Active Directory Security 101

Hầu hết các công ty ngày nay đều dựa vào Microsoft Active Directory (AD) để duy trì hoạt động của họ. Nhưng chính xác thì AD là gì?

Về bản chất, AD là cổng kết nối nhân viên với tài nguyên của họ trên mạng công ty (chẳng hạn như email hoặc mạng chia sẻ tệp). Nó được quản trị viên sử dụng để quản lý quyền của từng người dùng, xác thực họ khi họ đăng nhập và xác định tài nguyên nào họ có thể truy cập.

AD có nhiều lợi ích. Nó dễ sử dụng, đã tồn tại trong nhiều năm và cực kỳ đáng tin cậy. Tuy nhiên, nhiều công ty chỉ đơn giản là không biết về những rủi ro bảo mật đi kèm với nó.

Sơ lược về lịch sử sau Công nguyên

Trước khi AD ra mắt vào năm 2000, các máy chủ thư mục CNTT của Microsoft đã không mở rộng quy mô để hỗ trợ đầy đủ nhu cầu của các doanh nghiệp vừa và lớn, và do đó cần phải có nhiều máy chủ. Ví dụ, một công ty có khoảng 1.000 người có thể cần 200 máy chủ khác nhau.

Đây là một điểm đau lớn đối với các công ty. Không chỉ khó quản lý tất cả các máy chủ riêng lẻ này, mỗi máy chủ yêu cầu thông tin xác thực đăng nhập duy nhất, mà còn khiến các hoạt động như chia sẻ tệp trở nên khó khăn vì chúng không thể dễ dàng giao tiếp với nhau.

AD đã giải quyết thử thách này. Tích hợp dễ dàng với các ứng dụng và cung cấp khả năng đăng nhập một lần trên toàn bộ môi trường kinh doanh, nó đã biến đổi trải nghiệm mạng, nhanh chóng trở nên phổ biến.

Sự phổ biến của nó đã không thay đổi trong hai thập kỷ. Thay vì lụi tàn, công nghệ cũ gần một phần tư thế kỷ này hiện quan trọng hơn bao giờ hết, đóng vai trò là nền tảng cho hầu hết các hệ thống nhận dạng đám mây được các doanh nghiệp trên toàn cầu sử dụng.

Tuy nhiên, trong khi AD vẫn cần thiết cho hầu hết các tổ chức trên toàn thế giới, nó cũng đã trở thành một trách nhiệm bảo mật.

Tại sao quảng cáo là một vấn đề ngày hôm nay

AD dễ bị tổn thương vì một số lý do.

Đầu tiên, nó không được thiết kế để đối phó với các mối đe dọa bảo mật phức tạp. Nó được phát hành trong thời đại trước khi có ransomware, các trang phục mạng tinh vi do nhà nước hậu thuẫn và việc áp dụng rộng rãi điện toán đám mây. Đó là một công nghệ có từ thời khác, và do đó không thể đối đầu hiệu quả với nhiều mối đe dọa tiên tiến mà chúng ta phải đối mặt ngày nay.

Thứ hai, AD được thiết kế mở để tạo điều kiện dễ sử dụng. Nó tin tưởng những người dùng đã đăng nhập vào mạng để ưu tiên trải nghiệm người dùng liền mạch. Tuy nhiên, sự cởi mở này ngày nay là một thách thức khó khăn cho các hậu vệ, có rất ít rào cản đối với những kẻ xâm nhập thành công.

Thứ ba, tuổi đời của nó có nghĩa là, trong nhiều trường hợp, nó đã chứa đựng hơn 20 năm các quyết định bảo mật tồi được đưa ra ban đầu vì mục tiêu hiệu quả và đã tích lũy để tạo ra một mục tiêu lớn mà ngay cả những kẻ tấn công nghiệp dư cũng phải vật lộn để bỏ lỡ.

Chính vì lý do này mà khoảng 90% tất cả các doanh nghiệp đều có nguy cơ vi phạm bảo mật do lỗ hổng AD và 9/10 trong số tất cả các cuộc tấn công mạng liên quan đến AD theo một cách nào đó.

Những con số thống kê như vậy thực sự đáng sợ, và sự đơn giản của các phương pháp tấn công được sử dụng để nhắm mục tiêu vào AD cũng vậy. Hãy xem xét quá trình từng bước…

  1. Kẻ tấn công sẽ xâm nhập PC thông qua lừa đảo – Kẻ tấn công sẽ gửi một tin nhắn hoặc email lừa đảo được thiết kế để lừa mục tiêu của họ tiết lộ thông tin nhạy cảm, chẳng hạn như thông tin đăng nhập của họ cho AD.
  2. Sau đó, họ làm việc để nhận các đặc quyền trên máy cục bộ đó Những kẻ tấn công có thể nâng cao đặc quyền của họ trên máy theo nhiều cách khác nhau, khai thác các lỗ hổng trên thiết bị.
    Họ sử dụng AD để tìm các thiết bị khác Những kẻ tấn công sau đó sử dụng AD để tìm các máy tính khác, lập bản đồ tất cả các máy được kết nối và sử dụng trong mạng đó.
  3. Tiếp theo, những kẻ tấn công vào nhà trên nhiều thiết bị hơn – Từ đây, những kẻ tấn công di chuyển xung quanh một mạng tiến hành do thám khó phát hiện, tấn công nhiều máy để tìm một máy có quyền quản trị AD.
  4. Và cuối cùng là quyền truy cập an toàn vào tài khoản đặc quyền – Cuối cùng họ có quyền truy cập vào thông tin đăng nhập của tài khoản quản trị hoặc đặc quyền. Một khi họ có được điều đó, họ có toàn quyền kiểm soát AD và mọi thứ phụ thuộc vào nó.

Một ví dụ về một cuộc tấn công AD phổ biến là cái gọi là cuộc tấn công Golden Ticket. Tất cả chúng ta đều quen thuộc với tấm vé vàng trong tiểu thuyết Charlie & the Chocolate Factory của Roald Dahl. Trong thế giới kỹ thuật số, Golden Tickets cũng cung cấp quyền truy cập vào môi trường CNTT của tổ chức của bạn. Cuộc tấn công Golden Ticket cung cấp cho các tác nhân đe dọa quyền truy cập không được kiểm soát vào các tài nguyên được nối mạng và khả năng cư trú trên mạng vô thời hạn, được ngụy trang dưới dạng người dùng cấp quản trị viên được ủy quyền.

Vạch ra mối đe dọa

AD không chỉ đơn giản là một vấn đề vì nó rất dễ bị tấn công. Tương tự, phần thưởng cho những kẻ tấn công cũng rất đáng kể.

Về cơ bản, AD nắm giữ chìa khóa dẫn đến vương quốc của bạn. Hãy hình dung một chiếc két sắt nơi bạn cất giữ chìa khóa vật lý cho văn phòng của mình — AD cũng giống như chiếc két sắt đó. Nó là trung tâm trung tâm để truy cập vào các hệ thống quan trọng của bạn — máy tính, ứng dụng phần mềm và các tài nguyên khác của bạn.

Nó nguy hiểm vì nó vừa đơn giản béo bở. Vào năm 2021, một công ty đã trả khoản tiền chuộc lên tới 40 triệu đô la để có được quyền truy cập trở lại mạng của mình.

Đồng thời, các rào cản gia nhập đối với những kẻ tấn công đang được hạ thấp. Nhờ thị trường ransomware-as-a-service (RaaS) đang bùng nổ, họ không cần phải hiểu biết về kỹ thuật nữa. Thay vào đó, họ chỉ đơn giản là mua các công cụ và dịch vụ từ những người đó.

Đó là một chu kỳ tàn phá. Phần thưởng cho những kẻ tấn công ngày càng tăng trong khi kiến ​​thức kỹ thuật cần thiết tiếp tục giảm xuống, mở rộng phạm vi tấn công theo cấp số nhân.

Do đó, có thể dễ dàng hiểu tại sao một Nghiên cứu về Ransomware năm 2021 của Tập đoàn Dữ liệu Quốc tế gần đây đã tiết lộ rằng hơn một phần ba (37%) các tổ chức toàn cầu là nạn nhân của một cuộc tấn công ransomware vào năm 2021. Thật vậy, tỷ lệ cược nghiêng về phía những kẻ tấn công .

Các công ty có thể phản hồi như thế nào?

Các công ty phải ứng phó để xoay chuyển tình thế gia tăng này.

Để giảm thiểu các lỗ hổng của bạn, trước tiên bạn cần biết nơi bạn dễ bị tổn thương. Đối với nhiều công ty, cố gắng đạt được sự hiểu biết này có thể cảm thấy quá sức – đặc biệt là đối với những người có ít hoặc không có kiến ​​thức về an ninh mạng. Tuy nhiên, hãy yên tâm, đã có các giải pháp và hỗ trợ sẵn sàng giúp đỡ.

Purple Knight là một điểm khởi đầu tốt. Một công cụ đánh giá bảo mật Active Directory miễn phí được xây dựng và quản lý bởi một nhóm các chuyên gia nhận dạng hàng đầu của Microsoft, nó có thể giúp bạn phát hiện ra những điểm yếu trong Active Directory của mình trước khi kẻ tấn công thực hiện, làm nổi bật các lỗ hổng phổ biến cần được giải quyết.

Một loạt các lỗ hổng tiềm ẩn được liệt kê trong báo cáo Purple Knight mới nhất. Nhưng đối với người mới bắt đầu, một số ví dụ phổ biến bao gồm:

  • Cấu hình trôi dạt – Sai lệch cấu hình là kết quả của nhiều năm thực hành AD kém. Các ứng dụng cần được định cấu hình trong AD để hoạt động, nhưng điều này mất thời gian. Một giải pháp nhanh chóng cho vấn đề này là cấp quá nhiều quyền quản trị cho ứng dụng — điều mà các công ty đã làm trong lịch sử, muốn đưa công cụ mới sáng bóng của họ lên và chạy càng sớm càng tốt. Kết quả là, các tài khoản quản trị bắt đầu tích lũy trong AD. Tuy nhiên, chỉ cần một trong số chúng bị tấn công để gây ra hậu quả thảm khốc.
  • Tài khoản quản trị kế thừa – Các tài khoản quản trị kế thừa đặt ra các vấn đề tương tự. Chúng là những bộ xương trong tủ quần áo. Nếu kẻ tấn công truy cập vào các tài khoản đặc quyền này, thì chúng sẽ quay lại ám ảnh bạn.
  • Mật khẩu yếu hoặc phổ biến – Những kẻ tấn công cũng sẽ cố gắng truy cập nhiều tài khoản bằng cách thử một loạt các mật khẩu thường được sử dụng. Đây được gọi là mật khẩu – một kỹ thuật có thể dễ dàng bị cản trở bằng cách loại bỏ việc sử dụng các mật khẩu yếu hoặc phổ biến trong mạng của bạn.

Tất nhiên, việc xác định và giải quyết những lỗ hổng này chỉ là một phần nhỏ của câu đố. Để chống lại mối đe dọa ngày càng tăng của tội phạm mạng một cách hiệu quả về lâu dài, các tổ chức cần chủ động áp dụng một loạt các phương pháp hay nhất.

Những điều này có thể bao gồm bất cứ điều gì từ việc thực hiện các cuộc kiểm tra bảo mật nội bộ thường xuyên và thực hiện các cải tiến hoạt động ngắn gọn đến việc cung cấp đào tạo nhân viên thường xuyên về lừa đảo và đầu tư vào các quy trình khôi phục để đảm bảo phục hồi nhanh chóng nếu một cuộc tấn công xảy ra.

Để được hỗ trợ hoặc hướng dẫn trong việc phát triển một hệ thống phòng thủ vững chắc trên toàn diện, bạn nên tham khảo ý kiến ​​của các chuyên gia tận tâm chuyên về bảo mật AD để hiểu những thay đổi cốt lõi mà bạn cần phải thực hiện. Các cuộc tấn công Active Directory không còn là câu hỏi nếu mà là khi nào. Nếu các công ty giải quyết các lỗ hổng quảng cáo nghiêm trọng của họ, họ có cơ hội chiến đấu. Nếu không, họ sẽ tiếp tục ngồi chơi xơi nước trước những kết cục tồi tệ nhất có thể xảy ra.

Bài đăng Active Directory Security 101 xuất hiện đầu tiên trên Web Sinh viên.

Active Directory Security 101

Đánh giá hay post