- label Novinky z IT a kyberbezpečnosti
- remove_red_eye 206 zobrazení
S rozšířením útoků ransomwaru cítí každá firma tlak - a často pocit marnosti - v obraně před kyberzločinci. Společnosti ale mohou znovu získat kontrolu tím, že se zaměří na jeden z nejběžnějších vektorů útoku: Active Directory. Útoky ransomware často zpočátku využívají mezery v zabezpečení AD, jako jsou nesprávné konfigurace nebo slabá hesla, aby nakonec získali přístup k co největšímu počtu koncových bodů a serverů.
Žádný ransomwarový gang nechce, aby byl infikován jediný stroj: Chtějí, aby každá poslední část vašich operací byla nepoužitelná a vaše podnikání se zastavilo. Tak budou mít větší šanci přimět vás, abyste zaplatili výkupné. Ale moderní klientské operační systémy Windows jsou přiměřeně aktuální a jsou bezpečné, což způsobuje, že odhodlaní kyberzločinci se vzdálí od lidí narušujících ochranu osobních údajů a nejprve pomocí AD najdou způsoby, jak do vašeho prostředí vložit škodlivý kód ransomwaru, přistupovat a odstraňovat vaše zálohy a poskytovat vzdálený přístup pro budoucí útoky.
Je smutné, že analýzy po útoku často odhalují, že byla opomenuta základní bezpečnostní opatření AD. Zejména pro organizace, které mají starší aplikace a implementace AD sahající deset let zpět nebo déle, nebo může být zajištění správné hygieny zabezpečení AD náročné na zdroje. Kontrola zásad hesel a nastavení oprávnění často nedává prioritu-dokud nedojde k útoku ransomware, který jako vstupní bod používá AD. I u společností, které mají zavedené procesy pro odstraňování bezpečnostních mezer ve službě AD, se nastavení konfigurace může časem unášet kvůli změně personálu, naléhavým požadavkům na přístup, změně zásad a dalším faktorům.
Mezi nejběžnější - a nejjednodušší prevenci - nesprávné konfigurace AD, které vedou k chybám zabezpečení, patří:
- Konfigurace AD s neomezeným delegováním, cenný cíl pro útočníky
- Zneužití vestavěného účtu správce jedné domény k použití jako účtu služby pro jiné prostředky, například databáze
- Riziková oprávnění nastavená na úrovni domény
- Účty pro správu s hesly, která nebyla roky změněna
Jak můžete bránit AD před kyberzločinci? Ačkoli žádný plán není spolehlivý proti stále odhodlanějším a sofistikovanějším útočníkům, tři základní kroky výrazně zvýší vaši ochranu:
- Monitorujte změny ve službě Active Directory: Dříve jsme se zabývali jedinečnými změnami v rámci služby AD, které kmeny ransomwaru Ryuk, Maze a SaveTheQueen používaly při distribuci svého malwaru na co nejvíce koncových bodů. AD musíte sledovat obecně, ale také sledovat změny provedené v konkrétních, vysoce hodnotných částech AD (např. Domain Admins, Administrator atd.). Ten druhý z nich je evidentní, ale ten první je stejně důležitý, protože padouši neustále vymýšlejí nové a kreativní způsoby, jak využít AD. Musíte sledovat a kontrolovat všechny neobvyklé změny - bez ohledu na to, jak příznivé se vám zdají.
Kyberzločinci vědí, že se můžete dívat, a budou hledat způsoby, jak zůstat pod radarem, jako v případě Ryukovy úpravy zásad skupiny o přidání přihlašovacího skriptu.
- Vypracujte plán odezvy: Když zjistíte změnu, která vyžaduje vaši pozornost, musíte mít připravený plán odezvy. Zásadní je minimálně kontrola změny a také schopnost odhalit další změny, které mohly být dříve provedeny stejným účtem. Pro ty, které jsou považovány za podezřelé nebo vyloženě škodlivé, proveďte akční plán: deaktivace účtů, ruční vrácení změn, uzamčení koncových bodů (je -li to možné) atd.
Je nepravděpodobné, že by se kyberzločinci omezili na jedinou úpravu AD. Jakmile zjistíte jednu změnu, odpověď by měla předpokládat nejhorší, protože přesně to budou padouši dělat.
- Proaktivní ochrana konkrétních objektů: K vyřešení tohoto kroku budete potřebovat řešení, protože AD to nedělá. Potřebujete schopnost sledovat konkrétní „chráněné“ objekty (ty, které považujete za klíčové, neměňíte je často a neměly bys se měnit) a podle potřeby automaticky vrátit změny předchozí konfigurace.
Přestože jsou kyberzločinci stále více zběhlí ve využívání AD, mají omezený typ a počet škodlivých činností, které mohou provádět. Pokud při útoku chráníte části služby Active Directory, které mají vysokou hodnotu a jsou zřejmě cenné, můžete většinu útoků odrazit. A pro tento „zero day“ nový útok na metodologii AD, který nikdo neviděl přicházet, první krok výše zmíněný (pokud je brán vážně) to zvládne, což vám umožní vytvořit plán odezvy a přidat tento objekt na seznam chráněných objektů v rámci AD.
Pokud dokážete zabránit útočníkům šířit ransomware po vaší síti, účinně jste zastavili útok a minimalizovali dopad počátečních útoků. AD se stala klíčovým bodem útoků ransomwaru. Uvedením výše zmíněných kroků do praxe budete mít lepší schopnost předcházet kyberútokům zaměřeným na AD, zmírňovat je nebo na ně reagovat.
Autor původního článku: Guido Grillenmeier
Překlad: Ondřej Strachota
