Jak zabezpieczyć Active Directory z Tenable.ad?

Dlaczego należy chronić Active Directory?

Patrząc na statystyki skuteczności złośliwego oprogramowania oraz na ataki przeprowadzane przez Insider’ów w firmach, większość włamań i przejęć domeny AD jest spowodowana nieodpowiednią jej konfiguracją, nieładem związanym z uprawnieniami użytkowników, słabymi hasłami lub niewłaściwym modelem zarządzania. Firmy zapominają o historycznych „zaszłościach” w konfiguracji wykonanych przez administratorów i nie sprawdzają aktualnej konfiguracji, która może stanowić duży problem dla organizacji, a przede wszystkim dla CISO i CIO.

Prezentowane na powyższej grafice dane wyglądają trochę jak z rocznika statystycznego, dlatego w kampanii, sponsorowanej przez Tenable.ad dajemy konkretne przykłady ataków. W tych postach opisujemy, jak wykorzystywać wady w konstrukcji usługi katalogowej, poznać hash hasła administratora, podnosić uprawnienia na koncie użytkownika, omijać MFA (uwierzytelnienie wieloskładnikowe), ale przede wszystkim opisujemy sam łańcuch ataku (cyber killchain) i definiujemy jego ogniwa. Piszemy, jak ważne jest zapobieganie lub jak najszybsze przerwanie ścieżki ataku.

Zgodnie z zasadą:

„Im bliżej początku łańcucha atak jest wykryty, tym lepiej. Atakujący posiada wtedy mniej informacji i z pewnością wyrządzi dużo mniej szkód”

możemy w ten sposób zabezpieczyć nasze Active Directory w firmie.

I właśnie prewencji, monitoringowi i raportowaniu zmian w AD służą funkcjonalności Tenable.ad.

Co robi Tenable.ad?

Podstawowe funkcjonalności aplikacji można uszeregować w cztery grupy:

1. IDENTYFIKACJA I NAPRAWA PODATNOŚCI

• Natychmiastowe rozpoznanie, mapowanie i klasyfikacja podatności
• Dokładne instrukcje naprawcze i prewencyjne

2. ODKRYWANIE NOWYCH ŚCIEŻEK ATAKU

• Ciągłe monitorowanie zmian w AD prowadzących do powstania nowych słabości i błędów konfiguracyjnych
• Przerywanie ścieżek ataków i redukcja poziomu ekspozycji

3. WYKRYWANIE ATAKÓW W CZASIE RZECZYWISTYM

• Alerty i gotowe plany remediacyjne dla ataków na AD
• Wzbogacenie SIEM informacjami o wrogich działaniach

4. BADANIE INCYDENTÓW I THREAT HUNTING

• Poszukiwanie i korelowanie zmian w AD na poziomie obiektów i ich atrybutów
• Wyzwalanie zautomatyzowanych odpowiedzi w systemie SOAR

Oprogramowanie działa bezagentowo, nie wymaga nadzwyczajnych uprawnień w systemie. Sprawdza bezpieczeństwo: Azure Active Directory Domain Services, AWS Directory Service lub Google Managed Service dla Active Directory w czasie rzeczywistym.
Tenable.ad zapewnia elastyczność implementacji. Może być wdrożone w modelu SaaS albo lokalnie.

• Wykrywa problemy w konfiguracji Active Directory
• Identyfikuje niebezpieczne relacje zaufania
• Wychwytuje każdą zmianę w AD
• Wiąże zmiany w AD z wrogimi działaniami
• Dogłębnie analizuje szczegóły ataków
• Łączy opisy frameworku MITRE ATT&CK ze szczegółami incydentów

Konsola Tenable.ad

Dostęp do rozwiązania Tenable.ad odbywa się z konsoli webowej, która wyświetla dane zebrane z Active Directory przez usługi działające w tle.
Dane przedstawiana są w zrozumiałych i treściwych panelach prezentujących wyniki wykrytych zagrożeń oraz podatności. Po lewej stronie konsoli mamy dostępne cztery główne sekcje związane z przepływem ścieżki ataku, wskaźnikami zagrożeń w konfiguracji AD, wskaźnikami ataku na AD oraz topologią.

W rozwiązaniu mamy także dostępne alerty dotyczące ekspozycji (zagrożeń w konfiguracji) oraz związane z atakiem. Alerty możemy zintegrować z systemem SOAR.

Pomocną sekcją jest także identyfikacja ataków pokazująca chronologicznie występujące po sobie zagrożenia w każdej z monitorowanych domen.

Po rozwinięciu konkretnego ataku w konsoli, prezentowane są dodatkowe, szczegółowe informacje wraz z opisami.

Podsumowanie

Active Directory kryje w sobie wiele zagadek. Nieodpowiednio zabezpieczone i monitorowane może stanowić poważne zagrożenie dla całej firmy. Za pomocą Tenable.ad możesz przekonać się, czy w konfiguracji Twojego AD występują jakieś „trupy” w szafie, o których nie miałeś wcześniej pojęcia, a także możesz się ochronić przez przyszłymi, ewentualnymi atakami. Pamiętaj, że znajomość środowiska AD i podatności pozwala atakującym na bycie bezkarnym lub ułatwia im im drogę do przeprowadzania ataku na środowisko. Powyższe słabości, ataki oraz scenariusze ataków na AD pokazujemy w naszych artykułach na Kapitanie Hack’u oraz w specjalnej poświęconej temu kampanii Cyber Kill Chain.

Dziękujemy dystrybutorowi, firmie Veracomp – Exclusive Networks za udostępnienie rozwiązania do naszych testów i z przyjemnością rekomendujemy to rozwiązanie Wam, Drodzy Czytelnicy.