Спросите любого хакера и он вам ответит, что Active Directory (AD) является огромным источником информации и предназначена для того, чтобы выдавать ее тем, кто спрашивает! Нужно знать, у кого есть учетные данные домена? Просто спросите AD. Кто такие привилегированные пользователи? AD знает. Как добраться от пользователя A до сервера C? Используйте инструмент Bloodhound, чтобы спросить AD, и он автоматически соберет информацию для вас.

Специалисты по кибербезопасности понимают важность сокращения «времени ожидания» – того, как долго злоумышленник может оставаться незамеченным до момента, когда его обнаружат и выгонят из сети; и показатели резко улучшились – от 418 дней в 2011 году до 56 дней в 2019 году, согласно данным FireEye 2020 года. 

 

«За последние пять-шесть лет мы действительно мало занимались вопросом того, как мы обнаруживаем злоумышленников на ранних этапах жизненного цикла», – посетовал лидер по безопасности компании S&P500. Это правда: инструменты офицеров безопасности не поспевают за тем, что доступно хакерам.

 

Современным киберпреступникам доступен сложный набор инструментов. Время на их стороне, при этом, они могут рассчитывать на элемент неожиданности. Давайте будем честными – многие сотрудники службы безопасности до сих пор не знают, что происходит в их собственной среде, не говоря уже о том, что на самом деле противостоит им. 

 

Безусловно, для любой компании AD является жемчужиной ее инфраструктуры безопасности, так как внутри AD находится полный список всех пользователей, компьютеров, логических групп и привилегий. Это слияние информации является убедительным, и оно позволяет и поддерживает операции и действия пользователей на работе, в пути или в домашних офисах. Кроме того, другие программы используют AD для определения уровня доступа и привилегий пользователей. Именно это и делает AD идеальной целью для злоумышленников.  

 

Кошмар каждого специалиста по безопасности – это иметь уязвимую/скомпрометированную AD. Так компрометация первичных серверов AD обеспечивает способ бокового перемещения внутри сети и поиска учетных данных для злоупотребления привилегированным доступом к данным и не только.

 

Быстрый поиск в Google открывает множество способов взломать AD. Многие атаки начинаются с фишинга по электронной почте, и хотя организации стали лучше обучать людей и снижать риск, эффект состоит в том, что, хотя меньше людей переходят по вредоносным ссылкам, эта схема все еще работает. По оценкам Forrester Research, 80% нарушений безопасности приводят к злоупотреблению привилегиями.

 

Именно в таких случаях развитие активных методов и средств защиты от обмана, таких как Attivo Networks ADSecure, помогает специалистам по безопасности одержать верх. Такие системы могут, например, обнаружить начальный запрос к AD, изменить результаты и передать поддельные данные злоумышленнику. Технология обмана может остановить хакеров у входа в систему или посеять достаточно путаницы, чтобы замедлить их продвижение – дать им паузу, заставить их думать и поощрять их к ошибкам. Это изменение уже оказывает существенное влияние на всех специалистов по безопасности.

 

За дополнительной информацией по решениям Attivo Networks, пожалуйста, обращайтесь на attivo@bakotech.com