Nie bez powodu utarło się powiedzenie „Mądry Polak po szkodzie”, które towarzyszy już nam od XVI wieku. Coś w tym musi być, skoro ciągle wielu z nas myśli: „no komu jak komu ale mnie się to nie przytrafi”. Czy, aby na pewno?
Ważna jest odpowiedź na pytanie „Co robimy w obliczu zagrożenia?” Najczęściej wtedy wpadamy w panikę, gorączkowo staramy się naprawić to, co wcześniej robiliśmy źle, przygotowujemy się na najgorsze, zabezpieczamy się. Po szkodzie oczywiście analizujemy błędy i uczymy się, dlatego warto wcześniej zasięgnąć wiedzy i być dobrze przygotowanym. Najlepiej oczywiście uczyć się na błędach innych, ale nie zawsze mamy taką możliwość. Jak znaleźć złoty środek na taką ochronę oraz skuteczną strategię, żeby móc spać spokojnie? O tym poniżej.
Strach i panika sprzyjają atakującym
Musimy też wiedzieć o jeszcze jednej, ważnej rzeczy. W obliczu zagrożenia towarzyszy nam zwykle atak paniki i strach. Można wtedy wykonać bardzo dużo rzeczy w nieprawidłowy sposób, często nierozsądnych i jeszcze bardziej narazić się na ryzyko. O tym bardzo dobrze wiedzą atakujący i tylko na to czekają. Dlatego trzeba tutaj zachować zimną krew i być pewnym tego co się robi. Dobre zrozumienie środowiska, procesów w nim zachodzących oraz zabarykadowanie go pozwoli na stabilizację. Można nawet oszukać atakującego i zastawić na niego pułapki, które pozwolą nam na szybką eliminację zagrożenia.
Krótko o Active Directory
O tym, że Active Directory to najbardziej krytyczną usługa w wielu firmach, wie zapewne wielu z Was. Wielokrotnie na Kapitanie pisaliśmy o różnych metodach ataków, w tym CYBER KILL CHAIN, podatnościach oraz malware za pomocą, których można przejąć AD i zaatakować resztę systemów w infrastrukturze. Skutkami takich ataków są najczęściej wykradanie poświadczeń i danych wrażliwych, szyfrowanie danych dla okupu oraz jak obserwujemy teraz podczas ataku Rosji na Ukrainę – czyszczenie danych, czyli destrukcja infrastruktury paraliżująca jej działanie. W Polsce ogłoszono najwyższy poziom gotowości w cyberprzestrzeni.
Niestety, ale standardowe podejście do bezpieczeństwa AD wśród wielu firm nie jest wystarczające, często traktowane po macoszemu. Związane jest to najczęściej z tym, że wymaga ono większego zgłębienia się w problem, bardzo specjalistycznej wiedzy i często zastosowania bardziej specjalistycznych zabezpieczeń.
Czekanie na moment ataku i pocieszanie się, że nic nam nie grozi to zaklinanie rzeczywistości i spanie na tykającej bombie. Jeśli Twoja firma doświadczyła kiedykolwiek jakiegokolwiek ataku na usługi lub obecnie obserwujesz próby ataku na usługi zewnętrzne, wiedz, że prędzej czy później atakujący może dobrać się do środowiska wewnątrz firmy i zaatakować Twoje AD. Potem jest już tylko problem dla biznesu jak i utrata wizerunku.
Hacker może przeprowadzić atak od środka sieci, ale również poprzez przejęcie usług wystawianych na zewnątrz firmy. Jedną ze strategii ochrony jest poznanie dokładnie środowiska, zabezpieczenie go i zabarykadowanie.
O co chodzi w koncepcji zabarykadowania AD?
Trzeba pamiętać, że natywne mechanizmy zabezpieczeń Microsoft oraz audytu Microsoft mogą nie wystarczyć w przypadku, kiedy atakujący dobrze rozpoznał od wewnątrz organizacje. A może jest już w środku firmy i czeka na odpowiedni moment ataku? Oczywiście duże ryzyko stanowią tutaj słabo zabezpieczone konta uprzywilejowane takie jak administratorzy domeny czy lokalni administratorzy na serwerach, ale również takie, które posiadają oddelegowane uprawnienia np. resetu hasła. Zagrożeniem mogą być także sami użytkownicy, którzy dostają się do różnych zasobów za pomocą swojego loginu i hasła.
Dla atakujących droga do przejęcia Active Directory może być krótsza niż myślisz. Nawet jeśli monitorujesz logi bezpieczeństwa w AD za pomocą rozwiązania klasy SIEM, posiadasz wdrożone rozwiązanie PIM/PAM, DLP, antywirusa, EDR czy inne. Rekonesans wykonany przez Insider’a w firmie pozwoli mu na skuteczne przeprowadzenie ataku, w taki sposób, że nie zauważysz go w logach.
Jaki jest sposób na zablokowanie atakującego?
Wprowadzenie specjalnych zabezpieczeń bazującej na strategii budowania barykad, na których będzie można go przechwycić i zatrzymać atakującego jeszcze przed wykonaniem ataku i na wstępnie go zablokować. Jest to bardzo trudne do ustawienia przy pomocy natywnych mechanizmów Microsoft (pisaliśmy o koncepcji Zero Trust). Również rozwiązania PIM/PAM nie gwarantują w pełni zabezpieczenia najbardziej krytycznych kont, bo potrafimy już udowodnić, że można je obejść.
Na czym polega stratega barykady?
W związku z panującą sytuacją na Ukrainie i szerzącą się falą ataków cybernetycznych na instytucje oraz firmy pragniemy poinformować o wykonywanej przez firmę APPEAL akcji bezpieczeństwa związanej z koncepcją „Zabarykadowania i zabezpieczenia Active Directory oraz dostępów do aplikacji”
Podczas specjalistycznej usługi jest w stanie dokładnie sprawdzić Twoje środowisko i powiedzieć, gdzie w znajdują się w nim problemy (pokazać „trupy w szafie”). Dokona rzetelnej i fachowej analizy jego konfiguracji. Pomoże znaleźć odpowiedzi na nurtujące w obecnym czasie pytania:
- Czy nie masz ustawionego backdoora w środowisku?
- Jak zablokować atak Zeroday w AD, tak aby nawet po przejęciu najwyższych uprawnień atakujący nie mógłby nic zrobić w środowisku?
- Czy obecna konfiguracja środowiska niesie ryzyko zagrożenia?
- Czy hasła użytkowników są bezpieczne?
- Czy w grupach AD są niepotrzebne konta?
- Jak proaktywnie reagować na zagrożenia i je odpierać?
- Czy odpowiednio działa Twoja strategia Disaster Recovery?
oraz wiele innych.
Na końcu podpowiemy, że po całym procesie zabezpieczenia, klient będzie mógł w stanie bardziej je zabezpieczyć i efektywnie monitorować oraz a przede wszystkim kontrolować dostęp.