Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
AD har efterhånden holdt mange fødselsdage og blev i sin tid bygget som et åbent system for at gøre livet let for systemadministratorer og andet godtfolk.
Men tiderne har ændret sig, og som alle i dag ved, så skal alle – specielt kritiske – it-systemer beskyttes mod it-kriminelle.
AD er et vigtigt, men udsat, system på grund af manglende færdigheder hos de personer, der er ansvarlige for at opsætte AD: Fjernarbejde, der ofte udføres uden sikre forbindelser, manglende omfattende overvågning, der formår at identificere alle udsatte overflader og manglende effektive genoprettelsesprocesser i tilfælde af et angreb.
I det følgende vil jeg give nogle nyttige tips til, hvordan man kan reducere sandsynligheden for et angreb mest muligt, herunder hvilke nøgleparametre, der bør overvåges.
Active Directory er tænkt som en smart løsning på et stort behov
AD er en kritisk katalogtjeneste for alle organisationer med komplekse it-ressourcer, brugertilladelser og hierarkiske arbejdsgrupper.
Gennem AD kan en organisations it-struktur logisk og konsekvent gruppere et antal brugere og computere inden for et domæne, som administreres centralt af en eller flere servere (Domain Controller).
AD gør det derfor muligt at administrere autentificering og adgang til alle forretningskritiske ressourcer i virksomheden og giver samtidig mulighed for at ændre, forespørge og strukturere brugernes data og alle objekter inden for den.
AD blev lanceret for 30 år siden og har siden udviklet sig til en mere fleksibel løsning, der kan rumme hybride it-infrastrukturer med både on-premise og cloud-applikationer, som de fleste organisationer i dag benytter sig af.
Hybride miljøer giver større fleksibilitet, men øger desværre også virksomhedens sårbarhed overfor it-angreb.
Årsager til cyberangreb og deres vedholdenhed over tid
Indtil for 10 år siden var AD-sikkerhed ikke en prioritet, og det har ført til en lang række problemer.
Ser man efter opdager man, at virksomhedernes AD ofte har mange forkerte eller usikre indstillinger.
I en AD er der millioner af angrebsveje, som cyberkriminelle kan udnytte for at få kontrol over et domæne. Derfor er det vigtigt at være opmærksom på eventuelle svagheder, korrigere forkerte indstillinger og konfigurationsfejl, og identificere alle risikoområder, der kan angribes.
Det er dog umuligt at beskytte det, der ikke er synligt.
Blandt de mest almindelige fejl i AD-opsætningen er:
- Overdrevent mange privilegier og administrationskonti.
- Adgangskoder til administrationskonti, der ikke ændres regelmæssigt.
- Konfiguration af flere risikable tilladelser, der vedrører domænet.
- Inaktive (og ikke slettede) brugerkonti.
- Computere konfigureret med ubegrænset delegation.
- Misbrug af et domænes indbyggede administratorkonto.
Det er som sagt umuligt at beskytte det, man ikke kan se, og det er svært at få det fulde billede over ens AD, da mange overvågningsværktøjer udelader detaljer, der sidenhen kan vise sig at være afgørende.
Hertil kommer AD-perimeteranalysen, hvor de fleste overvågningsværktøjer kun analyserer de mest almindelige stier (altså ikke alle), som de it-kriminelle bruger, når de vil ind.
It-afdelingen har ofte ikke ressourcer eller tilstrækkelig viden til at rette de snesevis eller endog hundredvis af konfigurationsfejl, de støder på, og manglen på færdigheder forværres, når de efter indførelsen af skyen migrerer til hybride identiteter.
Hybride identiteter mangedobler problemet
Sikkerhedsstyring af hybride identitetssystemer er mere kompleks, fordi opsætningen mellem AD og Azure AD (AAD) er meget forskellig.
Flytning fra et on-premise- til et hybrididentitetsmiljø giver mulighed for et stort antal tjenester.
AD har et veldefineret sæt af administrative grupper, mens AAD er oprettet via roller, som mange er uvant med.
Hver rolle har en lang liste over tildelte tilladelser, så ud fra beskrivelsen alene er det svært at se, hvilke og hvor mange tilladelser, der er tildelt, og de roller, der har en høj grad af adgang, er ikke nemme at identificere.
Desuden indebærer sammenkobling af enhver SaaS-tjeneste samt værktøjer fra tredjeparter til AAD'en, at der skal administreres yderligere autorisationsmønstre.
Kort opsummeret er forskellene mellem AD og AAD følgende:
- AD og AAD har næsten intet til fælles, og det er vigtigt at forstå denne forskel på et tidligt tidspunkt. For it-teams, der har erfaring med at administrere lokale Active Directory-sikkerhedsindstillinger, kan velkendte begreber som skove, objekter og gruppepolitikker ikke anvendes i AAD-miljøet, og i modsætning til AD findes der ikke begrebet traditionel netværksperimeter. Med AAD skal it- og sikkerhedsteams være forberedte på at beskytte sig mod et uendeligt antal potentielle indgangspunkter til det hybride identitetsmiljø.
- Overgangen til AAD medfører radikale ændringer i godkendelsesmodellen. I et lokalt miljø kan it-teams nemt kontrollere, hvem der har adgang til domænecontrollere, og adgangspunkterne er veldefinerede. I et hybridmiljø er identiteterne gemt i skyen og er potentielt sårbare.
- AAD-ressourcer, som it-teamet har oprettet for at styre adgangen til virksomhedens tjenester, for eksempel brugerkonti, roller og grupper, skal sikkerhedskopieres, da disse ressourcer, hvis de skulle blive slettet ved et angreb eller ved en utilsigtet sletning af en konto, skal genopbygges fra bunden. Denne proces vil tage lang tid, og konsekvenserne vil være, at enhver aktivitet vil blive stoppet.
- Konceptet med at flytte ressourcer og tjenester til skyen ser ud til at have mange fordele, for eksempel at man kan løse nogle forvaltningsproblemer hos cloud-udbyderen. Men for at sikre, at virksomhederne kan modstå et cyberangreb, skal der være en klar forståelse af cloud-udbyderens ansvarsområder
Tredjepartsapplikationer komplicerer sikkerhedsudfordringen
Vær opmærksom på at tredjepartsværktøjer i AAD'en ofte arbejder direkte i den via data.
Tredjepartsværktøjer er nemlig i stand til at erhverve data fra AAD og lagre dem i deres egne databaser, for eksempel et program, der er registreret i AAD, og som giver et CRM-system mulighed for at læse alle brugerprofiler.
Her vil applikationen hente data helt uafhængigt, og når de først er indfanget, opbevares de i en ekstern database.
Men der er flere eksempler på problematikker, herunder:
- Værktøjer med skriveadgang kan selvfølgelig lave ændringer i sig selv, men kræver autentificering for at kunne lave ændringerne – denne autentificering overføres derfor fra AAD til den kontrol, der tilhører værktøjet. I dette tilfælde kan en bruger logge ind uden multifaktor-autentifikation, selv om værktøjet ikke understøtter SSO-adgang (Single Sign-on). Af netop denne grund er det nødvendigt at holde styr på de tilladelser, der gives til tredjepartsapplikationer, så man ikke fuldstændig mister kontrollen.
- Anmodninger om tilladelser udløser en midlertidig pop-up, der viser de tilladelser, som programmet har brug for. Listen kan være lang og skal derfor gennemgås omhyggeligt, og det er ofte på grund af tidsproblemer, at denne praksis sjældent udføres.
- Ovenstående er komplekse problemer, som kan opstå for enhver tjeneste, der forvaltes via AAD. Under alle omstændigheder skal it-afdelingen begrænse de brugere, der kan godkende ansøgninger, eller i det mindste udarbejde klare og konsekvente retningslinjer for, hvilke tilladelser der kan anses for passende.
Genopretning er todelt for AD og AAD
Ved et angreb kan man godt gå ud fra, at de it-kriminelle har foretaget dybtgående ændringer i AD og at alle domænecontrollere er beskadigede.
Det er selvfølgelig vigtigt at få genoprettet så hurtigt, som muligt, men måden, det gøres på, er lige så vigtig. For samtlige trusselsaktører skal elimineres fra systemet og der må ikke efterlades huller og sårbarheder, der kan bruges til nye angreb.
En ordentlig genoprettelsesprocedure kræver et isoleret genoprettelsesmiljø. Husk, at AD og AAD skal betragtes som to separate systemer, da backup- og genoprettelsesløsninger til AD ikke vil påvirke cloud-miljøet.
En bruger, der er slettet fra AAD, kan f.eks. delvist gendannes fra AD, men vil ikke have nogen cloud-specifikke attributter. I hybride miljøer bør I derfor anvende en dobbelt genoprettelsesprocedure.
Desuden bør I være opmærksomme på, at det er svært at se, hvad der er blevet tilføjet eller ændret i AD (for eksempel hvis multifaktorgodkendelse for en bestemt konto er fjernet). Det samme niveau af overvågning og sikkerhed skal derfor udvides til skyen.
Når I beslutter, hvad der skal sikkerhedskopieres, bør I fokusere på brugere, grupper og roller, da disse enheder styrer adgangen til andre ressourcer. Under alle omstændigheder er identifikation af mistænkelige aktiviteter i AD-miljøet det første skridt i retning af at gøre genoprettelsesoperationen hurtigere.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.