Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Microsoft Active Directory (AD) blev lanceret med Windows 2000 Server-operativsystemet og bruges stadigvæk som primær identitetstjeneste i mere end 90 procent af alle virksomheder og organisationer.
Cyberkriminelle udnytter ofte AD til at udvide deres angreb fra én kompromitteret brugerkonto til hele it-infrastrukturen.
En ubuden gæst kan for eksempel bruge en almindelig AD-konto til at få adgang til næsten alle oplysninger i AD, herunder også brugernes tilladelser.
Dette giver dem mulighed for at overtage computere, der har ubegrænset delegering.
Konsekvenserne af et sådant angreb kan være katastrofale: Når AD er nede, går hele organisationen i stå – og det kan tage uger at gendanne AD.
For eksempel lammede Kaseya-angrebet 1.500 virksomheder og organisationer. Angrebet på Colonial Pipeline, den største brændstofrørledning i USA, førte til benzinmangel på den amerikanske østkyst. Og angrebet på SolarWinds' systemer spredte sig til omkring 18.000 kunder.
Alligevel undlader organisationer og virksomheder i alle størrelser og på tværs af alle brancher stadig at adressere AD-sikkerhedshuller, der kan gøre dem sårbare over for identitetsbaserede cyberangreb.
Det ser vi blandt andet i en ny undersøgelse af mere end 150 virksomheder, der anvender Semperis’ trusselsvurderingsværktøj Purple Knight.
Her scorer virksomhederne gennemsnitlig 72 ud af 100 på deres indledende vurderingsrapporter, når vi spørger ind til deres AD-sikkerhed.
Selvom bevidstheden om sikkerhedsrisici i forbindelse med AD vokser, viser Purple Knight-rapporten, at organisationer stadig kæmper for at identificere og adressere de sårbarheder, der efterlader deres identitetsmiljøer åbne for cyberangreb.
Microsoft bekræfter også selv med deres 2022 Digital Defence Report, at 88 procent af deres kunder, der har været berørt af cyberhændelser, har været pga. usikker AD-konfiguration.
Bliver nødt til at gøre en større indsats
Virksomheder, der forsøger at sikre deres AD, er udfordret af, at de ikke altid har indsigt i de svage punkter i deres identitetstjeneste.
Dette kan blive kompliceret på grund af ældre eller arvede identitetsinfrastrukturer, hvor gamle brugertilladelser og inaktive brugerkonti skaber problemer.
De fleste AD-infrastrukturer blev sat op for mange år siden og har været administreret af forskellige administratorer over tid, hvilket har medført fejlkonfigurationer.
Derfor er det ikke overraskende, at de mest almindelige sikkerhedsproblemer omfatter brugere med høj adgang, der anvender svage adgangskoder, ubeskyttede konti med administratorrettigheder og administratorbrugere med gamle adgangskoder.
I større virksomheder, især dem, der ofte fusionerer eller opkøber andre virksomheder, kan de ældre fejl i AD-konfigurationen være et særligt problem.
Dette er en af årsagerne til, at rapporten viser, at virksomheder med mere end 10.000 medarbejdere i gennemsnit har en lavere sikkerhedsscore på 63, hvilket er næsten 10 point lavere end gennemsnittet for virksomheder i alle størrelser.
Hybride infrastrukturer skaber yderligere sårbarheder
Med den øgede brug af cloud-applikationer og fjernarbejde vælger flere organisationer at bruge hybridinfrastrukturer, der kombinerer den lokale AD og skybaserede Entra ID – tidligere kendt som Azure AD – eller andre cloud-baserede identitetstjenester.
Hybrididentitet giver medarbejderne mulighed for at bruge ét enkelt login til at godkende adgang til alle tjenester, både i skyen og på lokale servere, men dette medfører også yderligere risici.
Typiske sårbarheder kan inkludere inaktive gæstekonti, som efterlader en åben dør til Entra ID-brugeren, og fejlagtigt konfigurerede politikker for betinget adgang.
13 procent af organisationerne i rapporten berettede om fem eller flere sikkerhedsindikatorer i kategorien for Azure AD, som også sporer Entra ID-brugere, der er berettiget til en privilegeret rolle – hvilket øger risikoen for eskalation af brugerprivilegier – samt risikable indstillinger for multifaktor godkendelse.
Ifølge Semperis-rapporten klarer forsikringsselskaber sig dårligst på tværs af vurderingskategorier, der dækker områder som konto-sikkerhed, AD-infrastruktur, AD-delegering og gruppepolitik.
Dernæst følger virksomheder og organisationer inden for detailhandel, transport og offentlig infrastruktur.
Derfor ligger der for mange virksomheder en betydelig opgave forude med at lukke sikkerhedshuller relateret til identitet, som ofte er mål for ransomware-grupper som Vice Society, LockBit, BlackCat og Clop.
Lukning af sikkerhedshuller betaler sig
AD er en teknologi, der nu er næsten et kvart århundrede gammel.
Derfor mangler mange organisationer simpelthen færdigheder til eller erfaring med at finde og rette de relevante sikkerhedshuller.
Derudover falder forbedring af AD-sikkerhed gennem revnerne i mange organisationer, fordi it-administratorer og sikkerhedsprofessionelle arbejder i forskellige teams.
Samarbejde – både inden for organisationen og med eksterne sikkerhedseksperter – samt regelmæssige AD-sikkerhedsrevisioner er nøglen til at rydde op i risikable identitetsmiljøer og reducere angrebsfladen for identitetsbaserede angreb markant.
På grund af den indskrænkede netværksperimeter er identitet blevet den sidste forsvarslinje mod cyberangreb.
Active Directory og Entra ID vil derfor uden tvivl fortsætte med at være afgørende som forretningskritiske identitetstjenester.
Det bør derfor være en høj prioritet at sikre dem.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.