多數駭客能順利取得AD環境中的特權帳號,清一色是透過AD機制的漏洞或設定疏忽。而近期最知名的AD漏洞事件,莫過於編號CVE-2020-1472的Zerologon漏洞,可讓駭客輕易攻入企業Windows Active Directory(AD)網域伺服器。此漏洞被揭露之後,隨即吸引駭客藉此針對全球企業、政府組織發動攻擊,迫使微軟緊急釋出暫時緩解的修補程式。從此事件可知,企業需要一套可修正與屏蔽漏洞的工具,而Attivo Networks ADSecure正是保護AD安全的最佳工具 。再搭配BotSink使用,可揪出躲藏多時的惡意程式或間諜工具。
橙鋐科技技術副總林秉忠表示,先前提到的Attivo Networks ADAssessor,是協助資安人員挖掘AD機制漏洞的好幫手,如可能遭受駭客利用來攻擊之錯誤設定等,讓資安人員能儘速處理。但在實務上,仍然會有漏洞無法修補的狀況發生,除前述提到的軟體本身漏洞外,也有因操作因素、關鍵業務流程的依賴性等,否則會出現無法呼叫資料庫主機等問題。此時,企業即可使用ADSecure隱藏和保護AD環境,達到降低被入侵的風險。
修正與屏蔽漏洞 全方位保護AD安全
駭客要竊取AD機制環境中的帳號、密碼等資料前,必須要先了解該公司內部的網路架構,才能慢慢從各種蛛絲馬跡中找到關聯性,並透過不斷錯誤嘗試,達成取得高權限帳號的目標。而ADSecure則是在不干擾正常的業務運作下,對授權用戶之外的所有人,隱藏 AD 資料與整個 AD 基礎架構,避免給予任何可趁之機,為企業用戶的關鍵數位資產,提供最佳資安保護層。另一方面,當察覺到有未經授權的電腦或帳戶進行查詢時,ADSecure也會立即向資安人員發出告警訊息, 以便能夠在第一時間找出潛藏的問題。
橙鋐科技總經理周建全指出,引進ADSecure最大優點之一,在於無須對現有AD機制進行任何變動,完全不會影響到現行環境的運作流程。其次,這套軟體會屏蔽重要 AD 資訊,同時發現有非授權用戶進行查詢時,會主動回覆錯誤的資料。如果非授權用戶是駭客時,便可能會被假資料欺騙、被引導至誘餌環境中。此時,ADSecure還會持續提供完整可視性資料,協助資安人員進行後續的獵捕工作。
換句話說,即便AD軟體存在系統性的漏洞,而資訊人員沒有在第一時間安裝修補程式,此時若有ADSecure進行修正屏蔽,即可避免發生駭客入侵端點裝置後提權、水平移動,導致AD遭入侵的憾事。
多重誘捕機制 揪出潛藏威脅
在駭客攻擊手法多變下,傳統被動式的資安防護機制,早已無法符合現今時代需求。因為駭客只需成功入侵一次,就可能造成企業前所未有的傷害或損失,如孟加拉銀行遭入侵事件的損失金額高達8100萬美元。新一代的資安防護觀念,則是採取反守為攻的作法,只要駭客不小心犯錯,就可能陷入欺敵系統的誘餌中,而BotSink正是市面上評價最高的欺敵方案。
當駭客從ADSecure取得假AD資訊之後,BotSink會同步產生假系統與駭客互動,並提供假的帳號、密碼等資訊,藉此收集駭客的行為與使用的工具。當駭客被誘騙、觸發攻擊警示後,BotSink則會透過與公司內部資安設備聯防機制,找出惡意程式感染的範圍與躲藏位置。
林秉忠表示,BotSink不光通過眾多產業的POC測試,甚至在金融業的紅藍隊攻防演練中,成功捕捉到演練攻擊方,且攻擊方完全不知道存在哪些誘餌,足見實用性非常高。整體而言,BotSink不光可提供多重欺敵防護、中央系統嚴密控管外,也能依照不同產業、企業等需求,提供客製化防禦機制,以達到最佳的資安防護效果。
現今Active Directory 已是企業最重要的資訊基礎建設,保存最重要敏感的資訊,必須要被妥善評估並保護。Attivo Networks ADAssessor 提供完整AD安全評估,確保設定符合組織安全政策,ADSecure 透過一個簡單且有效的方式防護 AD,可降低風險達 90% 以上。BotSink則會透過誘捕機制,收集駭客的行為。此Attivo三大工具的組合,堪稱是企業保護AD安全的最佳方案。