הגנה על Active Directory באמצעות AD Protect

מאמר ראשון בסדרה והקדמה של הגנה על תשתית Active Directory באמצעות AD Protect, אם הינך אחראי על Active Directory בארגון ומעונין להגן על תשתית זאת, המאמר הבא הוא בשבילך.

בשנים האחרונות ארגונים רבים ממוקדים בטרנפורמציה דיגיטלית ובמעבר לענן, וגם השנה סקרים רבים מראים כי המעבר והצריכה של פלטפורמות ויישומים בענן תקח חלק מרכזי ביומיום של הארגון.

למרות המעבר לענן עדיין ישנן תשתיות מקומיות שאין לנו אפשרות לוותר עליהם כל כך מהר או לחלופין אין תשתית אחרת אשר יכולה לתת חלופה מסוימת, ולכן אחת התשתיות המרכזיות והקריטיות אשר קיימת בארגון היא מסד הנתונים המבוסס על Active Directory.

תשתית Active Directory היא אחד הנכסים הקריטים בכל ארגון ומהווה את עמוד השדרה של תשתית המחשוב בארגון, תשתית Active Directory מספקת את כלל האובייקטים, בין היתר: משתמשים, קבוצות ומשאבים לצורך ניהול הרשאות וגישה ולכן כל מערכת אשר מתחברת לארגון מסתמכת עליה ועושה שימוש כלשהוא מול אובייקט או גישה ביומיום. נכון לימים אלה הוא משמש את רוב הארגונים (90% מכלל הארגונים לפחות).

גם המעבר לענן אינו מייתר את הצורך בתשתית Active Directory שכן הוא מסתמך על תשתית זאת החל מרגע בניית הענן וסנכרון האובייקטים, ויתר על כן גם אינטגרציה עם תשתיות ענן צד שלישי אשר צריכות אותו.

קצת מהעבר, תשתית Active Directory נחשפה בשנת 1999 ויצאה רשמית בשנת 2000 יחד עם צאתו של Windows 2000 Server, באותה עת יצאו יחד עם תשתית Active Directory רכיבים ופרוטוקלים שונים שהיו בשימוש מול NT.

במהלך השנים תשתית Active Directory קיבלה שיפורים מסוימים וחידושים שונים אך אופן העבודה והרכיבים שעליהן היא בנויה לא השתנו באופן משמעותיף ולפיכך אנו עובדים עם תשתית לא חדשה שמהווה את הנכס החשוב ארגון.

נחזור לימינו ובהגנה על הארגון אנו צריכים לבצע הגנה על נכסי הארגון לפי מספר קטגוריות כאשר לכל קטגוריה ישנו פוטנציאל לנזק מסוים, על סמך מיפוי הנכסים החשובים בארגון ניתן לדעת מהו הפוטנציאל למתקפה וכתוצאה מכך הארגון מכין את עצמו ונשען על רובדי הגנה שונים.

הקטגוריות מסתמכות על פוטנציאל לנזק מתוך היתכנות לאירוע סייבר ונחלק לארבעה: נמוך, בינוני, גבוה וקריטי. על סמך אותו פוטנציאל ניתן לממש את יעדי ההגנה וניתן לקבוע מהו הרובד המתאים למזעור נזקים.

באיזה קטגוריה היית ממקם את תשתית Active Directory?

כיום עיקר ההגנה מתמקד על תשתיות הענן השונות ומה שמחובר אליהם חיצונית, ולראיה ארגונים רבים ממוקדים בהגנה על רובדי ענן שונים וכן על נקודות הקצה שהם אפליקציות, רשתות והתקני קצה.

תשתית Active Directory שמהווה את עמוד השדרה של הארגון מוזנח באמצעי ההגנה, למרות ש-9 מ-10 ארגונים מבוססות על Active Directory מרבית ההתקפות הקשות והפרצות בארגונים מתבססים על חדירה לנקודות הלא מוגנות האלו.

מכיוון שמדובר על מסד נתונים בעל ערך רב אך בעל פוטנציאל לנזק גבוה, המטרה היא להגן עליו מפני מתקפות שונות. המתקפות הקיימות כיום מול Active Directory אינן חדשות כלל, אך עם הזמן השתפרו מעט וקיבלו אפשרויות תקיפה נוספות ועם כלים חדשים.

הגנה על Active Directory

תשתית Active Directory מספקת כר רחב של מתקפות וישנם וקטורים וסוגי מתקפות שונות, בין היתר:

• Priv Escalation
• Pass the Hash
• Compormoise Password
• Kerberoasting
• Silver Tickets

אופן וצורת המתקפה יכול להיעשות בדרכים שונות ועם כלים מגוונים, החל מהכלי המוכר של mimikatz ועד קוד שניתן להריץ ברמת PowerShell.

אז איך מבצעים הגנה על Active Directory כאשר המיקוד שלנו הוא בענן? כיום ישנם אפשרויות מגוונות כגון: שימוש במערכת מבוססות Honeypot שמטרתן לבצע הטעיה, הסטה וזיהוי של ניסיונות בלתי מורשים מול Active Directory ולמעשה מבודדים את התוקף וחוסמים את המתקפה, או לחלופין כלים ייעודים שמבצעים זיהוי של deception, credential theft, או כלים ייעודים שמבוססים על לוגים מתוך Event Viewer.

מכיוון שבכל אחת מהדוגמאות שהוזכרו מעלה עלול להיות bypass כלשהוא בין אם זה ביטול של לוגים ברמת Event Viewer וללא ידיעת אדמין, או ביצוע מניפולצות שונות אשר מבוססות על honeytoken (ישנם מספר סימולציות לביצוע ונדון בהם במאמר הבא).

אם כך, אז מהי הדרך לבצע הגנה על תשתית Active Directory? לפיכך, הדרך להגנה על תשתית Active Directory צריכה להיעשות בהתאם לקטגוריה ופוטנציאל הנזק שעלול להיגרם כתוצאה מאירוע סייבר.

הגנה באמצעות AD Protect

אחד מרובדי ההגנה שנחשפתי אליו לפני חודשים רבים הוא הפלטפרומה המעולה של AD Protect (שייך לחברת Javelin Networks וכיום כבר חלק מחברת Symantec) ואשר הביא איתו בשורה משמעותית עם מנגנון הגנה חזק מאוד לתשתית Active Directory!

כיום הפתרון נקרא Symantec Endpoint Threat Defense for AD וחשוב מכך נשאר כמו שהוא.

ישנם יתרונות רבים ותפיסה שונה ומתקדמת בהגנה של AD Protect על תשתית Active Directory, החל מהאופן שבו הוא מיושם מול התקני הקצה (Server & Client) וללא Agent, דרך אינדיקטורים לזיהוי במתקפה ועד מיטיגציה אוטומטית וחשוב מכך דוחות תחקור Deep Level בכל שלב במתקפה.

המטרה העיקרית של AD Proptect היא לשלוט על התפיסה של התוקף באופן אוטונומי ברמת התקני קצה (וללא Agent) ולזהות את הדרך המועדפת של התוקף לביצוע המתקפה.

הדגשים העיקרים של הגנה עם AD Protect הם:

• זיהוי מיידי – לבצע זיהוי מיידי של המתקפה כבר בתחילתה ולהתריע על כךף, המטרה היא לזהות את המתקפה כבר בלשבים המוקדים לפני שמתבצע תנועה רוחבית או החדרת קוד כלשהיא
• תחקור אוטונומי – השגת ממצאים ומידע רב לגבי המתקפה באופן אוטומטי ולפני שהתוקף מצליח לטשטש עקבות וע"י כך לספק מידע רב כאשר צריך לבצע תחקור
• פריסה רחבה – פריסה והגנה של תשתית AD Protect מול תשתית Active Directory מבלי להשפיע או ללכלך את על התקני קצה וכן תשתית Active Directory
• תגובה ומנע – מנגנון Real-Time המאפשר זמן תגובה מיידי לזיהוי מתקפה וביצוע מיטיגציה באותה עת על אותה מתקפה
• ערבול הנתונים – ביצוע אובפוסקציה מול תשתית Active Directory במטרה להטעות את התוקף ולתת לו מידע שגוי ולשלוט בתפיסה שלו במתקפה

מתוך האתר של Javelin Network

לסיכום

בין אם הפוטנציאל מול Active Directory ונזק מאירוע סייבר הוא קריטי או גבוה, אנו צריכים להגן על תשתית Active Directory שהינה תשתית קריטית וחשובה בארגון. הדרכים להגנה צריכים להיעשות בפלטפורמה שמתאימה לארגון והקטנת דרכי המימוש של התוקף.

במאמרים הבאים נצלול לדרכי הגנה באמצעות AD Protect ואיך אנו עוצרים מתקפה ושולטים במרחב התקיפה ונותנים לתוקף את התחושה שהוא נמצא במקומות שאליו הוא רוצה להגיע.

מידע נוסף על Symantec Endpoint Threat Defense for AD

מידע רב שניתן לנבור בו שעות וימים על וקטורים, סוגי מתקפות וחולשות https://adsecurity.org