Active Directory זה רק עניין של זמן
כתב: ניר כמון, מנהל המערך הטכנולוגי של חברת האבטחה וניהול המידע קווסט.
אף ארגון אינו חסין: בזמן שארגונים מתאימים עצמם למציאות החדשה, אנחנו עדים למספר הולך וגדל של נסיונות תקיפה מסוגים שונים. משתמשי הארגון שעובדים מרחוק הפכו למטרה מועדפת וקלה יותר עבור אותם תוקפים. כמו כן, בזמן שמאמצים רבים מושקעים בהגנה על ה-Perimeter מפני איומים חיצוניים, ליבת הארגון ונכסי המידע לא מקבלים תשומת לב מספקת.
תשתית ה-Active Directory הינה תשתית קריטית, בעלת ערך רב, ולכן, מהווה מטרה בעלת פוטנציאל נזק גדול לארגון. אבטחת ה-Active Directory היא מסע אשר ימשיך ללוות אותנו עוד שנים רבות.
למה בכלל להשתמש ב-Active Directory כדי לתקוף את הארגון?
ה-Active Directory הוא לב ליבו של הארגון. הפופולריות הרבה שלו הפכה אותו למטרה מועדפת ביותר עבור תוקפים המבצעים שימוש בכלים שונים על מנת לאסוף מידע ולבצע שינויים בכל הקשור למשתמשים, שרתים, תחנות קצה ועוד. הם מנצלים את הידע הרב שברשותם על מנת לאתר חולשות ובעיות קונפיגורציה שיהוו נקודת כניסה. לרוב, פערים אלה עוברים בירושה וצוותי ה-IT אינם מודעים לכך. ההאקרים ישתמשו במידע ובהרשאות שהשיגו בכדי לנוע בצורה רוחבית ברשת הארגון ואף להוציא לפועל מתקפות שונות, עד כדי השבתת הארגון.
הדבר נכון גם על רקע העובדה ששירותי הענן הופכים כיום רלוונטיים מתמיד. אלה מצריכים שימוש בתשתית ה-Active Directory לטובת ניהול האובייקטים השונים, מתן הרשאות ועוד.
ברגע שתוקף ביסס אחיזה ב-Active Directory – המשחק הסתיים.
הבעיות השונות והמתקפות הנפוצות
כמו שאר הרכיבים בתשתית הארגונית, גם ה-Active Directory סבל לאורך השנים ועודנו סובל מבעיות אבטחה ופערים שונים. נוסף על כך, המטרה של התוקף תהיה להוציא לפועל מתקפה מתוחכמת, שקטה וברקע. לרוב תהיה זו מתקפה עוקפת Event Log, כדי שלצוותים השונים לא תהיה נראות על המתרחש בזמן שהתוקף מכין את הקרקע ואוסף מודיעין.
בין המתקפות הנפוצות כיום: DCSync, DCShadow, Password Spraying, Golden Ticket, AdminSDHolder Modifications, Pass the hash, Pass the Key ועוד רבות אחרות (לרובן אף ניתן למצוא מדריכים מפורטים ברחבי האינטרנט).
על מנת לזהות מתקפות מסוג זה יש צורך לתפוס אותן בזמן אמת – משימה קשה בפני עצמה. במידה שהתוקף יטשטש עקבות וימחק את הלוגים המובנים יהיה כמעט בלתי אפשרי לאתר אותה.
כאן נכנסים לתמונה הפתרונות של Quest.
פתרון ה-Quest Change Auditor
על ידי שימוש בפתרון ה-Change Auditor Quest נקבל את הנראות הנדרשת לאיתור מתקפות שונות, להגן על האובייקטים החשובים ולקבל התראות בזמן אמת – החל משאילתות LDAP ועד למי ביצע פעולה חשודה, ויש רבות נוספות.
מהו ה-Quest Change Auditor? זוהי מערכת Auditing בזמן אמת, המספקת נראות בכל הקשור לאירועים ופעילויות חשודות שמתרחשות בסביבת הארגון.
אחד מיתרונותיה הבולטים של המערכת הוא שהיא בלתי תלויה ולכן, לא נשענת על ה-Event Log ומנגנון ה-Audit הטבעי של מערכות ההפעלה כדי שיספקו לה מידע על המתרחש, אלא מייצרת את האירועים באופן עצמאי על ידי ביצוע יירוט מהזכרון. היא אף מנרמלת ומעשירה את האירועים בערכים כגון: מי ביצע את הפעולה? מהי הפעולה שבוצעה? מתי היא בוצעה? ומה הערך שקדם ומה הערך הנוכחי? – כל זאת מבלי ליצור עומס על האובייקטים המנוטרים.
היתרון הבולט השני הוא היכולת לבצע הגנה על אובייקטים רגישים כך ששום משתמש שאינו מורשה לבצע שינויים לא יוכל לעשות זאת, גם אם הוא משתמש בעל הרשאות גבוהות. למשל, קבוצת Domain Admin הינה קבוצה רגישה ביותר, וניתן להגן עליה כך שגם משתמשים בעלי הרשאת Domain Admin לא יוכלו לבצע שינויים ללא הרשאה מתאימה.
כמו כן, מכיוון שהמערכת הינה מודולרית, ניתן לקבל מעטפת לשרתי ה-Exchange, שרתי הקבצים, O365 ועוד – ואין זה משנה אם סביבת הארגון הינה סביבה מקומית, היברידית או מבוססת ענן.
יתרון נוסף שגלום במערכת הוא בתחקור האירועים השונים, שיבוצע בצורה פשוטה ומהירה, על ידי שימוש במנוע חיפוש אלסטי (Quest ITSS) דמוי גוגל, בו ניתן יהיה לחפש כל ערך ולקבל תמונת מצב רחבה ומקיפה על הפעולה או התהליך שבוצע.
Quest הינה שותף ISV מוביל של מיקרוסופט, עם מגוון פתרונות רחב בתחומי אבטחת המידע, הניהול והמיגרציה, והיא מספקת מענה לניהול הסיכונים והרגולציות השונות.
לפרטים היכנסו לקישור.