如何说服你的老板网络安全包括 Active Directory

准备和防御网络攻击需求 活动目录 (AD) 成为公司整体战略的一部分。但是 AD 在安全讨论中经常被忽视,因为解决 AD 漏洞需要执行人员的支持来分配重点、人员配备和预算。

活动目录网络安全

身份是现代攻击面的关键组成部分。任何无人值守的凭据、密码或对系统、数据和应用程序的提升访问权限都会引起网络犯罪分子的兴趣。身份泄露是网络犯罪分子有意 泄露数据、从事间谍活动、进行勒索活动和进行欺诈。

因为如此多的组织依赖混合云 身份模型 作为本地 Active Directory 的核心角色,将 Active Directory 视为网络安全计划的一部分是很自然的结论。

然而,在大多数网络安全策略中,Active Directory 的重点只是在 AD 需要恢复的情况下维护备份。

那是目光短浅。

在您担心成为目标的环境的其他所有方面(电子邮件、端点、网络)中,您都有适当的安全措施(以解决方案的形式)来检测和响应潜在威胁,包括电子邮件扫描、虚拟沙箱、防病毒、深度数据包检测和其他工具。 AD 不应区别对待。

那么,您如何说服您的老板以与保护环境的其他部分相同的方式来保护 Active Directory?首先,不要开始谈论技术。假设您需要说服的老板不是技术人员,您需要使用他们的语言——业务。按照这三个步骤开始对话,帮助您的老板了解 AD 对运营的重要性、其作为业务核心部分的脆弱性以及需要如何保护它。

1. 解释 AD 如何成为您业务的核心.重点是:一切都依赖于 Active Directory。为了让你的老板关心,首先讨论运营以及哪些部分对业务至关重要。进行业务级别的讨论,让您在技术级别上得分。例如,当您的老板说“开发需要 100% 的时间都在运行”时,您就会向后处理需要 AD 运行的所有系统、应用程序和端点。重复此操作,直到您拥有足够多的关键工作负载和业务运营列表,这些工作负载和业务运营需要 AD 安全且功能正常。

接下来,讨论哪些环境需要受到保护,哪些环境包含敏感数据,以及哪些环境需要能够抵御网络攻击。让你的老板说话,而你只是坐下来,微笑,并检查所有严重依赖 AD 的东西。一旦您拥有足够的业务弹药,就您老板列出的每个业务功能如何依靠 AD 为用户提供对数据、应用程序、系统和环境的访问进行技术讨论。

2. 解释 AD 如何成为现代攻击的核心.坏人很清楚 AD 掌握着通往王国的钥匙。因此,当今复杂的威胁行为者努力构建自动化流程,以搜索受感染的系统以获取凭据,测试对 AD 的访问,寻求利用 AD 中的漏洞,并获得更高的特权以帮助实现隐身、持久性、横向移动和控制。

您需要讨论 AD 如何成为当今攻击中的常见组件,如果要保护所有关键操作,则需要对其进行保护。

3. 强调基本备份是不够的.简而言之,AD 数据的备份仅解决您可以信任正在恢复的操作系统的事件——换句话说,您知道备份的服务器映像上没有恶意软件会与其他所有内容一起恢复。适当的网络安全立场需要解决更严重的攻击的预防、检测、响应和补救问题,这些攻击可能会使 Active Directory 和操作陷入混乱——这是基本备份无法做到的。

讨论是否需要额外的功能来帮助您实现 Active Directory 网络安全目标,例如:

  • 恢复,而不是备份.网络攻击造成的损害远比某个办公地点的停电造成的损失大得多。勒索软件可能包括对每个域控制器进行加密,这意味着您对 Active Directory 的恢复是全林范围的。拥有一个专门设计用于从单个对象属性一直到森林恢复任何内容的解决方案是您的网络安全弹性策略的基本要素。
  • 审计在 AD 中所做的更改.如果您不知道发生了什么变化,就无法正常恢复。深入了解对象属性和组策略更改是这里的关键,因为这些详细的更改是为坏人提供访问权限的更改。
  • 保护关键 AD 对象.坏人通常关注相同的结果,例如获得域管理员状态。拥有保护某些对象(例如域管理员组)并恢复自动进行的任何更改的方法是一种有效的方法,可以在攻击对业务造成额外损害之前阻止其进行。

最后,您希望您的老板理解并同意 AD 的重要性以及采取谨慎的防御措施来保护它的必要性。通过谈论运营,并在攻击期间保持业务运行,您可以吸引老板的兴趣,同时慢慢地将谈话转移到专注于减少 AD 内部威胁面的必要安全措施上。

坏人已经知道您的 Active Directory 在不受保护时对他们的重要性。通过使用上述三个步骤,您将创造机会让您的老板相信 AD 对业务至关重要,因此需要受到保护。




分享这个