你’可能听到人们说,“捍卫者每次都必须是对的,攻击者只有一次。” That’真的,但幸运的是 Active Directory审核和响应,我们有第二次维持的机会 Active Directory安全.

Active Directory和网络杀链链

广告提供安全性并控制关键IT系统和基础架构。正如我在我的帖子中讨论的那样 Active Directory安全危险因素和该怎么做(第1部分),许多攻击路径通过广告领导。

网络ackers擅长通过脚跟进入受害者的环境 矛网络钓鱼 和其他技术。一旦攻击者控制域帐户,他们就可以针对广告执行LDAP查找。侦听AD中反映的IT环境,他们可以发现用户名,作业标题和角色,设备,服务器,服务和用户/服务关系。

想象一下,有一种类似谷歌搜索工具,可以通过广告到“Crown Jewel”IT资产来发现权限的路径。它存在。 PowerSploit和Bloodhound等工具使其简单地为“脚本Kiddie”类型  威胁演员  计划他们的网络攻击。

攻击者可以通过将其控件的帐户的名称放入目标网络,服务器,数据库或应用程序的组中,攻击者横向移动到目标。仍然棘手的漏洞利用可以利用密码重置,或危及影响内置Windows操作系统行为的广告基础架构对象,并且可以在整个域中赋予权限。

大哥喀

对于网络防御,可以使用控制基线锁定域控制器,要求域管理员(DAS)使用多因素身份验证(MFA),并采取其他预防控制。组织还应使用严格的广告政策,程序和变更管理来提出紧密的程序控制。例如,添加新DA应该需要公司的服务票证 IT服务管理工具,它应该通过工作流批准。

但是,许多预防控制受到大哥哥的影响:DAS在广告中创建规则,并可以改变它们。恶意或违反DA Insider或具有DA权限的攻击者,可以覆盖大部分预防控制。

关闭程序循环

术语“广告审核”被过载。有时它用于日志记录或监视(“审核日志”),在其他时候介绍其他控件有效运行的(“审核”)的过程。在后一种意义上,审计支持合规性报告。操作中的审计控制也关闭了程序循环。它可以确定是否遵循管理权限,DA帐户或DC配置上的策略或程序。

假设具有10个DAS的组织限制了通过仅授权一个DA帐户添加新DAS的过程创建更多信息的能力,并且仅使用工作流批准。审计应标记新DAS的任何添加,如果出现在禁止策略,则应有能力创建基于规则的警报。有关更多详细信息,请查看幻灯片并记录我最近的按需网络研讨会: Active Directory审核:为什么和如何.

第二次机会

此帖子开头的图表显示了广告审计能力的主要运动部件。当审计(“检测NIST网络安全框架术语中的”检测“)集成时 更改监控和回滚(“反应”控制)防守者获得第二次阻止违约的机会。

AD审计也可以与企业范围的安全性和事件信息管理(SIEM)解决方案相关联,以关联各种事件,查找额外的妥协指标,并降低误报。组织应确保广告审计是更广泛的广告管理和监控能力的一部分,以实现快速的反应。

资源:
//www.beyondtrust.com/