Sigurnost i zaštitita Active Directory okruženja

Marko Plevnjak

Pitanje zaštite cyber podataka se čini kao konstantna utrka nadmudrivanja između napadača i vlasnika podataka koja vlasnicima podataka postavlja za nužnost aktivno pratiti razvoj i ulagati u sofisticirana sigurnosna rješenja. Predstavljamo najnoviju inačicu zaštite jedne od najslabijih točaka svih kompanija – imeničkih servisa - Symantec Endpoint Threat Defense for Active Directory.

U slučaju napada kompanija, napadač pokušava pronaći najslabiju točku preko koje bi uspio "ući" u sustav i doći do podataka te iste koristiti za krađu, obmanu ili enkripciju. Active Directory, odnosno Imenički servisi, mrežni su domenski servisi koje koristi 9 od 10 kompanija za upravljanje i kontrolu internih resursa, poslužitelja, radnih stanica, aplikacija, printera itd… Active Directory je dizajniran tako da je otvoren za pristup svakoj na njega spojenoj krajnjoj točki i tako da da su svi korporativni mrežni resursi i identiteti vrlo lako vidljivi što ga čini primarnom metom napadača.

U slučaju takvog napada, potrebno je kompromitirati samo jednu krajnju točku spojenu na domenu i napadač može ugroziti kompletnu organizaciju jer putem nje se vrlo lako može doći do slijedećih informacija direktno iz AD-a:

  • Gdje se nalaze osjetljivi podaci
  • Gdje se nalaze administratori sustava
  • Kako u potpunosti ovladati ciljanim okruženjem

setdad4

Istraživanja su pokazala da je napadaču nakon uspješne kompromitacije krajnje točke potrebno samo 7. minuta kako bi u potpunosti zavladao domenom, uspješno se sakrio unutar organizacije te započeo sa krađom i/ili enkripcijom podataka.

Jednom kada je napadač ovladao sa radnom stanicom vrlo lako kreće u daljnja istraživanja postavljajući razne upite prema AD-u kako bi došao do više informacija o samoj organizaciji. Nakon ovladavanja jednom radnom stanicom napadač pokušava doći do uporabnih lokalnih ili domenskih identiteta te dalje putem raznim metoda doći do finalnih najviših ovlasti unutar organizacije kako bi uspješno mogao doći do ostalih poslužitelja te iste koristiti za krađu, obmanu ili enkripciju podataka.

Za ovakvu vrstu napada uobičajeno se koriste već dostupni built-in alati i "sigurne" aplikacije stoga je detekcija i forenzika takvih napada znatno otežana.

Symantec Endpoint Threat Defense for AD (SETDAD) unaprjeđenje je na već postojeća sigurnosna rješenja zaštite krajnjih točaka te adresira upravo takve skrivene prijetnje kao i napredne ustrajne prijetnje (APT-Advanced Persistent Threat) sa vrlo efikasnom zaštitom AD-a te njihovo daljnje širenje kao i sigurnosnu procjenu cjelokupnog domenskog okruženja.

SETDAD je jedino rješenje koje u startu sprječava napadača nakon kompromitacije krajnje točke čime se onemogućuju daljnje izviđačke aktivnosti te daljnje korištenje AD-a za lateralno širenje prema drugim resursima unutar domene.

setdad3

SETDAD koristi naprednu umjetnu inteligenciju (AI), sofisticirane tehnike prikrivanja te napredne forenzičke metode kako bi brzo otkrio te zaustavio kompromitaciju sustava:

  • napredne tehnike „zbunjivanja“ temeljem analiziranih podataka iz AD-a o poslužiteljima i krajnjim točkama kreira lažno okruženje čime napadaču znatno otežava istraživanje te dolazak do točnih podataka o cjelokupnoj infrastrukturi
  • automatsko prikupljanje forenzičkih informacija – u trenutku kada je potencijalni napad otkriven pokreće se alarm kao i automatska obrada incidenata sa zabilježenim svim akcijama vezanima za incident.
  • aktivno skeniranje cjelokupnog domenskog okruženja provjerava sve slabe karike na domeni, moguće greške u konfiguraciji, aktivne poznate prijetnje čije zaštite nisu implementirane, privilegirane račune, sigurnosne postavke, GPO, sigurnost krajnjih točaka, domenskih kontrolera… Automatsko pronalaženje mogućih backdoora te vrlo detaljni izvještaj sa preporukama i navedenim CVE-koji opisuju pronađene propuste.

setdad2

setdad1

Kompanije mogu koristiti razne metode provođenja aktivne zaštite podataka - uključiti proširene verzije postojećeg sigurnosnog portfolija, investirati u dodatne podatkovne servise koji pružaju proširenu zaštitu prilagođenu suvremenim prijetnjama te uključiti specijalizirane stručnjake za prijetnje i zloupotrebe cyber podataka u svoj interni tim koji se bavi zaštitom podataka.

Perpetuumovo dugogodišnje iskustvo i aktivno praćenje teme zaštite podataka može pomoći u odabiru najboljeg rješenja za vašu kompaniju, obratite nam se s povjerenjem!