Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Jeg har mange gange været i frontlinjen og hjulpet virksomheder med at bekæmpe cyberangreb, der er rettet mod identitetssystemer som Microsofts Active Directory.
Da jeg hjalp en stor sundhedsvirksomhed med at navigere igennem et særligt alvorligt ransomware-angreb, blev jeg mindet om tre centrale skridt, enhver virksomhed skal tage for at undgå en AD-relateret cyberkatastrofe.
Skridt 1: Forsøm ikke den fundamentale AD-sikkerhed
Den mest foruroligende observation, jeg gjorde mig i løbet af den første briefing, var, at de cyberkriminelle havde fået adgang til kritiske systemer gennem nogle relativt usofistikerede taktikker.
De ubudne gæster havde allerede brugt værktøjer til tyveri af legitimationsoplysninger og havde med succes kapret en af virksomhedens domæneadministratorkonti.
Den kompromitterede konto blev først brugt til at oprette en ny skjult dedikeret konto. Dernæst blev den tilsluttet domæneadministratorgruppen i det kompromitterede domæne.
Dette er det væsentligste i opskriften på, hvordan man angriber et AD-domæne og bliver derinde.
Grunden til, de cyberkriminelle fik så stor succes var, at en række grundlæggende sikkerhedselementer var blevet forsømt:
• En computer var konfigureret med ubegrænset delegering – en lækkerbisken for cyberkriminelle.
• Den indbyggede administratorkonto i et domæne blev misbrugt som servicekonto for forskellige SQL-databaser.
• En række risikable tilladelser var konfigureret på domæneniveau.
• Adgangskoderne til de mange administrative konti blev ikke ændret regelmæssigt.
Det er tids- og ressourcekrævende at sikre, at AD-sikkerhedsgrundlaget er på plads – f.eks. dét at gennemgå tilladelser, som blev indstillet for år tilbage.
Men denne indsats er en god investering, når man tager højde for, hvilke konsekvenser et omfattende cyberangreb kan have for en virksomhed.
Skridt 2: Forstå forskellen mellem genoptagelse og genopretning af driften
Jeg oplever, at cyberkriminelle i stigende grad bruger AD som en vigtig angrebsvektor, fordi de ved, det er virksomhedens hjerte.
Mange virksomheder bruger stadig AD som deres primære identitetslager. Det er den kilde, hvorfra andre identitetslagre synkroniseres.
Selv i et hybridmiljø synkroniserer cloud-identitetslagre typisk fra on-premise AD. Hvis AD er nede, er virksomheden reelt død.
Under en cybersikkerhedskrise fokuserer mange virksomheder forståeligt nok på at genoptage forretningsdriften så hurtigt som muligt. Mens det umiddelbare mål bør være at komme tilbage i drift så hurtigt som muligt, bør der i den næste umiddelbare fase lægges vægt på fuld genopretning af driften.
Det betyder, at man skal sikre, at virksomheden ikke er sårbar over for gentagne angreb, der udnytter de samme svagheder, der virkede ved første angreb.
En total genopretning betyder også, at AD genoprettes fuldstændigt uden, at man genindfører malware i systemet.
Men under et angreb går der dyrebare timer og dage med at lede efter en ren backup eller genopbygge AD fra bunden, mens virksomheden står stille.
I tilfældet med den nævnte sundhedsvirksomhed kunne ingen med sikkerhed identificere en aktuel malwarefri backup. Vi hjalp dem med at konfigurere domænecontroller-backups, som med garanti ikke indeholdt malware, og vi rettede et par problematiske svagheder i et AD-domæne.
Dernæst hjalp vi dem med at opsætte en kopi af deres AD-skove i produktion i et fuldt isoleret sandbox-miljø med nyligt implementerede virtuelle malwarefrie maskiner. Med denne fremgangsmåde kunne virksomheden ikke blot foretage sikkerhedskopiering af AD-skovene, men også genoprette dem fuldt ud i tilfælde af et nyt angreb.
En god AD-sikkerhedsstrategi skal omfatte en komplet, malwarefri AD-genoprettelsesplan. Og det må ikke tage mere end nogle minutter eller højst et par timer at udføre – i stedet for dage eller uger.
Skridt 3: Vurder løbende dine AD-sikkerhedsbrister
Mange virksomheder fokuserer på at beskytte deres endpoints, men de glemmer at beskytte deres AD.
For at beskytte sin AD og forhindre tyveri af legitimationsoplysninger, skal man kunne afsløre sine lus på travet. Det er også vigtigt at have et system på plads, der får advarselslamperne til at blinke, når der ændres ved privilegerede grupper og konti.
En virksomheds advarselslamper skal kunne blinke særdeles kraftigt når der oprettes en ny domæneadministratorkonto ved hjælp af en kompromitteret konto. Ideelt set skal du bruge et system, der ikke blot giver dig besked, men også træffer foranstaltninger, der blokerer angriberen, så de ikke kan vandre rundt i dit netværk.
Ved løbende at evaluere og afhjælpe AD-sikkerhedssårbarheder vil din virksomhed proaktivt sikre sig mod cyberangreb eller i det mindste begrænse de skader, der kan opstå ved et angreb. Sørg derfor for at evaluere de huller, der stadig findes i dine sikkerhedsforanstaltninger.
Har din virksomhed en handlingsplan for håndtering af cyberangreb?
Med det stigende antal cyberangreb vil jeg opfordre enhver virksomhed til at tage proaktive skridt for at forebygge, afbøde og genoprette skadelige aktiviteter fuldt ud.
Sikring af AD betyder, at din virksomhed kan genoprette, og ikke blot genoptage, driften efter et angreb.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.