Зловмисники спрямовуються на серце вашої організації.

Ваш Active Directory є основним елементом для кожної кампанії APT.

Все почалося ще в 1999 році. Microsoft представила світові кращий спосіб керувати всіма ресурсами організації та керувати ними, зберігаючи їх під одним пакетом управління. Вони назвали це “Active Directory”. Це повністю змінило спосіб управління ресурсами в організації та збільшило загальну ефективність безпеки, застосувавши політику безпеки до всіх керованих активів. Але це також відкрило цілий новий шлюз для ризику, який може загрожувати всій організації. А разом із цим і новий тип супротивника, який як ніколи вбив для організації.

Почнемо з того, що пояснимо, що Active Directory Microsoft означає для світу. Що ще важливіше, що це означало для підприємств у всьому світі. Active Directory (AD) – це “база даних”, де реєструються всі користувачі, комп’ютери, сервери, програми та навіть усі принтери, що використовуються в організації. Кожен працівник, який використовує комп’ютер у домені, отримує унікальний обліковий запис користувача, якому потім може бути призначений доступ до будь-якого ресурсу в домені на основі заздалегідь визначеної політики компанії, створеної та керованої самою організацією.

По суті, Microsoft перебрала ІТ-відділ у кожній організації і придбала собі важливий актив у центрі кожного уряду, банку, роздрібної торгівлі, лікарні та бізнесу на планеті.

Однак AD також відкрив шлюзи перед новою небезпечною загрозою. Хоча домен був і є чудовим для операцій та управління ресурсами, він дійсно поганий для безпеки. Єдина компрометована машина, підключена до корпоративного домену, ставить під загрозу всю організацію.

Перехід вперед до 2017 року

9 із 10 організацій у всьому світі використовують Active Directory

Подивіться на ці 2 комп’ютери, чи не бачите ви різниці?

Більшість людей скажуть, що не бачать різниці між ними. Однак комп’ютер праворуч зберігає головні секрети організації та має доступ до головного порталу, який веде прямо до серця організації. Чому? Комп’ютер праворуч підключений до корпоративного домену, а інший – ні. Якщо цей комп’ютер скомпрометований, ці чутливі знання топології можуть легко поставити під загрозу всю організацію.

Кіберпромисловість одержимо фокусується на захисті кінцевих точок, додатків, мереж, мобільних пристроїв тощо. Однак AD, що використовується 9 з 10 організацій у всьому світі, піддається дизайну численним ризикам і, як-небудь, залишається абсолютно незахищеною. AD, що містить дуже конфіденційні дані, доступний зловмисникам у будь-який час із будь-якої машини, підключеної до домену. В даний час не існує технології, яка б перешкоджала цьому.

Ідеальний злочин

Вивчивши всі останні кампанії APT, ми дізналися найбільший секрет галузі, відомий зловмисникам протягом тривалого часу – зловмисники спрямовуються на серце організації, Active Directory, яка сьогодні залишається повністю вразливою.

ОДНА компрометована кінцева точка може поставити під загрозу всю організацію. Зловмисники можуть без особливих зусиль отримати повну видимість усіх підключених ресурсів та ідентифікаційних даних, просто запитуючи оголошення з головного комп’ютера. Вони навіть можуть отримати повний, непривілейований доступ, знаходячи та викрадаючи ідентифікатори адміністратора. APT, цілеспрямовані атаки ─ для викрадення облікових даних домену потрібна лише одна скомпрометована, пов’язана з корпоративним доменом машина.

За допомогою AD зловмисники можуть легко дізнатись про ресурси організації, співробітників, їх особистість, ролі та привілеї. Крім того, вони можуть дізнатись про всі програми, що працюють всередині, про всі бази даних, сервери, сховище та навіть про внутрішні компоненти безпеки. Потім все, що їм потрібно зробити, – це викрасти облікові дані домену та переміститися останнім, не виявленим, та досягти своєї мети. За допомогою лише декількох команд, введених у скомпрометованій кінцевій точці, він генерує запити LDAP та SAM до бази даних (AKA Active Directory).

Проблема в тому, що AD не може розрізнити законний запит від нелегітимного. Поки він надходив від автентифікованого користувача, машина автоматизована для відповіді, розкриваючи найбільші секрети організації. Найголовніше, що зловмисник отримує не лише частину життєво важливої інформації організації, він отримує її всю за лічені секунди, не ризикуючи бути виявленим, використовуючи законний запит.

Основною проблемою при виявленні цього типу атак є те, що після компрометації машини корпоративного домену зловмисники використовують надійні програми та вбудовані інструменти для викрадення облікових даних та бічного переміщення. Використання надійних програм, на відміну від шкідливих бінарних файлів, робить виявлення, криміналістичну трасування та полювання на МОК майже неможливими.

Короткий зміст та висновок

Сьогодні організації витрачають мільярди доларів і мільйони людських годин, захищаючи кінцеві точки, програми, мережу, мобільні пристрої тощо. Проте, Active Directory (AD), який використовується 9 з 10 компаній у всьому світі, піддається дизайну і залишається незахищеним. Більшість порушень та кампаній APT базуються на атаках AD (викрадених облікових даних домену). Чому? AD – це база даних, що містить всю інформацію про всю організацію, і доступ до неї вільний з будь-якої машини, підключеної до домену. Потрібна лише одна компрометована машина домену, щоб поставити під загрозу всю організацію. Потім зловмисники використовують надійні програми та вбудовані інструменти для викрадення облікових даних домену та бічного переміщення по організації. Використання надійних додатків, на відміну від шкідливих бінарних файлів, робить виявлення, судову експертизу та пошук мисливських робіт майже неможливими.

Про Джавелін

Javelin Networks захищає Active Directory і забезпечує автономні можливості запобігання, стримування, реагування на інциденти та виявлення загроз у універсальній платформі, керованій А.І. Це єдине рішення без агентів, яке негайно містить зловмисників після того, як вони ставлять під загрозу роботу машини, не дозволяючи їм використовувати облікові дані Active Directory і не переходячи в бік у мережу. Javelin захищає той актив, який зловмисникам відомо, що він не захищений.

Спочатку ця публікація була опублікована за адресою https://www.linkedin.com/pulse/attackers-go-heart-your-organization-greg-fitzgerald/.

Greg Fitzgerald люб’язно дозволив нам перекласти і опублікувати цю статтю.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: