排名前十的Active Directory CISOs必须问安全问题

活动目录已经成为先进的网络攻击的主要目标和ransomware组。这是你应该考虑当评估安全厂商。

20多年来,Active Directory形成了全球数字基础设施组织的骨干。全面运作时,它的目的不仅仅是管理认证和密码管理至关重要的访问控制权利几乎每一个组织的资产。

Active Directory决不是一个静态的软件系统,和它的普遍采用证明了其适应能力和满足不断变化的业务需求。一个现代组织的架构可以立即改变。和活动目录安全卫生可以丑陋快如果不是管理或安全正常。

与低效率的活动目录管理、访问控制出现缺口,允许非特权用户方便地访问数据,并不意味着。但这仅仅是开始,活动目录现在先进的攻击者的主要目标和ransomware组。

就像一个domino可以开始连锁反应下降,一个变化在Active Directory雪球可以进一步意想不到的后果。最终,这将创建一个隐藏的攻击路径的目录。如果有多个攻击途径?如何发现一个攻击路径之前别人表面?你现在能看到这个活动在您自己的系统?

活动目录必须与您的业务规模在弹性和安全功能。现实是Active Directory需求的增长,经常服务将下放一个不安全的,不一致的状态,成为一个组织的风险,而不是一个可信的平台促进业务优化和增长。

执行活动目录安全在这种情况下是非常重要的,但只有在最紧迫的问题是回答。并不是所有的所谓的Active Directory安全解决方案都是平等的,所以我们有组装的十个基本问题我们相信将会帮助你的决策过程。

1。供应商是否安装代理所需的Active Directory和特权的权利吗?

没有安全专业想给他们花天维护访问系统。这同样适用于IT像Active Directory管理员负责管理一个复杂的系统。管理是确保活动目录的一部分控制不是免费提供给任何第三方或外部源。控制和特权的权利访问通常是通过代理的部署下,以信任为基础的“管辖。这最终使访问查看、修改或改变对象。但安装一个代理不应要求支持活动目录域控制器安全,或任何端点。了解组织内部活动目录的重要性,您的管理员不应该感到舒适与供应商要求强制访问的目录。安装代理和特权的权利的放弃意味着对公司机密数据的访问是开着的。

必须保证有特权的权利活动目录不投降,平台无法改变或修改对象。目前,只有数量有限的审计活动目录的解决方案,提供一些保护和监测和报告只能攻击后他们发生。这些审计解决方案可能包括代理部署在域控制器上,导致部分或完全控制活动目录对象的状态。没有理由的任何第三方应该需要开放访问这些对象。此外,一些基于主体活动目录安全解决方案有严格的定期更新需求支持,有时甚至必须安装。net框架(包括在域控制器上)。

2。供应商显示实时的信息吗?

驾驶汽车。实时预警系统应该提醒你当一个危险,迎面而来的司机是接近,而不是后司机撞到你的车。同样的,你会想要提醒刹车故障之前你开始你的车,而不是后你已经在路上。在Active Directory的世界安全、实时报警是关键任务。实时解决方案必须检测和提醒你正在进行配置更改影响活动目录的安全措施,以及提供建议补救措施。实时可见性,你可以验证一个主动监测和检测方法,阻止攻击者坐几个月在目标网络等待合适的Active Directory攻击途径。

3所示。是厂商兼容所有活动目录版本,以及Azure广告吗?

在过去的20年里,活动目录发布升级平台版本。的一个主要变化是on-prem与云场景。平台应该能够联系和支持on-prem和Azure Active Directory (Azure广告)组件。

此外,活动目录已经被困在黑暗时代时目录配置。配置升级定期或不发生了。因此,平台应该纳入风险评估指标的on-prem组件是“干净”的Azure广告(又名Azure广告连接)。一般来说,一个Active Directory安全平台必须完全兼容Azure广告领域服务,这本身就是广告由微软托管服务。

4所示。是否供应商依赖事件日志或对象的变化提供分析?

试图获得Active Directory不断与事件日志是很困难的,不能提供100%的可见性。

保持最新的,你需要有专门的活动目录安全专家一直威胁情报的空间,发现你的错误配置,可以利用在攻击,理解事件日志用于检测攻击和创建规则提取特定的配置从完整的流事件日志事件日志。这是昂贵的,困难和低效。

平均有10到20个新的有毒的Active Directory每年发布的配置或发现。

现在更重要的是,攻击者进行攻击,不创建事件日志(asDCShadow),或者他们在Active Directory关闭事件日志通过系统访问控制列表(SACL)修改,这样他们就可以做出更改,没有留下痕迹。

这一切意味着事件日志可以不再被信任的给一个完整的视图是什么发生在Active Directory。做到这一点的唯一方法是分析对象级在Active Directory数据库中,这恰恰是站得住脚的。广告达到。此外,站不住脚。广告时自动更新包括新的有毒配置发布,这样他们就可以被发现在对象级别。简单地说,攻击者无法隐藏。

5。供应商是否主动识别危险的错误配置攻击路径的箱子吗?

回忆起赛车和车手类比。同样,内置的预期在一个Active Directory安全平台提供了一些好处,可以增加打破潜在攻击的可能性途径。内置的预期使积极的活动目录的安全方法,而不是被动的方法所使用的绝大多数现有的解决方案。

最常见的Active Directory砍今天是通过配置错误的软件,用于升级特权或传播ransomware。因此,安全的活动目录的最有效的方法是不断发现和纠正尽快一旦出现危险的配置。站得住脚的。广告提供了安全团队这个强大的优势。

活动目录是不断发展的,潜在的数以百计的变化发生的每一分钟。这些变化可能会打开你的环境的敌人,比如后门技术(例如,。AdminSDProp修改),凭据倾销技术(例如Kerberos焙烧攻击)。

站得住脚的。广告迅速和简单使主动、全面的安全不断强化活动目录,包括组策略对象(gpo)。随着网络攻击越来越利用危险的活动目录配置错误,能够探测和纠正新配置错误才能突破是关键。检测后几乎没有价值。

站得住脚的。广告,您可以继续检测最复杂的Active Directory攻击没有排水安全团队的资源。

6。供应商可以提供实时内容中安全信息?

还不够简单地显示一个Active Directory的特定异常对象,为这一观点提供了有限的“全球”的信息。这些数据将不会透露具体问题从何而来。

有关对象需要详细、准确的解释安全问题,相关的地方,来展示多个安全问题与每个异常对象。你应该被允许单独选择每个单独的安全问题从一个特定的对象和独立解决这个问题。加上详细的信息解释如何解决这些复杂的安全问题,站得住脚的。广告让客户主动强化他们的活动目录。

站得住脚的。广告使连续检测和修复在对象级别,提供实时的、深入的解释每个Active Directory发现安全事件,为什么以及如何修复它是很危险的。

通过检测Active Directory攻击路径配置错误,攻击像Pass-the-Hash GoldenTicket, DCShadow和DCSync可以停止在他们开始之前。

7所示。供应商的实时检测先进的Active Directory的攻击- - - - - -的箱子吗?

从检测角度来看,网络攻击也变得更加复杂。而不同的攻击类型和众多,有特定的攻击类型,主要目标Active Directory。

站得住脚的。广告检测标准的攻击像密码喷洒出盒,以及更复杂的像DCShadow和。net framework里攻击。最先进的攻击者将隐形攻击关掉事件日志允许他们建立持续通过后门进入活动目录。站得住脚的。广告还实时检测这些复杂的Active Directory后门,开箱即用的。

记住,实时检测仅是不够的,应遵循一套易于理解的补救措施,为non-security-focused管理员提供建议采取行动的能力。

8。供应商是否启用取证和威胁狩猎在对象级别?

时你不应该发出访问或控制一个Active Directory对象,你仍然想要得到准确的信息在对象和属性的水平。组织需要一个平台和一个内置的小道流界面,实时检测并显示详细信息和变化。这种先进的监控和报警应该支持相关措施来解决任何变化可能会产生攻击途径。

回忆那些发现的10到20个新的有毒配置每年在Active Directory。因为站得住脚的。广告捕获和储存每一个连接对象更改一次,这个数据可以很容易地访问狩猎在对象级别的威胁,包括广泛的对象属性可见性。

获取实时、准确、相关安全分析具体活动目录是至关重要的,确保它和安全团队看到现实的Active Directory安全姿势的照片。仪表板应包括活动目录的安全视图,以及合规分数,攻击数量和信息流图突出相关安全指标的不断进化。

9。供应商可以可视化安全攻击途径更容易分析?

原始的作者站得住脚的。广告进行先进的Active Directory安全研究用于开发侦探犬。站得住脚的。广告图拓扑结构提供了一个独特的和直观的方式探索活动目录安全攻击的途径,包括隐藏的或意想不到的关系,视觉上,不断对现有数据。

您的安全团队可以探索信任关系和互联Tenable.ad对所有现有的映射。这些连接突出之间的沟通发生的各种活动目录客户端可能和颜色来突出不同程度的安全和危险的信任关系。

10。可以与其他安全解决方案供应商整合?

没有一个组织可以是100%安全的。然而,至关重要的安全措施和技术在不同的组织层需要实现保持领先一步的攻击者。周边和端点安全解决方案仪器触感的安全是至关重要的,但他们不具备保护组织的核心能力:Active Directory。同样地,应用程序只包含访问控制不能停止那些故意或误被授予访问整个网络开放。

有大量运行的能力,同时综合安全解决方案是一个组织的唯一途径才能真正保护其内部和外部核心。将通过电子邮件的能力,Syslog和api是至关重要的,是能够有警报与安全信息和事件管理(SIEM)工具,甚至安全编排,自动化和响应(高飞)平台,都站不住脚的。广告提供了开箱即用的。

学习如何站得住脚的。广告可以帮助持续安全,保护你的活动目录,看看我们产品概述。

这篇文章最初发表在Alsid网站8月20日2020年。