25 yıl sonra bile, Microsoft Active Directory (AD), dünya çapında kurumsal BT ortamlarının% 90’ına kadar kimlik ve erişim yönetiminin bel kemiği olmaya devam ederek fidye yazılım saldırıları başlatmaya çalışan siber suçlular için yüksek değerli bir hedef haline geliyor. Statik bir ortam değil – karmaşık ve sürekli olarak gelişmekte olan yeni hibrit dağıtımlar ve otomasyon yoluyla gelişiyor. Birçok kuruluş, bugünün sofistike kimlik tehditlerine karşı koymak için gerekli olan görünürlük, otomasyon veya kurtarma hazırlığı olmadan beş yıl önce yaptıkları şekilde AD’yi yönetiyor. Reklamın sağlanması artık bir kutu takma egzersizi değil.
Eski varsayımlara ve statik politikalara dayanan işletmeler kendilerini önemli bir riske maruz bırakmaktadır. Fidye yazılımı hizmet olarak (RAAS) modeller ve AI ile çalışan saldırı teknikleri ana akım haline geldikçe, kuruluşlar kimlik altyapılarının çekirdeğini savunmak için proaktif, istihbarat liderliğindeki bir yaklaşım benimsemelidir.
Reklam neden bu kadar savunmasız
AD, izin veren varsayılan ayarlar, karmaşık karşılıklı bağımlılıklar, eski protokollere destek ve sınırlı yerel güvenlik araçları nedeniyle uzlaşmaya yatkındır. Yeni konuşlandırılan bir reklam ormanı bile varsayılan olarak güvensizdir, yanlış yapılandırmalar ve saldırganların AD’nin yerleşik yönetici hesabını kolayca kullandığı tehlikeli izin kombinasyonları içeren, delegasyon saldırılarına karşı koruma yoktur, bu da onu ayrıcalık artışı için ortak bir başlangıç noktası haline getirir. Zayıf delegasyon ayarları, aşırı izinler ve modası geçmiş kimlik doğrulama protokolleri, tehdit aktörleri için yanal hareketi kolaylaştırır. Yerel reklam takımları, kör noktalar oluşturan gerçek zamanlı tespiti veya merkezi hibrit yönetimini desteklemez. Tek bir uzlaşılmış kimlik bilgisi veya yetkisiz grup politika değişikliği, etki alanı uzlaşmasına yol açabilir.
Peki kuruluşlar AD’nin güvenlik zayıf yönlerini nasıl ele alabilir?
AD yapılandırmalarını sertleştirin
AD’yi güvence altına almanın en etkili yollarından biri, sertleşme politikalarını uygulamak ve otomasyonu kucaklamaktır. Endüstri standartlarına göre yapılandırmaları karşılaştırarak ve aşırı bırakılan hesapları belirleyerek başlayın. Kullanıcı sağlama ve ayrıcalık temizlemesini otomatikleştirmek insan hatasını azaltır ve en az ayrıcalık ilkelerini tutarlı bir şekilde uygular.
Güvenlik sertleştirme, hibrit ortamlarda sık sık saldırı vektörleri olan NTLM, SMBV1 ve katlanmamış çoğaltma gibi yapılandırılmayan protokollerin yapılandırılmasını ve devre dışı bırakılmasını içermelidir. DCSYNC denemeleri veya kritik grup politikalarında yapılan değişiklikler gibi yüksek riskli değişiklikler için gerçek zamanlı uyarılar oluşturmak için otomasyonu genişletin. Bu, şüpheli aktiviteye hızlı algılama ve yanıt sağlar.
En az privilege erişimini ve sıfır güven yaklaşımını zorlayın
Erişim haklarına yönelik politika odaklı, yapılandırılmış bir yaklaşım esastır. Hareketsiz ayrıcalıklı hesapları, aşırı sağlanmayı ve yanlış yapılandırılmış rolleri ortaya çıkarmak için mevcut erişim seviyelerinin ayrıntılı bir denetimi yapın. Daimi Yönetici Hakları ve Geniş Grup Üyeliklerini Rol Tabanlı Erişim Kontrolü (RBAC), Sanal Organizasyonel Birimler (VOUS) ve tam zamanında erişim gibi modellerle değiştirin, bu da sadece gerektiğinde geçici ayrıcalıklar sağlayan.
En az privilege Access Zero da bir güven yaklaşımı içermelidir. Sıfır Trust, varsayılan olarak ihlal varsayar ve tüm kullanıcıların, cihazların ve hizmetlerin sürekli doğrulanmasını zorunlu kılar. En az müstehcen erişimin yanı sıra, temel ilkeler güçlü kimlik yönetişimi, çok faktörlü kimlik doğrulama (MFA) ve katı yönetim rolleri ve varlıklar içerir. Kimlik katmanı ile başlamalıdır, her oturumu ve kullanıcıya aksi kanıtlanana kadar güvenilmez olarak davranmalıdır.
Gelişmiş İzleme ve Tehdit Tespiti Dağıtım
Geleneksel günlük incelemeleri ve gecikmeli SIEM uyarıları, genellikle birkaç dakika içinde yükselen modern kimlik tehditlerine ayak uyduramaz. Bu nedenle kimlik tehdidi tespiti ve yanıtı (ITDR) esastır. ITDR, reklamı hedefleyen kimlik tabanlı tehditleri tespit etmek, araştıracak ve yanıtlamak için araçlar sağlar. Davranışsal analitik, gerçek zamanlı uyarılar ve otomatik iyileştirme kullanan ITDR, olaylar büyük uzlaşmalara dönüşmeden önce erken işlem sağlar. Gelişmiş izleme araçlarının dağıtılması, hem şirket içi AD hem de Entra Kimliği (Azure AD) üzerindeki hesap etkinliği, yapılandırma değişiklikleri ve potansiyel tehditler için gerçek zamanlı görünürlük sağlar.
Değişiklikler için ayrıcalıklı hesapları, grup üyeliğini ve Grup Politikası Nesneleri (GPO) ve Adminsdholder gibi hassas nesneleri izleyin. Anormalliklerin erken tespiti, saldırganların daha fazla erişim elde etmeden önce kuruluşların müdahale etmesini sağlar.
Sağlam bir tehdit modeli, eski hesapları, yanlış yapılandırılmış ACL’leri veya Kerberoasting (Kerberos Kimlik Doğrulama Protokolünden yararlanan) ve geçiş saldırıları gibi taktikleri tanımlayan maruziyet (IO’lar), uzlaşma (IOCS) ve saldırı (IOAS) göstergelerini içermelidir.
Kırmızı ekip ve düzenli tehdit simülasyonları da stratejinin bir parçası olmalıdır. Bu egzersizler, yapılandırmalar, erişim yolları ve yanıt protokollerindeki güvenlik açıklarının ortaya çıkmasına yardımcı olur. Olay müdahalesi oyun kitaplarını geliştirmek, yedekleme ve kurtarma özelliklerini test etmek ve ayrıcalık yükseltme yollarını ortadan kaldırmak için hayati önem taşır.
Gerçek zamanlı izleme, otomatik icra ile birleştiğinde, saldırıları erken tanımlamaya ve içermeye yardımcı olur. Sıfır güven, ITDR, otomasyon ve hibrit görünürlüğü entegre ederek, kuruluşlar başarılı bir fidye yazılımı kampanyası şansını önemli ölçüde azaltır.
Esnek bir reklam kurtarma planı oluşturun
Fidye yazılımı tehditleri arttıkça, kapsamlı bir reklam kurtarma stratejisine sahip olmak esastır. Ne zaman değil, değil. Etkili planlar muhafaza, bütünlük doğrulaması ve güvene güvenmeye odaklanır.
Sınırlamayla başlayın ve enfekte olmuş sistemleri izole edin, tehlikeye atılmış hesapları devre dışı bırakın ve yayılmayı durdurmak için etki alanı denetleyicisi çoğaltmasını durdurun. İyileşme yapılandırılmış bir süreci takip etmelidir. Bu, bilinen iyi, değişmez yedeklemelerden geri yükleme, nesnelerin ve yapılandırmaların bütünlüğünü doğrulamak ve olay sırasında yapılan tüm değişiklikleri denetlemek anlamına gelir.
Canlı etki alanı denetleyicilerine veya doğrulanmamış anlık görüntülere güvenmekten kaçının. Bunun yerine, tam uzlaşmayı üstlenen otomatik, test edilmiş iş akışlarını kullanın. Yedeklemeler değişmez, şifrelenmeli ve üretim sistemlerinden izole edilmelidir.
En iyi uygulama, kuruluşların üretime yeniden girmeden önce şema, GPO’lar, ACL’ler ve güven ilişkilerini doğrulamak için kuruluşların anında temiz, çevrimdışı kopyalarını anında döndürmesine izin veren izole edilmiş kurtarma ortamlarını (IRES) kullanmaktır. Bu, yeniden enfeksiyonu önler ve güvenli bir restorasyon süreci sağlar ve AD’nin anında hazır ve mevcut olduğu anlamına gelir.
Güveni yeniden tesis etmek, tüm kimlik bilgilerini sıfırlamak, sertleştirilmiş güvenlik politikalarını yeniden uygulayın ve GPO’ları ve ayrıcalıklı grup üyeliklerini doğrulayın. Kazanma sonrası, sürekli izleme esastır ve kurtarma planının kendisi düzenli olarak test edilmeli ve güncellenmelidir.
Güçlü bir reklam savunma stratejisi önemlidir
Active Directory sadece bir altyapı değildir, aynı zamanda işletmenizin kimliğinin kontrol düzlemi görevi gören stratejik bir iş varlığıdır. Artan tehdit vektörleriyle dolu günümüzün dijital çağında, işletmeniz reaktif savunmalara ve modası geçmiş uygulamalara güvenmeyi göze alamaz. Sertleştirilmiş konfigürasyonları, en az ayrıcalıklı yaptırımı, akıllı izleme ve hızlı iyileşme hazırlığını birleştiren güçlü bir reklam savunma stratejisi benimseyin. Sıfır güven ilkelerini gömmek, otomasyonu benimsemek ve savunmaları sürekli olarak doğrulamak, reklamınızı yumuşak bir hedeften güvenli dijital işlemlerin esnek bir çekirdeğine dönüştürecektir.
Bob Bobel, hibrid Active Directory yönetim araçları sağlayan Cayosoft’un CEO’sudur.