เนื่องด้วยด้วย Active Directory มีมากว่า 25 ปีแล้ว มีแนวโน้มที่จะสะสมผู้ใช้ที่มีการจัดสรรมากเกินไป กลุ่มความปลอดภัยที่ไม่จำเป็น Group Policy objects (GPO) ที่ล้าสมัย และอื่นๆ อีกมากมาย! AD objects ที่ไม่จำเป็นหรือกำหนดค่าไม่ถูกต้องเหล่านี้เป็นเป้าหมายที่น่าสนใจสำหรับผู้ไม่หวังดีจากภายนอกและภัยคุกคามภายใน
ต่อไปนี้เป็น 6 วิธีในการปรับปรุงสภาพแวดล้อม Active Directory ของคุณให้ทันสมัย ซึ่งสามารถช่วยปรับปรุงมาตรการรักษาความปลอดภัยของคุณได้อย่างมาก
การปรับปรุง Active Directory ให้ทันสมัยจำเป็นต้องมีการออกแบบ Forest และโครงสร้างโดเมนที่มีประสิทธิภาพและปลอดภัย บ่อยครั้งที่องค์กรต่างๆ มี Forest และโดเมนจำนวนมากจนทำให้การรักษาความปลอดภัยกลายเป็นเรื่องยาก จำเป็นอย่างยิ่งที่จะต้องเข้าใจหลักการสำคัญสองประการต่อไปนี้:
- Forest คือขอบเขตความปลอดภัย
- Domain คือขอบเขตการจัดการ
AD objects ในโดเมนมักจะถูกจัดกลุ่มเป็นหน่วยงานขององค์กร ซึ่งมักจะสะท้อนโครงสร้างขององค์กร ตัวอย่างเช่น โดเมนชิคาโกของคุณอาจมีหน่วยงานสำหรับแต่ละแผนกในสำนักงานนั้น: ฝ่ายขาย การตลาด ไอที กฎหมาย และอื่นๆ บ่อยครั้งที่โดเมนจะมีหน่วยงานที่มีอยู่ไม่นานเพื่อสนับสนุนโครงการเฉพาะกิจ โดยทั่วไปแต่ละหน่วยงานจะมีชุดของวัตถุนโยบายกลุ่ม (GPO) ที่นำไปใช้ เช่นเดียวกับชุดของกลุ่มความปลอดภัย Active Directory ที่ให้สิทธิ์การเข้าถึงต่างๆ แก่สมาชิก
ตามที่ระบุไว้ก่อนหน้านี้ สภาพแวดล้อม Active Directory จะซับซ้อนและยุ่งเหยิงอย่างรวดเร็ว เมื่อผู้ใช้เข้าและออกหรือเปลี่ยนบทบาท AD มักจะยุ่งกับทั้งบัญชีที่ไม่มีเจ้าของและผู้ใช้ที่มีการจัดสรรมากเกินไป เมื่อโปรเจ็กต์เสร็จสมบูรณ์หรือละทิ้ง กลุ่มความปลอดภัยที่เกี่ยวข้องจะยังคงอยู่ต่อไป โดยให้สิทธิ์ที่ไม่จำเป็นแก่สมาชิก และมอบเส้นทางที่ง่ายดายสำหรับฝ่ายโจมตีในการเพิ่มระดับสิทธิ์โดยไม่ถูกตรวจจับ ในขณะที่ผู้เชี่ยวชาญด้าน IT ออกจากงานไปหรือเกษียณอายุ ไม่มีใครแน่ใจว่าโปรโตคอลแบบเดิม เช่น NTLMv1 ยังคงใช้งานอยู่หรือไม่ ดังนั้น จึงมักจะไม่ถูกแตะต้องเป็นเวลาหลายปี ด้วยความเกรงว่าการลบออกอาจมีผลกับกระบวนการทางธุรกิจที่สำคัญ และเมื่อเวลาผ่านไป การกำหนดค่าระบบจะหลุดลอยไปจากพื้นฐานที่ปลอดภัย จากที่เคยมีการกำหนดไว้ตั้งแต่แรกด้วยซ้ำ
ส่วนหลักของโปรแกรมการปรับปรุง Active Directory ให้ทันสมัยคือการระบุและล้างไดเร็กทอรีและสร้างกระบวนการเพื่อเก็บไว้ตามลำดับ ด้วยการลด Technical Debt นี้ องค์กรต่างๆ จึงสามารถลดความเสี่ยงจากทั้งศัตรูภายนอกและภัยคุกคามจากภายในได้อย่างมาก
สภาพแวดล้อมไอทีสมัยใหม่มีความซับซ้อนมากและมีข้อมูลมากมายจนเป็นไปไม่ได้ที่จะปกป้องทุกสิ่งอย่างได้อย่างเท่าเทียมกัน เพื่อจัดลำดับความสำคัญของความพยายามด้านความปลอดภัย องค์กรจำเป็นต้องเข้าใจว่าสินทรัพย์ใดมีความสำคัญต่อธุรกิจมากที่สุด สินทรัพย์เหล่านี้เรียกว่าระดับ 0 หรือระนาบควบคุม สินทรัพย์ระดับ 0 เป็นเป้าหมายหลักของผู้คุกคาม เนื่องทำให้ฝ่ายตรงข้ามควบคุมโครงสร้างพื้นฐานด้านไอทีขององค์กรได้อย่างสมบูรณ์ ซึ่งอาจนำไปสู่การหยุดทำงานที่มีค่าใช้จ่ายสูง ความเสียหายต่อชื่อเสียงในระยะยาว และบทลงโทษด้านการปฏิบัติตามข้อกำหนดที่สูง
ขั้นตอนแรกในการปกป้องสินทรัพย์ระดับ 0 คือการระบุสินทรัพย์เหล่านั้น กลยุทธ์การปรับปรุง Active Directory ให้ทันสมัยอย่างครอบคลุมจะรวมการตรวจสอบและวิเคราะห์สภาพแวดล้อมด้านไอทีอย่างละเอียดเพื่อให้ข้อมูลเชิงลึกนี้ โดยเฉพาะอย่างยิ่ง ควรระบุบัญชีที่มีสิทธิ์การใช้งานในสภาพแวดล้อมทั้งหมด บัญชีที่ชัดเจนที่สุดในการค้นหาคือบัญชีที่มอบหมายให้กับผู้เชี่ยวชาญด้านไอทีและเป็นสมาชิกของกลุ่มผู้ดูแลระบบ AD ที่มีอยู่แล้วภายใน เช่น ผู้ดูแลระบบโดเมนและผู้ดูแลระบบองค์กร แต่บัญชีบริการมักจะได้รับสิทธิ์การเข้าถึงอย่างกว้างขวาง และโครงการปรับปรุง Active Directory ให้ทันสมัยก็เป็นเวลาที่เหมาะสมในการพิจารณาว่าบัญชีเหล่านั้นต้องการสิทธิ์ทั้งหมดที่ผู้ร้องขอจริงหรือไม่
นอกจากนี้ โปรแกรมปรับปรุง Active Directory ให้ทันสมัยควรได้รับการออกแบบให้เปิดเผยเส้นทางการโจมตี – ห่วงโซ่ของสิทธิ์การใช้งานที่ไม่เหมาะสมและการกำหนดค่าที่ไม่ถูกต้องที่สามารถทำให้ฝ่ายตรงข้ามที่โจมตีบัญชีผู้ใช้ทั่วไปสามารถควบคุมทรัพย์สินที่สำคัญหรือแม้แต่ Active Directory เองได้ในเวลาเพียงไม่กี่ ขั้นตอน องค์กรมักจะมีเส้นทางการโจมตีนับพันหรือหลายล้านเส้นทาง ดังนั้นการบล็อกทีละเส้นทางจึงเป็นไปไม่ได้ แต่คุณจำเป็นต้องมีเครื่องมือการจัดการเส้นทางการโจมตีที่จะระบุจุดควบคุม ซึ่งเป็นส่วนสุดท้ายในห่วงโซ่ของเหตุการณ์สำหรับเส้นทางการโจมตี ด้วยการแก้ไขจุดติดขัด คุณจะกำจัดเส้นทางการโจมตีทั้งหมดที่ต้องพึ่งพาจุดนั้น ซึ่งช่วยลดพื้นที่การโจมตีได้อย่างมาก
บัญชีที่ได้รับสิทธิพิเศษระดับสูงแสดงถึงความเสี่ยงด้านความปลอดภัยที่ร้ายแรง: บัญชีเหล่านี้เป็นเครื่องมือที่มีประสิทธิภาพในมือของฝ่ายตรงข้ามที่ใช้บัญชีเหล่านั้นต่อรอง และยังสามารถนำไปใช้ในทางที่ผิด ไม่ว่าจะโดยตั้งใจหรือโดยไม่ได้ตั้งใจก็ตาม ดังนั้นจึงเป็นเรื่องสำคัญที่จะต้องจัดการการเข้าถึงสิทธิพิเศษอย่างระมัดระวัง
ในฐานะที่เป็นส่วนหนึ่งของการปรับปรุง Active Directory ให้ทันสมัย คุณควรใช้การจัด Pprivileged Access Management (PAM) PAM ใช้การควบคุมความปลอดภัยที่เข้มงวดกับบัญชีที่มีสิทธิ์ระดับสูง โดยให้การเข้าถึงทรัพยากรชั่วคราวและทันเวลาตามความจำเป็น
พูดให้กว้างขึ้น มุ่งเป้าไปที่โมเดลการรักษาความปลอดภัยแบบ Zero Trust สำหรับผู้ใช้ บริการ และองค์ประกอบอื่นๆ ทั้งหมดในสภาพแวดล้อมของคุณ แทนที่จะอนุญาตให้ระบุตัวตนในการตรวจสอบสิทธิ์เพียงครั้งเดียวและมีการส่งต่อข้อมูลปล่อยผ่านต่อจากนั้น การตัดสินใจในการเข้าถึงและการตอบสนองของระบบอื่นๆ จะได้รับแจ้งจากข้อมูลแบบเรียลไทม์จากหลายแหล่ง ด้วยเหตุนี้ คุณจึงมีแนวโน้มมากขึ้นที่จะสามารถตรวจพบและขัดขวางกิจกรรมที่เป็นอันตรายได้ในระยะแรกๆ รวมถึงการใช้บัญชีที่ได้รับสิทธิพิเศษในทางที่ผิด
ไม่มีโปรแกรมการปรับปรุง Active Directory ให้ทันสมัยเสร็จสมบูรณ์โดยไม่ต้องคำนึงถึงตัว Domain Controllers (DC) DC เป็นเซิร์ฟเวอร์พิเศษที่จัดเก็บข้อมูล Active Directory และให้บริการที่สำคัญ เช่น การรับรองความถูกต้องและการอนุญาต ทำให้เป็นเป้าหมายสูงสุดสำหรับผู้ไม่ประสงค์ดี และตามที่ Microsoft ชี้ให้เห็น ผู้โจมตีสามารถสร้างความเสียหายที่แก้ไขไม่ได้ให้กับฐานข้อมูล AD ของคุณภายใน “นาทีต่อชั่วโมง ไม่ใช่หลายวันหรือสัปดาห์”
ดังนั้นจึงจำเป็นอย่างยิ่งที่จะต้องปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดในการปกป้องตัวควบคุมโดเมนของคุณ นี่คือกลยุทธ์ที่สำคัญที่สุดบางส่วน:
- ควบคุมการเข้าถึงทางกายภาพของ DC ทั้งหมดอย่างเข้มงวด
- ลดการเข้าถึงเครือข่ายให้เหลือน้อยที่สุดให้กับตัวควบคุมโดเมนทั้งหมด และไม่อนุญาตให้ DC เข้าถึงอินเทอร์เน็ต
- ติดตั้งเฉพาะแอปพลิเคชันและบริการที่จำเป็นสำหรับการทำงานและความปลอดภัยของ DC
- จำกัดผู้ที่มีสิทธิ์การดูแลระบบภายในในแต่ละ DC และลดขนาดบัญชีที่สามารถเข้าสู่ระบบแบบโต้ตอบได้
Source: blog.quest.com
