты и управлять ими в корпоративных сетях. AD пользуется большой популярностью, например, 90% компаний из списка Global Fortune 1000 применяют его в качестве основного инструмента для обеспечения единой аутентификации и авторизации

Microsoft Active Directory — это главный инструмент управления сетями с ОС Windows. Каталог AD пользуется большой популярностью: 90% компаний из списка Global Fortune 1000 применяют его в качестве основного инструмента для обеспечения бесшовной аутентификации и авторизации.

Из-за этого AD стала главной мишенью киберпреступников, которым нужно получить доступ к конфиденциальным данным компании. Проникнув в AD, злоумышленники могут передвигаться по системам, которые управляются с помощью AD, и получать в них доступ к существенному объему проприетарных и критических данных. Более того, из-за все более широкого использования продукта Office 365, в котором за аутентификацию пользователей отвечает Azure AD, поверхность атаки разрослась от локальных до облачных сред.

Бизнеса-проблематика защиты Active Directory

Чтобы успевать следить за изменениями, происходящими в инфраструктуре и в групповых политиках, необходим непрерывный мониторинг и анализ AD. К сложной структуре постоянно меняющейся среды на базе AD прибавляется то, что работа с журналами событий Windows требует специальных знаний: нужно уметь искать информацию вручную или иметь продвинутые навыки в написании скриптов PowerShell. Наконец, централизованно собирать и агрегировать журналы событий всех Windows-машин в масштабах организации просто невозможно.

Злоумышленник, который стремится получить контроль над AD, после проникновения в сеть постоянно ищет уязвимости и слабые места в системе с целью повысить свои привилегии и стать администратором домена. По некоторым данным, уже через 20 минут после проникновения атакующий начинает латерально двигаться по сети. Это значит, что даже 20-минутной задержки алерта об инциденте может быть достаточно для того, чтобы злоумышленник получил контроль над AD.

В организации даже могут быть сотрудники, которые умеют работать со скриптами PowerShell, тем самым помогая обнаруживать угрозы по данным из логов Windows, но такой процесс все равно неэффективен и занимает много времени.

Безопасность Active Directory на практике

За последние несколько лет организации увеличили свои расходы на обеспечение кибербезопасности в ответ на непрерывную эволюцию ландшафта угроз. Компании внедрили множество точечных решений, которые обеспечивают мониторинг систем, обнаружение и устранение угроз, но меры по защите AD развиваются не так быстро, как современные цифровые инфраструктуры. Вот три самые распространенные причины недостаточной защищенности AD:

  1. многие высококлассные системные администраторы AD не обладают знаниями в сфере ИБ;
  2. защита Active Directory не является приоритетной задачей;
  3. нехватка специалистов, компетентных в вопросах защиты Active Directory.

Чтобы разработать план проактивной защиты AD, необходимо следовать такому алгоритму:

Шаг 1: без задержки оценивайте риски с помощью специализированного решения для AD, которое легко встраивается и сразу же выявляет ошибки в конфигурации, которые могут привести к эксплуатации.

Шаг 2: будьте готовы к тому, что «кто-то или что-то» обязательно воспользуется неправильной конфигурацией AD для манипуляции организационными данными.

Шаг 3: выявляйте атаки и изменения в AD, из-за которых система может стать уязвимой, а также настройте алерты для них.

Шаг 4: обеспечьте проактивный хантинг для выявления и анализа изменений в реальном времени.

Многие точечные решения на рынке ИБ затрагивают только отдельные аспекты защиты AD. Например, одни продукты анализируют систему безопасности AD на наличие пробелов, другие отслеживают изменения в среде или аномальную активность, которые потом должен проанализировать администратор.

Однако развертывание и применение таких точечных решений по каждому аспекту безопасности может оказаться сложным, неэффективным и трудным в управлении. Чтобы достичь зрелой безопасности в средах AD, командам ИТ и департаментам ИБ нужно комплексное решение, которое удовлетворит все требования по защите Active Directory.

Как активно защищать Active Directory?

Чтобы узнать больше о безопасности Active Directory, скачайте бизнес-отчет Frost & Sullivan «Active Directory хранит ключи от вашего царства, но насколько они защищены?» с обзором решения Tenable.ad.

Tenable.ad — специализированный инструмент, который помогает защищать от атак на AD. Убедитесь сами, заказав демонстрацию или тестирование Tenable.ad в вашей инфраструктуре.

Об авторе

Тайгер Оптикс является специализированным дистрибьютором решений по кибербезопасности. Компания основана в 2010 году в Российской Федерации и имеет представительства в Казахстане, Беларуси, Азербайджане и Узбекистане.

Мы помогаем партнерам и заказчикам повышать защищенность на всем протяжении корпоративной ИТ-инфраструктуры – от гибридного ЦОДа до конечных точек – рабочих станций и мобильных устройств.

Веб-сайт: https://www.tiger-optics.ru/