臺資安業者揭露國內AD防護現況,盤點AD攻擊路徑與管理者帳號是當務之急

對於Active Directory(AD)的防護,向來是企業內網安全基礎,前兩年的Zerologon漏洞,更是引發各界對AD安全的重視。

什麼是AD?企業員工在使用的公司電腦開機後,通常會被要求輸入網域、帳號及密碼,才能存取網路公用資料夾,或是列印文件,並且會受到群組原則(Group Policy)的約束,每3個月必須更換一次密碼,這些機制的背後,其實都與AD網域的帳號認證有關。

然而,長年以來,企業似乎已逐漸疏於AD的防護,這方面的現象,並非只有國外資安廠商提出警告,最近臺灣資安業者奧義智慧與戴夫寇爾聯手,近期不僅合作推出這方面的風險評估解決方案,特別的是,他們公布了國內企業在AD防護的現況,說明這方面的挑戰及威脅現況,呼籲企業須重新審視此核心面向的安全議題。

AD防護不周!竟有77%企業可從DMZ區直接存取AD

事實上,針對AD網域控制器的安全風險,近年國內外都有不少業者論及此議題,包括端點安全業者、身分安全業者,以及資安弱點管理業者,這也突顯AD安全備受各方重視。同時,我們在APT威脅框架MITRE ATT&CK中,也可找到透過AD的相關攻擊技術手法,。

對於現今威脅態勢,戴夫寇爾執行長翁浩正指出,企業固然知道AD網域控制器很重要,因為透過它可以連到內部很多主機,是資安關鍵核心,但換個角度,攻擊者也明白AD很關鍵,因為只要拿下它,自然也就容易控制其他主機。在他們的紅隊演練專案經驗中,每次專案也必將AD納入演練範圍,從這一點可看出AD的重要性。

不過,就企業IT日常維運工作而言,AD管理有其複雜性,需在安全與便利間取得平衡,因此,他們希望能幫助企業降低這方面的安全管理難度。

通常大家都信任AD不會遭滲透,但真的如此嗎?答案並不然,根據戴夫寇爾的相關演練數據,公開說明他們發現企業亟需改善的問題,翁浩正也呼籲臺灣企業正視AD防護現況。

第一,歷年紅隊在時限內成功控制AD網域的比例為72%,換言之,國內每4家企業組織演練,就有約3家可被紅隊拿下AD。而紅隊攻下AD所需時間,平均是11.5天,其中最長是20天,最短則為3天。

第二,紅隊從DMZ就可直接存取AD伺服器的比例為77%。由於位於DMZ的網站大多須對外提供服務,屬於高風險主機,此區的系統若直接與AD介接,將帶來高風險。對此翁浩正感到非常訝異,並希望國內企業重視並改善。

上述狀況有多嚴重?他用一個場景來舉例說明。很多人都到過銀行辦理存提款或繳費等程序,企業網路的DMZ區,好比是對外服務顧客的櫃檯,而AD好比銀行金庫,如果DMZ可直通AD,這就像銀行櫃檯正後方,就是未上鎖、大門敞開的保險庫,因此,企業應該避免這樣的情形發生。

在演練過程中,戴夫寇爾發現企業AD的安全管理及防護,均處於不足的狀態。

那麼,該如何做好防護?翁浩正說,微軟在最佳安全實務作法上,提供名為「」的建議,這是企業可參考的重要資源,但要注意,如何在安全與便利間取得平衡,而且,相關措施導入有一定難度,因此,企業可以再透過紅隊演練進行驗證,確認自身安全措施是否有效落實。

翁浩正表示,以紅隊演練的特性而言,並非僅針對「點」進行滲透測試,而是從整個「面」去出發,想辦法盤點各種攻擊路徑,降低攻擊面被利用的可能性,一次進行所有的演練,等到下次再尋找其他路徑,並且透過逐年演練,讓公司的資訊安全體質提升。

不過,企業很難有足夠資源、時間持續推動這些工作,因此翁浩正強調,就全球資安趨勢而言,決定防護優先順序是關鍵,企業需要先盤點關鍵風險,而AD就是重要環節,也是核心戰場,企業可以先將精力放在妥善保護AD這件事,使它難被駭客或惡意軟體利用,相對而言,就可以大幅提升企業安全等級。

換言之,若能做好AD伺服器攻擊路徑的盤點,有助於快速釐清可能被駭客利用的主機,以及使用者帳號,早一步找出風險,降低被攻擊成功的機率,也降低AD管理的困難度。

最熱情、專業有口碑的網頁設計公司讓您的網站改頭換面。

網頁設計公司推薦不同的風格,搶佔消費者視覺第一線

透過選單樣式的調整、圖片的縮放比例、文字的放大及段落的排版對應來給使用者最佳的瀏覽體驗,所以不用擔心有手機版網站兩個後台的問題,而視覺效果也是透過我們前端設計師優秀的空間比例設計,不會因為畫面變大變小而影響到整體視覺的美感。

想知道最厲害的網頁設計公司嚨底家!

RWD(響應式網頁設計)是透過瀏覽器的解析度來判斷要給使用者看到的樣貌

基本上,Active Directory(AD)網域服務是保護與管理企業網路的重要基礎架構,透過這個集中管理身分與存取機制,企業員工平時使用公司電腦,一開始需要輸入帳號密碼,才能存取公司網路伺服器、列印文件等,就是要經過AD伺服器的網路身分驗證。

關注最新AD提權漏洞,並要強化網管帳號的盤點

實務上,企業管理AD時,通常會面臨哪些資安挑戰?奧義智慧科技創辦人邱銘彰表示,企業需瞭解最新安全問題,以及常用的緩解策略,同時也應熟悉企業內部的AD安全態勢,特別是盤點已知的特權帳號。

邱銘彰表示,若管理得宜,AD可以很安全,但AD的管理複雜度高,若IT人員相關專業知識不足,加上對資安威脅認識不夠,可能造成很多不良實作。

事實上,這幾年來,AD面臨多個嚴重安全問題,卻未受到普遍重視。例如,去年11月,微軟公布兩個Windows AD權限擴張漏洞,分別是,他們呼籲用戶快修補。

值得關注的是,這兩個漏洞若被串連利用後果相當嚴重,而且相隔一個月後,專門針對Kerberos攻擊的Rubeus工具,已支援此漏洞組合的攻擊。然而,去年底還有Log4j漏洞修補的消息,更是引發軒然大波,這也導致上述網域提高權限的漏洞影響,可能被輕忽。

這兩個AD漏洞有多嚴重?邱銘彰解釋,簡單來說,在第一個漏洞之下,用戶若建立電腦帳號(Computer Account),可將之改名與網域控制器名稱相同的DC1,也就是說,實際電腦帳號應為DC1$,但可以將JohnPC$改為DC1,然後用這個假冒帳號,向網域控制器申請一張授權票證(TGT),接著再利用第二個漏洞,先將DC1名稱再次修改或刪除,讓它變得不存在,在某些特殊條件下,此時將可觸發一個驗證方法,使驗證流程自動幫DC1補上$記號,導致假冒成真,進而完成提權。邱銘彰指出,這是系統架構設計上的問題,修補相當困難,對此微軟在緩解上也增加一些限制,雖然使得這種狀況不易發生,但終究非根治之道。

另一AD安全問題,是今年2月揭露的KrbRelayUp漏洞。正如前幾年多人討論Kerberos Relay的漏洞,這次KrbRelayUp以兩個漏洞組合形成新的攻擊,攻擊者可將任意網域帳號在本地電腦提權,目前看來恐怕無解,甚至有。

對此,下列幾個策略,包括:使用LDAP Channel Binding、LDAP Singing,並建議使用Azure AD。邱銘彰認為,這是本質上的設計缺陷遭到濫用,然而,對於企業而言,必須正視AD的資安問題,無法逃避。

從AD攻擊路徑模擬評估看國內網站帳號掌握態勢。根據奧義智慧分析過的案例,當中統計了AD管理具模且管理良好的客戶,其使用者帳號數量在7千至6萬之間,但這些企業內部往往都會發現許多客戶不知道的AD Tier0帳號。統計結果顯示,這些企業平均認為只有3個AD管理者帳號,但評估後發現實際是5.8倍,也就是平均17個以上的管理者帳號。圖片來源/奧義智慧

關注最新AD安全問題之餘,企業也應持續瞭解與掌握自身的AD安全態勢。

為了盤點AD攻擊路徑,企業除了可以透過紅隊演練,找出實際風險,奧義智慧也期望用科學化方法,做到AD攻擊路徑模擬評估,當中亦包含提權管道的盤點,不過,他們發現,國內企業在盤點AD管理員帳號的工作上,存在一大隱憂。

具體而言,奧義智慧提出的方法,是透過蒐集EDR端點與AD帳號資訊,加上專家知識庫的評估,進而計算每個帳號間控制權轉移的機率,以及透過專家知識庫計算攻擊入侵點,以及計算攻擊成本找出最短路徑,藉此預測所有可能攻擊路徑,盤點AD設定弱點與常見潛在安全問題,並偵測潛在虛擬群組與隱匿的特權帳號。

邱銘彰表示,在過往協助用戶評估的經驗中,企業往往以為內部的AD網管帳號,平均是3人,但經他們模擬評估分析後顯示,內部網管帳號平均是17人以上,是企業認知的5.8倍。

這樣的情形,亦突顯企業對AD管理員帳號的掌握不足。畢竟很多IT管理者,可能因為避免稽核方面的問題,並未使用Administrator帳號名稱,而是用自己的帳號、再額外賦予系統管理層級的權限,或是原本的帳號管理員離職,其帳號卻可能未隨之刪除,因接替IT人員擔心有服務與該帳號相依,之後又發生疏於管理這些帳號的狀況,這些問題都必須設法改善。

整體而言,對於AD安全防護,企業必須瞭解最新的AD安全問題,並做好AD攻擊路徑與管理員帳號的盤點。

來源鏈接:https://www.ithome.com.tw/news/151458

如何讓商品強力曝光呢? 網頁設計公司幫您建置最吸引人的網站,提高曝光率!

以設計的實用美學觀點,規劃出舒適、美觀的視覺畫面,有效提昇使用者的心理期待,營造出輕鬆、愉悅的網站瀏覽體驗。

推薦評價好的iphone維修中心

擁有專業的維修技術團隊,同時聘請資深iphone手機維修專家,現場說明手機問題,快速修理,沒修好不收錢

如何讓商品強力曝光呢? 網頁設計公司幫您建置最吸引人的網站,提高曝光率!

以設計的實用美學觀點,規劃出舒適、美觀的視覺畫面,有效提昇使用者的心理期待,營造出輕鬆、愉悅的網站瀏覽體驗。

您可能也會喜歡…