Active Directory (AD) 被 90% 的企業用作身份和訪問的主要信任來源。但它也可能是一個薄弱環節,在許多現代網絡攻擊中都被利用。
我們採訪了 Semperis,探索保護混合 AD 環境的挑戰,以及組織如何最好地防禦這種擴展的攻擊面。
BN:什麼是 Active Directory 和Azure 活動目錄?
RH:Active Directory (AD) 是一種 Microsoft 技術,用於管理網絡中的用戶帳戶、計算機系統和其他資源。 AD 為基於 Windows 的計算機提供集中式身份驗證和授權,可用於管理各種網絡資源,例如打印機和文件服務器。
Azure Active Directory (Azure AD) 是基於雲的版本AD 的一部分,為基於雲的應用程序提供身份和訪問管理,包括 Microsoft 自己的在線服務,例如 Office 365 和 Microsoft 365。Azure AD 可用於管理和保護對本地、雲和混合資源的訪問,並集成具有多種平台和編程語言。
BN:為什麼轉向基於雲的系統以滿足混合工作環境的需求會導致漏洞增加?
RH:支持混合工作環境的基於雲的系統的快速採用在幾個方面增加了漏洞:
對雲安全缺乏熟悉:許多組織缺乏內部專業知識來正確保護雲基於系統,導致網絡攻擊者可以利用的錯誤配置或疏忽。增加攻擊面:基於雲的系統通常比傳統的本地系統具有更大的攻擊面,因為它們可以通過互聯網連接從任何地方訪問。這可以使它們成為攻擊者更有吸引力的目標。共同責任:對於基於雲的系統,安全責任通常由客戶和雲提供商共同承擔。這可能導致混淆誰負責保護系統的特定方面,從而導致安全漏洞。數據隱私:組織可能難以保持對存儲在雲中的敏感數據的控制,並且可能容易受到未經授權的訪問或數據洩露。對 Internet 連接的依賴:基於雲的系統依賴於可靠的 Internet 連接,使組織在 Internet 中斷期間容易出現停機或數據丟失。
簡而言之,向基於雲的系統的轉變產生了新的漏洞,必須妥善解決這些漏洞,以確保敏感信息的安全和業務運營的連續性。
BN:哪些差距在運行混合環境時,公司最需要關注安全方面的哪些方面?
RH:公司應關註五個關鍵領域:
身份:適當的身份和訪問管理(IAM ) 涉及實施安全身份驗證和授權方法,例如多因素身份驗證 (MFA),並根據用戶角色和職責控制對資源的訪問。網絡基礎設施:保護網絡基礎設施有助於防止未經授權訪問資源和數據。這包括實施防火牆、虛擬專用網絡 (VPN) 和其他安全措施以保護本地和基於雲的系統。敏感數據:保護敏感數據包括實施數據加密、備份和災難恢復解決方案。通過 IAM 和網絡安全措施控制對數據的訪問也很關鍵。端點:保護端點——筆記本電腦、智能手機和其他設備——包括實施防病毒和反惡意軟件解決方案、保護設備配置以及控制對公司資源的訪問。應用程序:保護應用程序——通常是訪問和操作敏感數據的主要方式——涉及實施安全措施,例如應用程序防火牆、輸入驗證和安全編碼實踐。
通過關注這些潛在的漏洞,公司可以更好地保護敏感信息並確保在混合工作環境中運營的連續性。
BN:您看到網絡犯罪分子使用哪些典型向量作為進入組織 AD 的一種方式?
RH:網絡罪犯通常使用以下媒介來未經授權訪問組織的 AD:
網絡釣魚攻擊:這些攻擊通常涉及發送電子郵件似乎來自受信任的來源並且包含惡意鏈接或附件,這些鏈接或附件會在用戶的設備上安裝惡意軟件。惡意軟件:惡意軟件,例如病毒、蠕蟲和特洛伊木馬,可以感染組織的網絡並使網絡犯罪分子能夠訪問組織的 AD。弱密碼或洩露密碼:弱密碼或重複使用密碼會使網絡罪犯更容易通過暴力攻擊獲得對組織 AD 的訪問權限。特權升級:網絡罪犯可以利用組織系統或應用程序中的漏洞來獲得更高的特權和訪問組織的 AD。內部人員:內部人員威脅,無論是惡意的還是意外的,都可能對組織的 AD 造成重大風險。此類威脅可能涉及有權訪問敏感信息的員工、承包商或第三方供應商。
通過實施身份威脅檢測和響應 (ITDR)、MFA、定期軟件更新和員工網絡安全最佳實踐培訓等強大的安全措施,組織可以降低這些向量被用來破壞其 AD 的風險。
p>
BN:您能否向我們介紹一次更引人注目的攻擊,例如 SolarWinds,那裡出了什麼問題?
RH:2020 年的 SolarWinds 攻擊影響了多個政府機構和私人組織。攻擊者使用供應鏈攻擊滲透了廣泛使用的 IT 管理軟件提供商 SolarWinds 的系統。
攻擊者修改了 SolarWinds 軟件並將惡意版本分發給客戶,然後客戶將受感染的軟件安裝在他們的系統。這為攻擊者提供了進入客戶網絡的後門,使他們能夠進行進一步的攻擊並竊取敏感信息。
SolarWinds 攻擊出了什麼問題:
供應鏈攻擊:攻擊者能夠破壞了軟件供應鏈,這使得惡意軟件能夠分發到數千個組織。缺乏可見性:許多組織對其網絡活動的可見性不足,因此難以檢測到攻擊並及時做出響應。配置錯誤的系統:一些組織錯誤配置了他們的系統,這使得攻擊者更容易獲得訪問權限並在網絡中持續存在。響應緩慢:一些組織需要幾個月的時間才能檢測到攻擊,這給了攻擊者充足的時間來洩露敏感信息。風險低估:許多組織可能低估了供應鏈攻擊帶來的風險,未能採取足夠的措施來保護自己。
近年來,針對 AD 的其他大規模網絡攻擊包括:
Microsoft Exchange Server 攻擊(2021 年):在 Microsoft Exchange Server 中發現了多個零日漏洞。這些漏洞使攻擊者能夠破壞 Exchange 服務器並訪問敏感信息,包括存儲在 AD 中的數據。NetWalker 勒索軟件攻擊(2021 年):NetWalker 勒索軟件組織以多個組織為目標,使用網絡釣魚等策略並利用 AD 等系統中的漏洞獲得初始訪問目標網絡。Ryuk 勒索軟件攻擊(2021 年):Ryuk 勒索軟件攻擊的威脅越來越大。眾所周知,該組織以 AD 為目標以獲取對敏感信息和加密密鑰的訪問權限,這些信息和加密密鑰隨後可用於加密組織的數據並要求支付贖金。
這些示例說明了組織需要使用 ITDR 解決方案持續監控和保護其 AD 和其他身份基礎設施,並實施強大的安全措施以防止針對其用戶、系統和網絡的惡意攻擊。
BN:IT 專業人員如何以最安全的方式從本地遷移到雲?
RH:IT 專業人員可以安全地從本地遷移到雲遵循這些最佳實踐的方式:
計劃和評估:從計劃過渡開始,包括確定要移動的工作負載、確定必要的資源以及製定遷移時間表。評估安全要求並執行風險分析以確定任何潛在的安全威脅。保護您的雲環境:實施安全措施——例如網絡分段、IAM 和數據加密——以保護雲環境。使用 ITDR 等安全工具和服務來持續監控和保護您的環境。管理訪問和權限:實施基於角色的訪問控制 (RBAC) 來管理用戶權限。確保只有授權用戶才能訪問敏感數據和資源。實施 MFA 以增強安全性。實施災難恢復計劃:確保您制定了災難恢復計劃,以便在發生故障或數據丟失時恢復系統和數據。該計劃可能包括備份數據和實施災難恢復即服務。定期測試計劃。監控和審計:持續監控您的雲環境是否有異常活動,並審計您的安全日誌和事件以檢測任何潛在的安全事件。及時響應任何安全事件並實施適當的對策。
通過遵循這些最佳實踐,IT 專業人員可以確保從本地到雲端的安全過渡,並降低安全事件和數據洩露的風險。
圖片來源: IgorVetushko/depositphotos.com