S rozšířením útoků ransomwaru cítí každá firma tlak - a často pocit marnosti - v obraně před kyberzločinci. Společnosti ale mohou znovu získat kontrolu tím, že se zaměří na jeden z nejběžnějších vektorů útoku: Active Directory. Útoky ransomware často zpočátku využívají mezery v zabezpečení AD, jako jsou nesprávné konfigurace nebo slabá hesla, aby nakonec získali přístup k co největšímu počtu koncových bodů a serverů.

Žádný ransomwarový gang nechce, aby byl infikován jediný stroj: Chtějí, aby každá poslední část vašich operací byla nepoužitelná a vaše podnikání se zastavilo. Tak budou mít větší šanci přimět vás, abyste zaplatili výkupné. Ale moderní klientské operační systémy Windows jsou přiměřeně aktuální a jsou bezpečné, což způsobuje, že odhodlaní kyberzločinci se vzdálí od lidí narušujících ochranu osobních údajů a nejprve pomocí AD najdou způsoby, jak do vašeho prostředí vložit škodlivý kód ransomwaru, přistupovat a odstraňovat vaše zálohy a poskytovat vzdálený přístup pro budoucí útoky.

Je smutné, že analýzy po útoku často odhalují, že byla opomenuta základní bezpečnostní opatření AD. Zejména pro organizace, které mají starší aplikace a implementace AD ​​sahající deset let zpět nebo déle, nebo může být zajištění správné hygieny zabezpečení AD náročné na zdroje. Kontrola zásad hesel a nastavení oprávnění často nedává prioritu-dokud nedojde k útoku ransomware, který jako vstupní bod používá AD. I u společností, které mají zavedené procesy pro odstraňování bezpečnostních mezer ve službě AD, se nastavení konfigurace může časem unášet kvůli změně personálu, naléhavým požadavkům na přístup, změně zásad a dalším faktorům.

Mezi nejběžnější - a nejjednodušší prevenci - nesprávné konfigurace AD, které vedou k chybám zabezpečení, patří:

  • Konfigurace AD ​​s neomezeným delegováním, cenný cíl pro útočníky
  • Zneužití vestavěného účtu správce jedné domény k použití jako účtu služby pro jiné prostředky, například databáze
  • Riziková oprávnění nastavená na úrovni domény
  • Účty pro správu s hesly, která nebyla roky změněna

Jak můžete bránit AD před kyberzločinci? Ačkoli žádný plán není spolehlivý proti stále odhodlanějším a sofistikovanějším útočníkům, tři základní kroky výrazně zvýší vaši ochranu:

  1. Monitorujte změny ve službě Active Directory: Dříve jsme se zabývali jedinečnými změnami v rámci služby AD, které kmeny ransomwaru Ryuk, Maze a SaveTheQueen používaly při distribuci svého malwaru na co nejvíce koncových bodů. AD musíte sledovat obecně, ale také sledovat změny provedené v konkrétních, vysoce hodnotných částech AD (např. Domain Admins, Administrator atd.). Ten druhý z nich je evidentní, ale ten první je stejně důležitý, protože padouši neustále vymýšlejí nové a kreativní způsoby, jak využít AD. Musíte sledovat a kontrolovat všechny neobvyklé změny - bez ohledu na to, jak příznivé se vám zdají.
     
    Kyberzločinci vědí, že se můžete dívat, a budou hledat způsoby, jak zůstat pod radarem, jako v případě Ryukovy úpravy zásad skupiny o přidání přihlašovacího skriptu.
     
  2. Vypracujte plán odezvy: Když zjistíte změnu, která vyžaduje vaši pozornost, musíte mít připravený plán odezvy. Zásadní je minimálně kontrola změny a také schopnost odhalit další změny, které mohly být dříve provedeny stejným účtem. Pro ty, které jsou považovány za podezřelé nebo vyloženě škodlivé, proveďte akční plán: deaktivace účtů, ruční vrácení změn, uzamčení koncových bodů (je -li to možné) atd.
     
    Je nepravděpodobné, že by se kyberzločinci omezili na jedinou úpravu AD. Jakmile zjistíte jednu změnu, odpověď by měla předpokládat nejhorší, protože přesně to budou padouši dělat.
     
  3. Proaktivní ochrana konkrétních objektů: K vyřešení tohoto kroku budete potřebovat řešení, protože AD to nedělá. Potřebujete schopnost sledovat konkrétní „chráněné“ objekty (ty, které považujete za klíčové, neměňíte je často a neměly bys se měnit) a podle potřeby automaticky vrátit změny předchozí konfigurace.

Přestože jsou kyberzločinci stále více zběhlí ve využívání AD, mají omezený typ a počet škodlivých činností, které mohou provádět. Pokud při útoku chráníte části služby Active Directory, které mají vysokou hodnotu a jsou zřejmě cenné, můžete většinu útoků odrazit. A pro tento „zero day“ nový útok na metodologii AD, který nikdo neviděl přicházet, první krok výše zmíněný (pokud je brán vážně) to zvládne, což vám umožní vytvořit plán odezvy a přidat tento objekt na seznam chráněných objektů v rámci AD.

Pokud dokážete zabránit útočníkům šířit ransomware po vaší síti, účinně jste zastavili útok a minimalizovali dopad počátečních útoků. AD se stala klíčovým bodem útoků ransomwaru. Uvedením výše zmíněných kroků do praxe budete mít lepší schopnost předcházet kyberútokům zaměřeným na AD, zmírňovat je nebo na ně reagovat.

 

Autor původního článku: Guido Grillenmeier
Překlad: Ondřej Strachota

Společnost QNAP oficiálně představuje myQNAPcloud Storage

Společnost QNAP představila myQNAPcloud Storage, nové hybridní cloudové úložiště, které uživatelům poskytuje 16 GB prostoru zdarma a bezpečné zálohování dat bez dalších poplatků za přenos. Toto řešení podporuje strategii 3-2-1 zálohování a...

Kybernetické trendy, na které si dát pozor v roce 2025

Budoucnost kybernetické bezpečnosti zůstává neustálým zájmem bezpečnostních odborníků a organizací. I když je organizace nyní chráněna, jaké nové hrozby a události by mohly organizaci vykolejit za několik dní, týdnů nebo měsíců? Koneckonců, rychlý...

Security news za prosinec

Objevte aktuální trendy v oblasti kybernetické bezpečnosti. Podívejte se, jak útočníci zneužívají nové techniky malwaru, obcházejí zabezpečení, a jaké zranitelnosti byly odhaleny ve známých platformách a produktech. Získejte přehled o nejnovějších...

Top 10 trendů kybernetické bezpečnosti, které lze očekávat v roce 2025

Prostředí kybernetické bezpečnosti do roku 2025 bylo stále složitější, poháněné sofistikovanými kybernetickými hrozbami, zvýšenou regulací a rychle se vyvíjejícími technologiemi. V roce 2025 budou organizace muset chránit citlivé informace pro své...

Security News za listopad

Comguard neustále zpracovává a hledá bezpečnostní hrozby vyskytující se v české republice, aby mohl poskytovat rychlé a věcné informace pro české společnosti.

Google opravuje dvě zranitelnosti Androidu zneužité při cílených útocích

Google varuje před omezeným, cíleným zneužitím dvou zranitelností vyřešených nejnovější aktualizací zabezpečení Androidu.