.jpg)
%20(1).png)
מאמר ראשון בסדרה והקדמה של הגנה על תשתית Active Directory באמצעות AD Protect, אם הינך אחראי על Active Directory בארגון ומעונין להגן על תשתית זאת, המאמר הבא הוא בשבילך.
בשנים האחרונות ארגונים רבים ממוקדים בטרנספורמציה דיגיטלית ובמעבר לענן, וגם השנה סקרים רבים מראים כי המעבר והצריכה של פלטפורמות ויישומים בענן תיקח חלק מרכזי ביומיום של הארגון.
למרות המעבר לענן, עדיין ישנן תשתיות מקומיות שאין לנו אפשרות לוותר עליהם כל כך מהר או לחלופין אין תשתית אחרת אשר יכולה לתת חלופה מסוימת, ולכן אחת התשתיות המרכזיות והקריטיות אשר קיימת בארגון היא מסד הנתונים המבוסס על Active Directory.
תשתית Active Directory היא אחד הנכסים הקריטיים בכל ארגון ומהווה את עמוד השדרה של תשתית המחשוב בארגון, תשתית Active Directory מספקת את כלל האובייקטים, בין היתר: משתמשים, קבוצות ומשאבים לצורך ניהול הרשאות וגישה ולכן כל מערכת אשר מתחברת לארגון מסתמכת עליה ועושה שימוש כלשהוא מול אובייקט או גישה ביומיום. נכון לימים אלה הוא משמש את רוב הארגונים (או לפחות 90% מהם).
גם המעבר לענן אינו מייתר את הצורך בתשתית Active Directory שכן הוא מסתמך על תשתית זאת החל מרגע בניית הענן וסינכרון האובייקטים, ויתר על כן - גם אינטגרציה עם תשתיות ענן צד שלישי אשר צריכות אותו.
קצת מהעבר: תשתית Active Directory נחשפה בשנת 1999 ויצאה רשמית בשנת 2000 יחד עם צאתו של Windows 2000 Server, באותה עת יצאו יחד עם תשתית Active Directory רכיבים ופרוטוקולים שונים שהיו בשימוש מול NT.
במהלך השנים, תשתית Active Directory קיבלה שיפורים מסוימים וחידושים שונים, אך אופן העבודה והרכיבים שעליהם היא בנויה לא השתנו באופן משמעותית, ולפיכך אנו עובדים עם תשתית לא חדשה שמהווה את הנכס החשוב בארגון.
נחזור לימינו: בהגנה על הארגון אנו צריכים לבצע הגנה על נכסי הארגון לפי מספר קטגוריות, כאשר לכל קטגוריה ישנו פוטנציאל לנזק מסוים, על סמך מיפוי הנכסים החשובים בארגון ניתן לדעת מהו הפוטנציאל למתקפה וכתוצאה מכך, הארגון מכין את עצמו ונשען על רובדי הגנה שונים.
הקטגוריות מסתמכות על פוטנציאל לנזק מתוך היתכנות לאירוע סייבר ונחלק לארבעה: נמוך, בינוני, גבוה וקריטי. על סמך אותו פוטנציאל ניתן לממש את יעדי ההגנה וניתן לקבוע מהו הרובד המתאים למזעור נזקים.
באיזה קטגוריה היית ממקם את תשתית Active Directory?
כיום, עיקר ההגנה מתמקד על תשתיות הענן השונות ומה שמחובר אליהם חיצונית. ולראיה, ארגונים רבים ממוקדים בהגנה על רובדי ענן שונים וכן על נקודות הקצה שהן אפליקציות, רשתות והתקני קצה.
תשתית Active Directory שמהווה את עמוד השדרה של הארגון מוזנח באמצעי ההגנה, למרות ש-9 מ-10 ארגונים מבוססות על Active Directory מרבית ההתקפות הקשות והפרצות בארגונים מתבססים על חדירה לנקודות הלא מוגנות האלו.
מכיוון שמדובר על מסד נתונים בעל ערך רב אך בעל פוטנציאל לנזק גבוה, המטרה היא להגן עליו מפני מתקפות שונות. המתקפות הקיימות כיום מול Active Directory אינן חדשות כלל, אך עם הזמן השתפרו מעט וקיבלו אפשרויות תקיפה נוספות ועם כלים חדשים.
הגנה על Active Directory
תשתית Active Directory מספקת כר רחב של מתקפות וישנם וקטורים וסוגי מתקפות שונות, הכוללים בין היתר:
• Priv Escalation
• Pass the Hash
• Compormoise Password
• Kerberoasting
• Silver Tickets
אופן וצורת המתקפה יכול להיעשות בדרכים שונות ועם כלים מגוונים, החל מהכלי המוכר של mimikatz, ועד קוד שניתן להריץ ברמת PowerShell.
אז איך מבצעים הגנה על Active Directory כאשר המיקוד שלנו הוא בענן? כיום ישנם אפשרויות מגוונות כגון: שימוש במערכת מבוססות Honeypot שמטרתן לבצע הטעיה, הסטה וזיהוי של ניסיונות בלתי מורשים מול Active Directory , ולמעשה מבודדים את התוקף וחוסמים את המתקפה, או לחלופין כלים ייעודים שמבצעים זיהוי של deception, credential theft, או כלים ייעודים שמבוססים על לוגים מתוך Event Viewer.
מכיוון שבכל אחת מהדוגמאות שהוזכרו מעלה עלול להיות bypass כלשהוא בין אם זה ביטול של לוגים ברמת Event Viewer וללא ידיעת אדמין, או ביצוע מניפולציות שונות אשר מבוססות על honeytoken (ישנם מספר סימולציות לביצוע ונדון בהן במאמר הבא).
אם כך, אז מהי הדרך לבצע הגנה על תשתית Active Directory? לפיכך, הדרך להגנה על תשתית Active Directory צריכה להיעשות בהתאם לקטגוריה ופוטנציאל הנזק שעלול להיגרם כתוצאה מאירוע סייבר.
הגנה באמצעות AD Protect
אחד מרובדי ההגנה שנחשפתי אליו לפני חודשים רבים הוא הפלטפורמה המעולה של AD Protect (ששייך לחברת Javelin Networks וכיום כבר חלק מחברת Symantec) ואשר הביא איתו בשורה משמעותית עם מנגנון הגנה חזק מאוד לתשתית Active Directory!
כיום הפתרון נקרא Symantec Endpoint Threat Defense for AD, וחשוב מכך - נשאר כמו שהוא.
ישנם יתרונות רבים ותפיסה שונה ומתקדמת בהגנה של AD Protect על תשתית Active Directory, החל מהאופן שבו הוא מיושם מול התקני הקצה (Server & Client) וללא Agent, דרך אינדיקטורים לזיהוי במתקפה ועד מיטיגציה אוטומטית וחשוב מכך דוחות תחקור Deep Level בכל שלב במתקפה.
המטרה העיקרית של AD Proptect היא לשלוט על התפיסה של התוקף באופן אוטונומי ברמת התקני קצה )וללא Agent) ולזהות את הדרך המועדפת של התוקף לביצוע המתקפה.
הדגשים העיקרים של הגנה עם AD Protect הם:
• זיהוי מיידי – לבצע זיהוי מיידי של המתקפה כבר בתחילתה ולהתריע על כך. המטרה היא לזהות את המתקפה כבר בשלבים המוקדמים, לפני שמתבצעת תנועה רוחבית או החדרת קוד כלשהיא
• תחקור אוטונומי – השגת ממצאים ומידע רב לגבי המתקפה באופן אוטומטי, ולפני שהתוקף מצליח לטשטש עקבות וע"י כך לספק מידע רב כאשר צריך לבצע תחקור
• פריסה רחבה – פריסה והגנה של תשתית AD Protect מול תשתית Active Directory מבלי להשפיע או ללכלך את על התקני קצה וכן תשתית Active Directory
• תגובה ומנע – מנגנון Real-Time המאפשר זמן תגובה מיידי לזיהוי מתקפה וביצוע מיטיגציה באותה עת על אותה מתקפה
• ערבול הנתונים – ביצוע אובפוסקציה מול תשתית Active Directory במטרה להטעות את התוקף ולתת לו מידע שגוי ולשלוט בתפיסה שלו במתקפה
לסיכום
בין אם הפוטנציאל מול Active Directory ונזק מאירוע סייבר הוא קריטי או גבוה, אנו צריכים להגן על תשתית Active Directory שהינה תשתית קריטית וחשובה בארגון. הדרכים להגנה צריכים להיעשות בפלטפורמה שמתאימה לארגון והקטנת דרכי המימוש של התוקף.
במאמרים הבאים נצלול לדרכי הגנה באמצעות AD Protect ואיך אנו עוצרים מתקפה ושולטים במרחב התקיפה ונותנים לתוקף את התחושה שהוא נמצא במקומות שאליו הוא רוצה להגיע.
מידע נוסף על Symantec Endpoint Threat Defense for AD
מידע רב שניתן לנבור בו שעות וימים על וקטורים, סוגי מתקפות וחולשות https://adsecurity.org
מאת: אלי שלמה, מומחה למערכות מיקרוסופט וענן
מאמר ראשון בסדרה והקדמה של הגנה על תשתית Active Directory באמצעות AD Protect, אם הינך אחראי על Active Directory בארגון ומעונין להגן על תשתית זאת, המאמר הבא הוא בשבילך.
בשנים האחרונות ארגונים רבים ממוקדים בטרנספורמציה דיגיטלית ובמעבר לענן, וגם השנה סקרים רבים מראים כי המעבר והצריכה של פלטפורמות ויישומים בענן תיקח חלק מרכזי ביומיום של הארגון.
למרות המעבר לענן, עדיין ישנן תשתיות מקומיות שאין לנו אפשרות לוותר עליהם כל כך מהר או לחלופין אין תשתית אחרת אשר יכולה לתת חלופה מסוימת, ולכן אחת התשתיות המרכזיות והקריטיות אשר קיימת בארגון היא מסד הנתונים המבוסס על Active Directory.
תשתית Active Directory היא אחד הנכסים הקריטיים בכל ארגון ומהווה את עמוד השדרה של תשתית המחשוב בארגון, תשתית Active Directory מספקת את כלל האובייקטים, בין היתר: משתמשים, קבוצות ומשאבים לצורך ניהול הרשאות וגישה ולכן כל מערכת אשר מתחברת לארגון מסתמכת עליה ועושה שימוש כלשהוא מול אובייקט או גישה ביומיום. נכון לימים אלה הוא משמש את רוב הארגונים (או לפחות 90% מהם).
גם המעבר לענן אינו מייתר את הצורך בתשתית Active Directory שכן הוא מסתמך על תשתית זאת החל מרגע בניית הענן וסינכרון האובייקטים, ויתר על כן - גם אינטגרציה עם תשתיות ענן צד שלישי אשר צריכות אותו.
קצת מהעבר: תשתית Active Directory נחשפה בשנת 1999 ויצאה רשמית בשנת 2000 יחד עם צאתו של Windows 2000 Server, באותה עת יצאו יחד עם תשתית Active Directory רכיבים ופרוטוקולים שונים שהיו בשימוש מול NT.
במהלך השנים, תשתית Active Directory קיבלה שיפורים מסוימים וחידושים שונים, אך אופן העבודה והרכיבים שעליהם היא בנויה לא השתנו באופן משמעותית, ולפיכך אנו עובדים עם תשתית לא חדשה שמהווה את הנכס החשוב בארגון.
נחזור לימינו: בהגנה על הארגון אנו צריכים לבצע הגנה על נכסי הארגון לפי מספר קטגוריות, כאשר לכל קטגוריה ישנו פוטנציאל לנזק מסוים, על סמך מיפוי הנכסים החשובים בארגון ניתן לדעת מהו הפוטנציאל למתקפה וכתוצאה מכך, הארגון מכין את עצמו ונשען על רובדי הגנה שונים.
הקטגוריות מסתמכות על פוטנציאל לנזק מתוך היתכנות לאירוע סייבר ונחלק לארבעה: נמוך, בינוני, גבוה וקריטי. על סמך אותו פוטנציאל ניתן לממש את יעדי ההגנה וניתן לקבוע מהו הרובד המתאים למזעור נזקים.
באיזה קטגוריה היית ממקם את תשתית Active Directory?
כיום, עיקר ההגנה מתמקד על תשתיות הענן השונות ומה שמחובר אליהם חיצונית. ולראיה, ארגונים רבים ממוקדים בהגנה על רובדי ענן שונים וכן על נקודות הקצה שהן אפליקציות, רשתות והתקני קצה.
תשתית Active Directory שמהווה את עמוד השדרה של הארגון מוזנח באמצעי ההגנה, למרות ש-9 מ-10 ארגונים מבוססות על Active Directory מרבית ההתקפות הקשות והפרצות בארגונים מתבססים על חדירה לנקודות הלא מוגנות האלו.
מכיוון שמדובר על מסד נתונים בעל ערך רב אך בעל פוטנציאל לנזק גבוה, המטרה היא להגן עליו מפני מתקפות שונות. המתקפות הקיימות כיום מול Active Directory אינן חדשות כלל, אך עם הזמן השתפרו מעט וקיבלו אפשרויות תקיפה נוספות ועם כלים חדשים.
הגנה על Active Directory
תשתית Active Directory מספקת כר רחב של מתקפות וישנם וקטורים וסוגי מתקפות שונות, הכוללים בין היתר:
• Priv Escalation
• Pass the Hash
• Compormoise Password
• Kerberoasting
• Silver Tickets
אופן וצורת המתקפה יכול להיעשות בדרכים שונות ועם כלים מגוונים, החל מהכלי המוכר של mimikatz, ועד קוד שניתן להריץ ברמת PowerShell.
אז איך מבצעים הגנה על Active Directory כאשר המיקוד שלנו הוא בענן? כיום ישנם אפשרויות מגוונות כגון: שימוש במערכת מבוססות Honeypot שמטרתן לבצע הטעיה, הסטה וזיהוי של ניסיונות בלתי מורשים מול Active Directory , ולמעשה מבודדים את התוקף וחוסמים את המתקפה, או לחלופין כלים ייעודים שמבצעים זיהוי של deception, credential theft, או כלים ייעודים שמבוססים על לוגים מתוך Event Viewer.
מכיוון שבכל אחת מהדוגמאות שהוזכרו מעלה עלול להיות bypass כלשהוא בין אם זה ביטול של לוגים ברמת Event Viewer וללא ידיעת אדמין, או ביצוע מניפולציות שונות אשר מבוססות על honeytoken (ישנם מספר סימולציות לביצוע ונדון בהן במאמר הבא).
אם כך, אז מהי הדרך לבצע הגנה על תשתית Active Directory? לפיכך, הדרך להגנה על תשתית Active Directory צריכה להיעשות בהתאם לקטגוריה ופוטנציאל הנזק שעלול להיגרם כתוצאה מאירוע סייבר.
הגנה באמצעות AD Protect
אחד מרובדי ההגנה שנחשפתי אליו לפני חודשים רבים הוא הפלטפורמה המעולה של AD Protect (ששייך לחברת Javelin Networks וכיום כבר חלק מחברת Symantec) ואשר הביא איתו בשורה משמעותית עם מנגנון הגנה חזק מאוד לתשתית Active Directory!
כיום הפתרון נקרא Symantec Endpoint Threat Defense for AD, וחשוב מכך - נשאר כמו שהוא.
ישנם יתרונות רבים ותפיסה שונה ומתקדמת בהגנה של AD Protect על תשתית Active Directory, החל מהאופן שבו הוא מיושם מול התקני הקצה (Server & Client) וללא Agent, דרך אינדיקטורים לזיהוי במתקפה ועד מיטיגציה אוטומטית וחשוב מכך דוחות תחקור Deep Level בכל שלב במתקפה.
המטרה העיקרית של AD Proptect היא לשלוט על התפיסה של התוקף באופן אוטונומי ברמת התקני קצה )וללא Agent) ולזהות את הדרך המועדפת של התוקף לביצוע המתקפה.
הדגשים העיקרים של הגנה עם AD Protect הם:
• זיהוי מיידי – לבצע זיהוי מיידי של המתקפה כבר בתחילתה ולהתריע על כך. המטרה היא לזהות את המתקפה כבר בשלבים המוקדמים, לפני שמתבצעת תנועה רוחבית או החדרת קוד כלשהיא
• תחקור אוטונומי – השגת ממצאים ומידע רב לגבי המתקפה באופן אוטומטי, ולפני שהתוקף מצליח לטשטש עקבות וע"י כך לספק מידע רב כאשר צריך לבצע תחקור
• פריסה רחבה – פריסה והגנה של תשתית AD Protect מול תשתית Active Directory מבלי להשפיע או ללכלך את על התקני קצה וכן תשתית Active Directory
• תגובה ומנע – מנגנון Real-Time המאפשר זמן תגובה מיידי לזיהוי מתקפה וביצוע מיטיגציה באותה עת על אותה מתקפה
• ערבול הנתונים – ביצוע אובפוסקציה מול תשתית Active Directory במטרה להטעות את התוקף ולתת לו מידע שגוי ולשלוט בתפיסה שלו במתקפה
לסיכום
בין אם הפוטנציאל מול Active Directory ונזק מאירוע סייבר הוא קריטי או גבוה, אנו צריכים להגן על תשתית Active Directory שהינה תשתית קריטית וחשובה בארגון. הדרכים להגנה צריכים להיעשות בפלטפורמה שמתאימה לארגון והקטנת דרכי המימוש של התוקף.
במאמרים הבאים נצלול לדרכי הגנה באמצעות AD Protect ואיך אנו עוצרים מתקפה ושולטים במרחב התקיפה ונותנים לתוקף את התחושה שהוא נמצא במקומות שאליו הוא רוצה להגיע.
מידע נוסף על Symantec Endpoint Threat Defense for AD
מידע רב שניתן לנבור בו שעות וימים על וקטורים, סוגי מתקפות וחולשות https://adsecurity.org
מאת: אלי שלמה, מומחה למערכות מיקרוסופט וענן
לפרטים נוספים ויצירת קשר עם נציג אורקל
הודעתך לא התקבלה - נסה שוב מאוחר יותר