More

    Kompromis Active Directory-a: Agencije za cyber sigurnost pružaju smjernice

    Active Directory (AD), Microsoftova lokalna usluga direktorija za Windows domenske mreže, toliko se široko koristi za upravljanje identitetom i pristupom preduzeća da je njegovo ugrožavanje postalo gotovo standardni korak u sajber upadima.

    “Active Directory je podložan kompromisu zbog svojih dopuštenih zadanih postavki, složenih odnosa i dozvola; podrška za naslijeđene protokole i nedostatak alata za dijagnosticiranje sigurnosnih problema Active Directory“, pojasnile su agencije za cyber sigurnost Five Eyes u nedavno objavljenom vodiču za otkrivanje i ublažavanje AD kompromisa.

    „Sticanje kontrole nad aktivnim direktorijumom može omogućiti maliciozni hakeri s nizom namjera, bilo da se radi o cyber kriminalcima koji traže finansijsku dobit ili o nacionalnim državama koje provode cyber špijunažu, da dobiju pristup koji im je potreban za postizanje svojih malicioznih ciljeva u mreži žrtve.

    Microsoft AD napadi, ublažavanje i otkrivanje

    Active Directory pruža nekoliko usluga:

    • Domain Services (AD DS) – autentikacija i autorizacija, provođenje sigurnosnih politika

    • Federacijske usluge (AD FS) – federalno upravljanje identitetom i pristupom

    • Usluge certifikata (AD CS) – izdavanje/upravljanje infrastrukturnim certifikatima javnog ključa (npr. za sigurnu komunikaciju)

    • Lightweight Directory Services (AD LDS) – servisi direktorija za aplikacije

    • Usluge upravljanja pravima (AD RMS) – upravljanje pravima nad informacijama


    “Za mnoge organizacije, Active Directory se sastoji od hiljada objekata koji međusobno komuniciraju preko složenog skupa dozvola, konfiguracija i odnosa. Razumijevanje dozvola za objekte i relacija između tih objekata ključno je za osiguranje Active Directory okruženja”, napomenule su agencije i navele neke alate koji se mogu koristiti u tom cilju.

    Napadači koriste Active Directory za eskalaciju privilegija, izviđanje, bočno pomicanje i upornost, korištenjem širokog spektra tehnika kao što su kerberoasting, prskanje lozinki, kompromis MachineAccountQuota, zlatni certifikat, kompromis Microsoft Entra Connect i mnoge druge.

    Svaki od njih je objašnjen u vodiču, praćen listom sigurnosnih kontrola koje ih mogu ublažiti i listom evidentiranih događaja koji bi mogli ukazivati na kompromis.

    Ali „jer mnogi kompromisi Active Directory-a iskorištavaju legitimnu funkcionalnost i generišu iste događaje koji se generišu normalnom aktivnošću“, agencije takođe preporučuju korištenje kanarinskih objekata.

    “Izbacivanje najodlučnijih malicioznih hakera može zahtijevati drastične radnje, u rasponu od resrtovanje svih korisničkih lozinki do ponovnog sastavljanja samog Active Directory-ja. Reagiranje na maliciozne aktivnosti koje uključuju kompromis Active Directory i oporavak od njih često oduzima mnogo vremena, skupo je i ometajuće. Stoga se organizacije ohrabruju da implementiraju preporuke u ovom uputstvu kako bi bolje zaštitile Active Directory od malicioznih hakera i spriječile ih da ga kompromituju“, zaključili su.

    Izvor:Help Net Security

    Recent Articles

    spot_img

    Related Stories