В этой статье мы разберем типичные риски Active Directory и новый продукт Tenable.ad, который призван с ними бороться. Вы можете заказать демо и тестирование Tenable.ad по этой ссылке.
Мы пользуемся Active Directory (AD) ежедневно, ежечасно, ежеминутно: когда авторизуемся на устройствах, открываем электронные письма и приложения, обмениваемся файлами.
Угадайте, кто еще пользуется AD каждый день? Хакеры. Если коротко, контроль над вашей Active Directory фактически дает злоумышленнику безраздельную власть над вашей ИТ-инфраструктурой. Идеально.
Анализ векторов взлома: как возникают траектории атак
Сама по себе Active Directory — надежный продукт, в котором было найдено не так уж много уязвимостей нулевого дня. Однако инсталляции AD неизбежно становится более уязвимыми с течением времени. Каждое изменение в бизнес-инфраструктуре, каждая активность по слиянию с другой компанией, каждый добавленный сервер меняют топологию AD. Всего через год любой каталог AD превращается в неуправляемого монстра.
Со временем просто невозможно предсказать, к каким последствиям приводят те или иные изменения в AD. Некоторые из них представляют серьезную угрозу безопасности, о которой вы даже не подозреваете.
Способы защиты AD, которые не работают
Прежде всего, это мониторинг с помощью SIEM. Использование SIEM для выявления рисков, связанных с AD, неизбежно требует создания специальных правил, которые зачастую генерируют целую лавину ложных срабатываний. Не стоит говорить о том, что после самых сложных атак, таких как DCShadow, вообще не остается никаких записей в журнале событий.
Теперь посмотрим, как обстоят дела с базовой ИТ-гигиеной. Стоит признать, что хотя соблюдение кибергигиены в AD и является обязательным условием эффективной защиты, оно при этом остается, мягко говоря, делом непростым. Каждая простоя задача требует собственный постоянно запускающийся скрипт. В итоге мы имеем систему проверок, которая на деле просто не работает.
Наконец, даже те немногие специализированные решения для защиты AD, которые автоматизируют процессы корреляции и обеспечения гигиены, требуют локально установленных агентов и повышенных прав доступа, что лишает эти решения практичности в глазах любого компетентного администратора AD.
Tenable.ad — новый подход к обеспечению безопасности Active Directory
Tenable.ad (ранее продукт назывался Alsid) — это новое решение Tenable, направленное на устранение слабых мест и выявление атак на Active Directory.
Подход Tenable.ad нацелен на защиту AD, и включает в себя распознавание вредоносных паттернов, аналитику и инструменты анализа Active Directory, выявление взломов в реальном времени и помощь при проведении расследований и сборе форензики.
С точки зрения удобства для пользователей решение Tenable.ad не требует установки агентов или каких-либо изменений в контроллере домена, а также особых прав доступа.
Установка решения Tenable.ad на площадке заказчика или в облаке
Tenable.ad можно установить на площадке заказчика или в выделенной облачной среде, предоставляемой и управляемой Tenable. Во втором случае платформа подключается к AD клиентов через зашифрованный VPN-канал.
Сразу после подключения начинается анализ проблем безопасности в вашей инфраструктуре. Аналитический отчет и рекомендации по усилению защиты готовы через несколько минут после начала процедуры инициализации.
Реализация любой стратегии ИБ начинается со снижения рисков. Не дать злоумышленнику лишних возможностей по эксплуатации среды — задача номер один. Конечно, гораздо легче сказать, чем сделать, учитывая размеры и сложность инфраструктуры Active Directory.
Tenable.ad непрерывно сканирует каталог AD в поисках ошибок конфигурации и других слабых мест. Выявленные индикаторы киберрисков (Indicators of Exposure, IoE) содержат описание, критичность угрозы и оценку затрат на восстановление, а также пошаговый план устранения риска. Полный список всех индикаторов (IoE) доступен здесь.
Возможности решения Tenable.ad
Tenable.ad предоставляет три уникальные возможности:
- Мониторинг в реальном времени. Нативная платформа защиты AD предоставляет аналитические данные в реальном времени, при этом не полагаясь на журналы событий Windows. Всего за несколько минут злоумышленник с правами администратора может нанести огромный ущерб, поэтому мониторинг в реальном времени — это не прихоть, а критическая необходимость, отсутствующая в других решениях.
- Нативная аналитика по Active Directory. Tenable.ad поддерживает постоянно обновляемую базу данных паттернов атак. Команда исследователей Tenable.ad непрерывно наполняет базу угроз, создавая золотой стандарт в сфере защиты Active Directory.
- Обнаружение до взлома. Атаки, нацеленные на AD, представляют собой цепочки разрозненных событий, которые в совокупности приводят к взлому. Tenable.ad обнаруживает каждое из этих событий по отдельности, и пользователи получают алерт еще до того, как реализуется конечная атака. Таким образом, пользователи получают уникальную возможность блокировать атаки до их окончания.
Реагирование на взлом: расследования и хантинг
После атаки специалисты по реагированию на инциденты проводят расследование, чтобы понять, какие меры необходимо предпринять для устранения этой угрозы в будущем. Большинство из них для этого используют журналы событий Microsoft, что крайне неэффективно, если учесть тот огромный объем (в основном нерелевантных) данных, которые они там находят.
Решение Tenable.ad хранит полную историю событий, которые важны с точки зрения безопасности. Использование усовершенствованной системы запросов Tenable.ad позволяет аналитикам быстро и точно изучать детальную информацию по этим событиям, позволяя проводить более точные расследования.
Кроме того, платформа Tenable.ad нативное интегрируется с SOAR/SIRP-системами, что позволяет реагировать на инциденты безопасности за считанные секунды.
Особенности Tenable.ad
Tenable.ad позволяет находить и устранять слабые места в Active Directory до того, как злоумышленники воспользуются ими, а также обнаруживает и реагирует на атаки в режиме реального времени. Вот основные возможности решения:
- Выявление ошибок конфигурации Active Directory
- Выявление причин проблемы, угрожающих безопасности AD
- Объяснение ошибок конфигурации понятным языком (на английском)
- Рекомендации по исправлению каждой проблемы
- Настраиваемые дашборды для управления безопасностью AD и снижения рисков
- Выявление опасные доверительных отношений между доменами
- Выявление любых изменений в AD
- Выявление основных атак на каждый домен в AD
- Визуализация каждой угрозы на основе таймлайна атаки
- Консолидированный мониторинг распределенных атак в едином представлении
- Корреляция между изменениями AD и вредоносными действиями
- Детальный анализ атак на AD
- Сопоставление с тактиками и техниками MITRE ATT&CK в описаниях обнаруженных инцидентов
- Развертывание на площадке заказчика или в облаке
- Не требует привилегированных аккаунтов или установки ПО на контроллеры доменов
Лицензирование и доступность в России и СНГ
Tenable.ad лицензируется по числу учетных записей в AD и поставляется в виде подписки (ежегодный одинаковый платеж). Минимальная лицензия — 500 учетных записей. Tenable.ad доступен к покупке через всех авторизованных партнеров компании Tenable.
Заключение
Атаки, нацеленные на AD, сегодня стали обычным явлением. Многочисленные отчеты показывают, что AD-администраторам и специалистам в сфере безопасности сложно справиться с угрозами в Active Directory.
Tenable.ad — именно тот инструмент, который поможет достойно отразить такие атаки. Убедитесь сами: попробуйте тестовую версию решения Tenable.ad и улучшите защиту своей инфраструктуры.
