如何防止ActiveDirectory遭到破坏

易安宏
导读 今天,威胁行为者正在使用各种方法来攻击组织。虽然勒索软件、网络钓鱼、僵尸网络和其他恶意软件占据了头条新闻,但Active Directory (AD

今天,威胁行为者正在使用各种方法来攻击组织。虽然勒索软件、网络钓鱼、僵尸网络和其他恶意软件占据了头条新闻,但Active Directory (AD) 仍然是滥用的主要载体。

更具体地说,黑客使用 AD 中的攻击路径,即攻击者用来窃取敏感数据或发起恶意软件攻击的用户和计算机的可滥用权限和用户行为链。它们几乎存在于所有商业网络中,并且几十年来一直让捍卫者感到沮丧(无论他们是否知道)。

在过去的几年里,我详细研究了攻击路径。随着攻击的发展,防御攻击路径需要一种新的方法。在本文中,我将更详细地探讨攻击路径,并讨论安全专家如何努力消除这些威胁。

Microsoft Active Directory 的秘密祸害

2009 年,Microsoft Research 将攻击路径描述为“身份雪球攻击[利用登录到第一台受感染主机的用户以这些用户在其他主机上的权限发起额外攻击”。

基于身份的攻击路径(我将在此重点介绍)在 Microsft AD 和 Azure AD 中尤其成问题,因为这些平台为风险相对较低的攻击者提供了高回报。但在这里,我将重点介绍 Microsoft AD,这些概念也适用于其他身份和访问管理系统,例如 Google Suite 和 AWS 中的那些。

现有的关于攻击路径的防御性文献通常过于学术而无法实用,并且确实存在的实用工具从攻击者的角度关注攻击路径。虽然分层管理和最小权限等方法在理论上可以降低这些风险,但由于各种原因,它们几乎从未正确实施(如果有的话)。

防御攻击路径滥用需要对 AD 攻击路径阻塞点(本地和 AD 中)的持续发现、映射和风险评估。这种方法可以消除、缓解和管理攻击路径,并显着减少 AD 呈现给对手的攻击面。

这种保护方法不应该要求进行基本的架构更改,也不需要强制防御者处理无数的错误配置、漏洞和危险的用户行为列表。根据我的经验,成功防御 AD 免受攻击路径需要三个主要步骤:

1) 实时映射

阻止攻击路径的第一步是随时了解它们的存在数量。

企业网络不是静态的。特权用户每天登录不同的系统,留下可能被对手滥用的令牌和凭据。新应用程序需要新授予的权限,并且安全组成员身份会发生变化以适应业务需求。

攻击路径的一次性测量或间隔测量都不够好。映射需要包括所有可能的系统和用户,从域控制器到各个端点。随着新研究发现滥用用户权限的新技术,需要将这些技术添加到攻击路径图中,以使其保持全面。

2) 识别攻击路径阻塞点并确定优先级

关闭环境中的所有攻击路径是不可能的——它们太多了(而且并非所有攻击路径都可以关闭)。

更好的解决方案是关注导致高价值(或零层)资产(如域控制器)的“阻塞点”。例如,如果一个组织与其零级资产有十个连接,那么这些资产的任何攻击路径都必须通过其中一个连接,无论它从哪里开始。找到这些阻塞点可以缩小防御者需要关注的范围,将其转变为更易于管理的过程。

有很多解决方案可以为 AD 错误配置赋予主观的“风险评估”价值。这可能有用也可能没用,这取决于解决方案提供商如何评估风险。更好的方法是根据可以访问每个阻塞点的计算机和用户的数量来客观地衡量风险。

例如,如果一个阻塞点使 100% 的用户能够访问零层,而另一个阻塞点仅使 2% 的用户能够访问零层,那么很清楚防御者应该首先修复什么。

3) 可行的补救指导

攻击路径给每个组织都带来了巨大的风险,但每个组织都必须自己选择花费多少时间、金钱和政治资本来管理它们。删除用户权限或尝试更改用户行为很容易产生干扰合法业务流程的意外后果(例如通过关闭 NTLM 身份验证来破坏向后兼容性)。

AD 管理员不愿意在没有明显好处的情况下摇摆不定。如果指导不明确或涉及太多工作,那么防守者可能会谨慎行事,不会改变任何事情。正因为如此,补救指南必须满足几个标准,以确保它们是实用的、精确的和安全的。这些标准包括:

不需要对环境的目录服务架构进行重大更改。

不需要组织迁移到新的目录服务平台。

不需要专家级知识。

提供预期结果,补救措施和预期结果都是可验证的。

包括有关如何确定是否需要特权的说明。

能够识别特定的攻击路径阻塞点、客观地评估每个风险、快速解决问题以及衡量组织的整体风险随时间的变化如何显着改善和简化组织的 AD 安全性。

随着这一领域的发展和新的解决方案上市以帮助简化这一过程,组织将能够简化攻击路径的管理,以帮助减轻严重的威胁和错误配置。

标签:

版权声明:本文由用户上传,如有侵权请联系删除!