Как узнать, взломал ли кто-то ваш Active Directory

Сколько мыслей среднестатистический человек уделяет водопроводу, который доставляет воду в их дом? Как часто они думают о механике двигателя своей машины, о модеме, который позволяет им получить доступ к Интернету, или даже о кофеварке, которая доставляет им утреннюю порцию кофеина? В современном мире предпочтение отдается удобству, а технологиям пользователи ожидают, что они будут «просто работать», не задумываясь и не прилагая особых усилий с их стороны.

К сожалению, в то время как большинство людей могут прекрасно обходиться без знания всех тонкостей работы двигателя внутреннего сгорания, некоторые технологии требуют более высокого уровня понимания. В мире кибербезопасности одной из таких технологий является Active Directory (AD). Хотя AD управляет идентификацией и аутентификацией на предприятии, слишком многие бизнес-лидеры рассматривают ее как часть сантехники. Но киберпреступники начинают использовать относительную уязвимость AD в рекордных количествах. Ожидать, что он будет «просто работать», уже недостаточно — современным предприятиям нужны более надежные средства защиты, и они должны научиться распознавать признаки того, что их AD может быть скомпрометирован.

Атаки на основе учетных данных растут

В самом последнем [Отчете Verizon о расследовании утечек данных] (https://www.verizon.com/business/resources/reports/dbir/) (DBIR) отмечается, что 61% утечек в настоящее время связаны с учетными данными. Основная причина заключается в том, что получение учетных данных значительно упрощает работу киберпреступника и требуется для получения привилегий, необходимых им для продвижения своих атак.

:::предупреждение

Воруя или неправомерно используя учетные данные законного пользователя, злоумышленник может затем свободно маскироваться под сотрудника и получать доступ таким образом, который остается незамеченным традиционными системами безопасности.

И слишком часто нацеливание на Active Directory является их первым шагом. Для работы AD необходимо затронуть почти каждую часть сети, что затрудняет ее защиту. Злоумышленник, которому удается скомпрометировать AD, фактически имеет ключи к замку и немедленно попытается повысить свои привилегии, чтобы получить доступ к новым областям сети, установить бэкдоры, стереть свои следы и найти более ценные данные. Это также способ, с помощью которого атаки получают контроль над массовым распространением вредоносных программ и программ-вымогателей. Предотвращение взлома AD злоумышленниками должно быть главным приоритетом для современных защитников.

Есть предупреждающие знаки, но их трудно заметить

К сожалению, признаки компрометации Active Directory малозаметны, многие из них почти невозможно заметить, если защитники активно не ищут их. Для защиты AD требуется более целостный подход к безопасности — некоторые индикаторы могут указывать на то, что атака на AD продолжается, но неопровержимые доказательства встречаются редко. Думайте об этом как о диагностике медицинской проблемы. Есть бесчисленное множество симптомов, которые нужно искать, но не всегда легко связать их вместе в диагноз. Некоторые из них отбрасываются как неважные или приписываются другим факторам.

Чтобы распознать атаку на AD, специалисты по кибербезопасности должны взять на себя роль врача и изучить симптомы и жизненные показатели.

На какие признаки следует обращать внимание, чтобы идентифицировать компрометацию Active Directory? Среди наиболее очевидных потенциальных признаков — вещи, влияющие на многочисленные учетные записи, такие как массовая смена паролей, указывающая на изменение многих учетных данных. Блокировка учетной записи также может указывать на атаку на AD, например, на атаку паролем. Другие признаки, такие как неожиданные изменения в настройках безопасности, являются более надежными индикаторами атаки AD, но их также труднее заметить. Есть и другие, еще более тонкие вещи, на которые следует обратить внимание, например, внезапное появление учетной записи в группе без уважительной причины или появление новой служебной учетной записи без явного разрешения или цели. И хотя скрытый идентификатор безопасности (SID), добавленный к учетной записи, будет сильным индикатором компрометации AD, его также будет практически невозможно обнаружить.

Решение проблемы

Что же тогда могут сделать защитники, чтобы выявить признаки компромисса, пока не стало слишком поздно? Первым шагом является мониторинг привилегированных групп на наличие новых пользователей. Всегда будут контрольные журналы, чтобы увидеть, когда удостоверение пользователя было создано или добавлено в группу. Помимо создания учетных записей и изменения членства в группах, защитники также должны отслеживать изменения паролей для привилегированных учетных записей, контролировать изменения критических объектов, использование SID из отключенных учетных записей и изменения списка управления доступом (ACL). Все они чрезвычайно незаметны и, скорее всего, останутся незамеченными, если только защитники не будут активно их искать.

:::Информация

К сожалению, найти изменения в этих учетных записях сложно — системы генерируют сетевые журналы в огромных количествах, и их просмотр требует времени. Один из вариантов — обратиться к управлению событиями информации о безопасности (SIEM).

Вместо того, чтобы человек просматривал длинные журналы и отчеты, защитники могут настроить правила SIEM для поиска определенных строк в журнале аудита, а затем выдавать предупреждение, если обнаруживает подозрительную активность. В качестве альтернативы они могут обратиться к более современным инструментам оценки и обнаружения атак. Сегодня доступны инструменты, которые могут автоматически повышать видимость потенциальных угроз и отслеживать известные предупреждающие знаки, оптимизируя процесс за счет сокращения количества вещей, которые должен отслеживать SIEM, а также уменьшая количество ложных срабатываний. Поскольку современные сети становятся все более разрастающимися, а количество идентификаций людей и машин стремительно растет, автоматизация быстро становится единственным практичным и надежным способом защиты AD.

Признание и преодоление сегодняшних проблем

Компрометации Active Directory трудно обнаружить, но автоматический сбор информации и создание отчетов теперь позволяют заблаговременно обнаруживать и быстро устранять проблемы. Обладая глубоким пониманием того, на что обращать внимание, и современными инструментами отслеживания удостоверений, современные защитники лучше, чем когда-либо, подготовлены к отражению атак на Active Directory. Злоумышленники продолжают концентрироваться на AD как на важной цели, и способность обнаруживать и блокировать их станет еще более важной.