שת"פ בראשות ה-NSA יטפל בכשלי אבטחה מסוימים של מיקרוסופט

ארצות הברית בישרה באחרונה על מאמץ שיתופי שהיא מקיימת עם בעלות בריתה, אוסטרליה, אנגליה, ניו זילנד וקנדה, שמטרתו התמודדות עם סיכוני אבטחת הסייבר הקשורים ל-Active Directory (ר"ת AD) של מיקרוסופט – מרכיב חיוני לניהול זהויות והרשאות משתמשים בתוך הרשת. היוזמה שמה לה למטרה לטפל בפרצות בתוכנה הנפוצה, שמהווה חלק בלתי נפרד מתפקודם של ארגונים רבים ברחבי העולם כיום.

הסוכנות לביטחון לאומי של ארה"ב, ה-NSA, הודיעה רשמית ביום ה' האחרון – לנוכח הקריטיות של אבטחת Microsoft Active Directory, בה הכירה – על אסטרטגיית אבטחת סייבר רחבה שפותחה ונוצרה יחד עם מה שמכונה Five Eyes. השת"פ כולל את: מרכז אבטחת הסייבר האוסטרלי של מנהל האותות האוסטרלי, ה-ASD ACSC; המרכז הקנדי לאבטחת סייבר, ה-CCCS; המרכז הלאומי לאבטחת סייבר של ניו זילנד, ה-NCSC-NZ; וכן את המרכז הלאומי לאבטחת סייבר של בריטניה, ה-NCSC-UK. יחד, סוכנויות אלה פרסמו מסמך הנחיות מקיף שכותרתו "זיהוי והפחתה של הפרות ב-Active Directory".

Active Directory משמש כמרכיב קריטי לניהול זהויות וגישה ברשתות ארגוניות רבות, ונפוץ במיוחד בתוך משרדי הגנה וגופים של תעשיית הביטחון. ואולם, כפי שאמר דייב לובר, מנהל אבטחת הסייבר של ה-NSA, הפלטפורמה היא יעד אטרקטיבי עבור פושעי סייבר המבקשים לנצל את הפונקציות שלה. "נקיטת צעדים כדי להגן כראוי על AD מפני הטכניקות הנפוצות והמתקדמות הללו תזהה ותמנע פעילויות יריב ותגן על נתונים רגישים מפני גורמי סייבר זדוניים נחושים", הצהיר.

Stay ahead of Active Directory targeting. We teamed with @ASDGovAu and others to provide recommended strategies to prevent and detect malicious actors attempting to access the keys to your network. Read our joint guidance: https://t.co/FeciBYQtvW pic.twitter.com/xOsEPhCuhO

— NSA Cyber (@NSACyber) September 26, 2024

מתקפת סולארווינדס כדוגמה לסכנה הגלומה ב-AD

כך למשל, במתקפת סולארווינדס (SolarWinds) – אחת מהתקפות הסייבר המשמעותיות ביותר של השנים האחרונות, שבה בוצעה פריצה לרשת של סולארוינדס והוחדרה תוכנה זדונית לעדכוניה – הצליחו התוקפים לקבל גישה ל-Active Directory של ארגונים רבים ברחבי העולם, כולל של סוכנויות ממשלתיות. בנוסף השירות של מיקרוסופט סייע רבות בעבר במתקפות על ספקי שירותי מנוהלים (MSP), על מנת לפרוץ לרשתות ארגונים מרובים.

לפיכך, ה-NSA יחד עם שותפותיה פרסמו כעת דו"ח טכני בן 80 עמודים, שמזהה 17 טכניקות נפוצות המשמשות תוקפים כדי לפרוץ ל-AD, ומתריע מפניהן. בנוסף כולל הדו"ח אסטרטגיות מומלצות לטיפול בכשל של ה-Active Directory, ומדגיש את הצורך בשיטות ניטור ורישום מקיפות, כדי לזהות פעילויות חריגות הקשורות ל-AD. הפירוט השיטות מוצע שימוש בכלים כמו BloodHound ו-PingCastle לניתוח תצורות וזיהוי נקודות חולשה.

הפרסום המשותף הזה של ההנחיות מדגיש את ההבנה המשותפת של גופי הגנת הסייבר של חיוניות הטיפול בסיכונים הגלומים ב-Active Directory – נושא קריטי לשמירה על שלמות ארגונית מפני איומי סייבר, שכידוע הולכים והופכים למתוחכמים יותר ויותר. לדברי ה-NSA, על ידי שמירה על עירנות ויישום האסטרטגיות המפורטות בדו"ח, ארגונים יוכלו לחזק את ההגנה שלהם מפני הפרות פוטנציאליות ולהבטיח את החוסן של תשתיות ה-IT שלהם.

אן נויברגר, סגנית היועצת לביטחון לאומי לסייבר וטכנולוגיה מתפתחת, נדרשה אף היא לסוגיה לפני זמן מה ופרסמה הצהרה בה הדגישה את הצורך בפעולה קולקטיבית כדי לחזק את החוסן של תשתיות קריטיות. נויברגר הבהירה כמה חשיבות יש לטיפוח שותפויות חזקות עם מדינות דומות כדי להתגונן מפני איומי סייבר מתפתחים.