Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
På trods af den store afhængighed af Active Directory - der er det system til identitetsstyring, som 90 procent af alle virksomheder bruger - er beskyttelse af den 20 år gamle teknologi i stor stil overset af virksomhedernes it-sikkerhedsfolk.
Men ikke af de it-kriminelle, som lystigt bruger AD til at tiltvinge sig adgang. Det så vi senest med SolarWinds-angrebet.
Problemet er, at når it-kriminelle først har fået adgang via Active Directory, så har de stort set adgang til hele kongeriget.
Kampen mellem godt og ondt
Vi befinder os i dag på et meget interessant tidspunkt i kampen mellem godt og ondt.
It-sikkerhedsbranchen udvikler mange gode løsninger, der både kan opdage og forhindre angreb, og der er tusindvis af leverandører at vælge imellem.
Men på trods af de mange fremskridt får beskyttelse af Active Directory stadig en stedmoderlig behandling af de it-sikkerhedsansvarlige.
Man regner nok med at sikkerhedsprogrammernes SIEM-løsning, der overvåger logfiler for unormale begivenheder, er nok. Men det er det ikke.
Vi kender alle historien om den største græske kriger, Akilleus, som alle troede var usårlig. Men en pil i hælen blev hans endeligt.
Ligesom Akilleus troede sig usårlig, så tror mange at deres Active Directory er usårligt, fordi der er så mange beskyttelsesforanstaltninger på plads.
Men svagheder har det med at blive fundet og det kræver kun lidt søgning på nettet og du finder både sårbarheder, procedurer og værktøjer til at udnytte svaghederne i Active Directory.
Her er fem grunde til at Active Directory har brug for it-sikkerhedschefens fulde opmærksomhed:
Active Directory er hjørnestenen i det meste
Selvom de fleste virksomheder i dag bruger en hybrid cloudløsning med Azure AD og Office 365, så er identitetssystemet stadig on-premise.
Det betyder at alle lokale og cloudbaserede tjenester, applikationer, datasæt og ressourcer enten indirekte eller direkte er afhængige af Active Directory for at få adgang.
Så hvis en virksomheds Active Directory bliver kompromitteret, så bliver alle de dele af driften, der er afhængige af det, også kompromitteret.
Active Directory er ikke bygget med it-sikkerhed for øje
Det er 20 år siden, at Microsoft byggede Active Directory. Det var en god løsning, så man fra centralt hold kunne give medarbejderne adgang til de forskellige it-ressourcer.
Dengang fandtes it-kriminalitet ikke, som vi kender det i dag, og der var derfor ingen grund til at operere med færrest mulige rettigheder til de ansatte eller zero-trust.
Nuvel, der er enkelte elementer, der er relateret til sikkerhed, men tænk over det: Der er ingen detaljer om hvilke tilladelser, som man har givet til de forskellige ressourcer gemt i Active Directory.
Det er blot et identitetssystem, som alle de andre dele af dit Microsoft-økosystem stoler på kan validere en brugers identitet.
Active Directory er i bund og grund bare en single sign-on-platform, der var forud for sin tid, men som ikke er designet til at kunne modstå nutidens trusler.
Active Directory er et hyppigt mål for it-angreb
Det er sjældent, at vi får oplyst de tekniske detaljer ved et it-angreb.
Men nu bliver angreb på Active Directory faktisk direkte og regelmæssigt omtalt.
Et par eksempler:
• Solar Winds, hvor trusselsaktøren kompromitterede eller omgik identitetssystemet i netværket og brugte forfalskede godkendelsestokens til at gå lateralt videre til Microsoft-cloudmiljøer.
• Virgin Mobiles Active Directory blev kompromitteret, og selskabet data blev solgt på det mørke net.
• NTT Communications indrømmede, at deres Active Directory var blevet kompromitteret, da de havde et databrud.
• Ryuk-ransomwaren modificerede Group Policy og spredte sig til enheder via et loginscript.
Sandheden er, at Active Directory sandsynligvis altid har været en del af de forskellige it-angreb, men først nu har vi data, der kan bevise det.
Standard disaster recovery planer er ikke nok
Det er en god start at kunne genoprette sit Active Directory, når it-katastrofen rammer.
Men som enhver anden god beredskabsplan skal genoprettelsen modsvare ’katastrofen’.
Hvis et it-angreb resulterer i inficerede domænekontroller, et modificeret Active Directory eller begge dele, så er det nødvendigt at kunne genoprette de data, der ligger i Active Directory, men også at kunne gendanne dem fra før it-angrebet fandt sted.
Det kræver at det underliggende Windows Server-operativsystem ikke har malware i sig, og at det genoprettede Active Directory er fri for skadelige modifikationer.
Hvis man ikke specifikt tager hånd om dette, er gendannelsen intet værd.
It-sikkerhedsstrategien fokuserer ikke på at beskytte AD før, under og efter et angreb
Jeg vil vove den påstand, at jeres strategi ikke specifikt omhandler beskyttelse og gendannelse af Active Directory. Og det er et problem.
For det er ikke nok med de traditionelle overvågningsværktøjer, som et stigende antal DC Shadow-lignende angreb allerede har omgået.
Sikkerhedsløsninger, der direkte beskytter Active Directory, kan opsnappe de mere sofistikerede identitetsangreb, som din SIEM ikke kan.
Ved at modificere Active Directory kan it-kriminelle få adgang til alt på netværket.
Der skal derfor være specifikke sikkerhedsanordninger på plads, der kan overvåge og forhindre ikke-godkendte ændringer i selve Active Directory.
Active Directory spiller stadig en central rolle i de fleste organisationer i dag.
Virksomheder bør operere med en lagdelt it-sikkerhedsstrategi, der beskytter Active Directory med værktøjer, der specifikt er designet til at forhindre, registrere og afhjælpe angreb.
Uden ordentlig beskyttelse af Active Directory befinder en virksomhed sig hurtigt i driftsstop – og med et par kedelige avisoverskrifter.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.