重新思考Active Directory安全性

在一个Cyber​​Atck之后,Active Directory有时被解雇只是需要恢复的另一个服务,并且安全性是一个事后。但是,艰难的现实是,如果Active Directory受到损害,您的整个环境也是如此。

活动目录安全

90%的组织使用Active Directory作为员工身份验证,身份管理和访问控制的主要商店。今天,它’对于组织来说,对组织来说更常见的是对身份的混合方法,并专注于导致的云相互依赖和复杂性。但它’很重要的是要理解云身份仍然取决于上部署Active Directory的完整性。

由于Active Directory用作与其他身份存储​​同步的源,因此具有Active Directory的任何篡改都会导致身份基础架构中的毁灭性纹波效果。它’常见的情景,通常会抓住安全领导人的防范。

活动目录和不安全感涟漪效应

攻击者内部处于活动目录中的内部服务目录中所做的更改可以提供不仅仅是本地资源的访问权限。攻击者可以是,可以使内部部署的受损用户帐户成为Active Directory销售组的成员。该组可能会提供对本地系统,应用程序和关键数据的访问权限。

但是,由于Active Directory经常通过外部IDP(例如,Azure AD)与云应用程序联合’合理的假设会员资格的同样变化可以允许访问基于云的CRM环境(如Salesforce),客户数据(希望包含在违规账户中,但更有可能整个组织数据)和其他资源。

在许多网络攻击中’比上面的例子更复杂,在哪里’必须通过一个帐户获得提升特权的必要性,只能损害第二,第三等,每次从系统移动到系统,或 - 在混合环境的情况下 - 从本地到云,利用访问权限 - 为特定目标帐户提供活动目录,以便在云中访问。

最近 攻击ntt. 是一个有趣的例子。在损害基于云的服务器后,攻击者能够将该服务器用作内部Active Directory的踏脚石,从而为王国获得钥匙,包括托管客户数据和其他敏感资源的服务器。

尽管攻击可能涉及多个受损帐户以及Active Directory中的许多更改,但最终结果是相同的 - 攻击者在其所在的情况下,攻击者获得对逻辑环境中的任何位置的资源。

Solarwinds攻击 是Active Directory的另一个例子’在保护组织方面的双重作用’S资产,但也同时为攻击者提供发射板块。虽然Active Directory不是Solarwinds攻击中的主要向量,但是使用了几种常见的Active Directory攻击技术,用于围绕本地和云标识和应用环境来移动以扩展攻击者的范围。

保护Active Directory喜欢它’s ring 0

在某些开发架构中,Ring 0是OS内核所在的位置,并享受对每个资源的完全访问权限。对于许多组织,Active Directory是您所有安全的环0;妥协它,攻击者对王国的钥匙。什么’必要的是保护Active Directory的一致努力。

要清楚,这超出了传统的监控工具,因为它们往往缺乏主动目录的安全性’需要捕获更复杂的身份攻击所必需的。通过修改Active Directory,攻击者可以访问网络中的任何内容。因此,必须制定具体的安全规定,以监测并防止在Active Directory本身内的未经批准的变化,以及返回知名安全状况的能力,是否应该改变过去预防努力。

此外,这是 活动目录的硬化 通常是一个低估的任务,但它应该被视为限制攻击者进入环境的影响的关键,并尝试利用Active Directory浏览您的网络。

波纹是真实的;如果攻击者可以危及您的Active Directory,那么’s nothing they won’能够长期访问。这使Active Directory独特,需要具体措施来确保它’s protected.

准备好涌入新攻击

如果有一段时间重新检查您的Active Directory的安全性,那就是现在。许多组织欣赏了Active Directory的重要性,但落后于安全管理,特别是 新冠肺炎 加快了移动工作人员,云服务和设备的采用。

由于Active Directory是试图窃取凭证并在网络中部署Ransomware的攻击者的主要目标,因此即使您不直接负责其日常操作,也值得考虑Active Directory攻击的影响。

使其优先识别和沟通谁负责 保护Active Directory 在您的组织中,并在本地和云中实施全面的威胁监控,检测和响应能力。

通过能够连续扫描您的安全漏洞目录,正在进行中拦截网络攻击,并迅速从赎金软件和其他数据诚信紧急情况中恢复,您将保持在攻击者之前,从而减少受损的Active Directory将导致您组织制作的可能性头条新闻。

分享这个