Artikel top billede

(Foto: Dan Jensen)

Fem grunde til, at Active Directory er it-sikkerhedschefens akilleshæl

Klumme: Næsten alle virksomheder anvender i dag Microsofts Active Directory til identitetsstyring. Men beskyttelse af den 20 år gamle teknologi er i stor stil overset af virksomhedernes it-sikkerhedsfolk - men ikke af de it-kriminelle, der i stor stil har kig på AD som angrebsmål.

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

På trods af den store afhængighed af Active Directory - der er det system til identitetsstyring, som 90 procent af alle virksomheder bruger - er beskyttelse af den 20 år gamle teknologi i stor stil overset af virksomhedernes it-sikkerhedsfolk.

Men ikke af de it-kriminelle, som lystigt bruger AD til at tiltvinge sig adgang. Det så vi senest med SolarWinds-angrebet.

Problemet er, at når it-kriminelle først har fået adgang via Active Directory, så har de stort set adgang til hele kongeriget.

Kampen mellem godt og ondt

Vi befinder os i dag på et meget interessant tidspunkt i kampen mellem godt og ondt.

It-sikkerhedsbranchen udvikler mange gode løsninger, der både kan opdage og forhindre angreb, og der er tusindvis af leverandører at vælge imellem.

Men på trods af de mange fremskridt får beskyttelse af Active Directory stadig en stedmoderlig behandling af de it-sikkerhedsansvarlige.

Man regner nok med at sikkerhedsprogrammernes SIEM-løsning, der overvåger logfiler for unormale begivenheder, er nok. Men det er det ikke.

Vi kender alle historien om den største græske kriger, Akilleus, som alle troede var usårlig. Men en pil i hælen blev hans endeligt.

Ligesom Akilleus troede sig usårlig, så tror mange at deres Active Directory er usårligt, fordi der er så mange beskyttelsesforanstaltninger på plads.

Men svagheder har det med at blive fundet og det kræver kun lidt søgning på nettet og du finder både sårbarheder, procedurer og værktøjer til at udnytte svaghederne i Active Directory.

Her er fem grunde til at Active Directory har brug for it-sikkerhedschefens fulde opmærksomhed:

Active Directory er hjørnestenen i det meste

Selvom de fleste virksomheder i dag bruger en hybrid cloudløsning med Azure AD og Office 365, så er identitetssystemet stadig on-premise.

Det betyder at alle lokale og cloudbaserede tjenester, applikationer, datasæt og ressourcer enten indirekte eller direkte er afhængige af Active Directory for at få adgang.

Så hvis en virksomheds Active Directory bliver kompromitteret, så bliver alle de dele af driften, der er afhængige af det, også kompromitteret.

Active Directory er ikke bygget med it-sikkerhed for øje

Det er 20 år siden, at Microsoft byggede Active Directory. Det var en god løsning, så man fra centralt hold kunne give medarbejderne adgang til de forskellige it-ressourcer.

Dengang fandtes it-kriminalitet ikke, som vi kender det i dag, og der var derfor ingen grund til at operere med færrest mulige rettigheder til de ansatte eller zero-trust.

Nuvel, der er enkelte elementer, der er relateret til sikkerhed, men tænk over det: Der er ingen detaljer om hvilke tilladelser, som man har givet til de forskellige ressourcer gemt i Active Directory.

Det er blot et identitetssystem, som alle de andre dele af dit Microsoft-økosystem stoler på kan validere en brugers identitet.

Active Directory er i bund og grund bare en single sign-on-platform, der var forud for sin tid, men som ikke er designet til at kunne modstå nutidens trusler.

Active Directory er et hyppigt mål for it-angreb

Det er sjældent, at vi får oplyst de tekniske detaljer ved et it-angreb.

Men nu bliver angreb på Active Directory faktisk direkte og regelmæssigt omtalt.

Et par eksempler:

• Solar Winds, hvor trusselsaktøren kompromitterede eller omgik identitetssystemet i netværket og brugte forfalskede godkendelsestokens til at gå lateralt videre til Microsoft-cloudmiljøer.

• Virgin Mobiles Active Directory blev kompromitteret, og selskabet data blev solgt på det mørke net.

• NTT Communications indrømmede, at deres Active Directory var blevet kompromitteret, da de havde et databrud.

• Ryuk-ransomwaren modificerede Group Policy og spredte sig til enheder via et loginscript.

Sandheden er, at Active Directory sandsynligvis altid har været en del af de forskellige it-angreb, men først nu har vi data, der kan bevise det.

Standard disaster recovery planer er ikke nok

Det er en god start at kunne genoprette sit Active Directory, når it-katastrofen rammer.

Men som enhver anden god beredskabsplan skal genoprettelsen modsvare ’katastrofen’.

Hvis et it-angreb resulterer i inficerede domænekontroller, et modificeret Active Directory eller begge dele, så er det nødvendigt at kunne genoprette de data, der ligger i Active Directory, men også at kunne gendanne dem fra før it-angrebet fandt sted.

Det kræver at det underliggende Windows Server-operativsystem ikke har malware i sig, og at det genoprettede Active Directory er fri for skadelige modifikationer.

Hvis man ikke specifikt tager hånd om dette, er gendannelsen intet værd.

It-sikkerhedsstrategien fokuserer ikke på at beskytte AD før, under og efter et angreb

Jeg vil vove den påstand, at jeres strategi ikke specifikt omhandler beskyttelse og gendannelse af Active Directory. Og det er et problem.

For det er ikke nok med de traditionelle overvågningsværktøjer, som et stigende antal DC Shadow-lignende angreb allerede har omgået.

Sikkerhedsløsninger, der direkte beskytter Active Directory, kan opsnappe de mere sofistikerede identitetsangreb, som din SIEM ikke kan.

Ved at modificere Active Directory kan it-kriminelle få adgang til alt på netværket.

Der skal derfor være specifikke sikkerhedsanordninger på plads, der kan overvåge og forhindre ikke-godkendte ændringer i selve Active Directory.

Active Directory spiller stadig en central rolle i de fleste organisationer i dag.

Virksomheder bør operere med en lagdelt it-sikkerhedsstrategi, der beskytter Active Directory med værktøjer, der specifikt er designet til at forhindre, registrere og afhjælpe angreb.

Uden ordentlig beskyttelse af Active Directory befinder en virksomhed sig hurtigt i driftsstop – og med et par kedelige avisoverskrifter.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.




Premium
Morten Boel Sigurdsson forlader livsværket Omada efter 21 år - nu begynder nyt kapitel: "Det er nærmest berusende spændende"
Interview: Efter 21 år har Morten Boel Sigurdsson endegyldigt forladt Omada, som han selv var med til at stifte i 1999. Teltpælene i det amerikanske er rykket op, og han og familien er tilbage i Danmark. "Der er én årsag til, at jeg stopper nu," fortæller han.
Computerworld
Tysk unicorn-app stormer ind på det danske marked: Vil levere dine dagligvare-indkøb på 10 minutter
Gorillas er en app-drevet udbringningstjeneste, der er blevet kaldt for Europas hurtigstvoksende startup. Tjenesten vil nu udbringe dagligvare til danskerne inden for 10 minutter.
CIO
Årets CIO 2021: Nu skal Danmarks dygtigste CIO findes - er det dig? Eller kender du en, du vil indstille?
Det er den mest eftertragtede titel for danske it-chefer og CIO'er, der er på spil, når Årets CIO kåres 16. september 2021. Søg selv eller prik til en, som du kender - og læs mere om prisen her.
Job & Karriere
Så meget kan du tjene: Disse stillinger giver den højeste løn i den danske it-branche lige nu
Du skal have ledelsesansvar, hvis du vil helt tops i lønhierakiet i den danske it-branche, viser nye tal. Se hvor meget du kan tjene i de stillinger i it-branchen, der giver den højeste månedsløn lige nu.
White paper
Det bedste fra to verdener: Sådan går du i Azure med VMware
Det er blevet langt lettere at rykke dit VMware-miljø til Microsoft Azure – få den korte og præcise forklaring her.