無庸置疑,近兩年各界最關注的資安威脅,就是勒索病毒;尤其在疫情期間,勒索軟體攻擊事件的發生頻率可說越來越氾濫。深究其因,WFH員工的居家環境缺乏足夠資安防護,讓駭客有機會佔領員工的電腦,進而順著員工與公司之間的VPN連線,輕易潛入企業內網,輾轉釀成營運中斷、機密資料遭竊等悲劇。
有人說打蛇打七寸,對付駭客,其實也適用相同原則。就算駭客已經登堂入室,但企業只要能牢牢守護通往關鍵資產的要塞、也就是「目錄服務」(Active Directory;AD)。就形同扼住了駭客的七寸,讓他沒辦法走到施放勒索病毒的最後一步。有鑑於此,橙鋐科技日前在參與「IRCON 2021臺灣資訊安全事件應變研討會」之際,就鎖定AD防護這個嚴峻的議題,發表堪稱精闢獨到的見解。
橙鋐科技技術副總林秉忠指出,AD是相當便利的資訊服務,因而廣受企業青睞與採用,逐漸形成收容身份驗證和授權資訊的單一窗口,它不僅彙集內部聯絡人資訊與帳密,甚至記錄每台端點設備啟用哪些服務、執行哪些服務,還可透過GPO對端點設備展開主動性的管理措施。因此,不管肇因於錯誤設定、Patch未更新,導致AD如此重要的資產遭到駭客掌握的話,後果著實不堪設想。
強化檢測與偵察,阻止駭客搶奪AD灘頭堡
林秉忠建議,企業為遏阻駭客染指AD,必須借助適當的AD防護工具,再透過有效的監控乃至於健診等功能,一方面協助企業釐清AD系統中有哪些急待修補的漏洞,二方面當有人嘗試攻擊AD,防護工具也能在第一時間產生警訊,幫助企業掌控相關狀況。
為協助企業強化AD防護力,橙鋐在獨家代理的Attivo Networks品牌中,精選了擅於執行AD資安檢測的ADAssessor,積極推廣給企業評估與採用。ADAssessor是市場上少見專注於AD、且兼具IOE(Indicators of Exposure)與IOA(Indicators of Attack)探索能力的解決方案,可針對企業的AD系統,發揮檢測漏洞、減少攻擊面、偵察攻擊、定期自動重新分析等防護綜效。
但不可諱言,儘管大家愛用AD、但卻未必熟悉AD,所以即便取得AD健診報告,也不見得能有效提綱挈領、採取正確處置措施。因此橙鋐在推廣Attivo ADAssessor產品之餘,也用心堆疊專家顧問服務,用戶若有需要,便可委由這批專家團隊幫忙解讀報告內容、提供修正建議。
屏蔽+誘捕,讓有心人士無法接觸真實AD環境
問題來了,即便企業AD系統被檢測出漏洞,也不代表這些弱點100%皆可修復。林秉忠解釋,有些漏洞是因為「By Design」而誕生、老早就內建於系統之中,負責提供一些查詢功能,所以無法被修正。換言之,假使這些弱點落入駭客手上,他就可以清查出Domain Controller IP位址、電腦名稱,甚或挖掘出特權帳號,一旦掌握這些關鍵資訊,駭客就有機會發動攻擊。
值此時刻,Attivo Networks的欺敵、誘敵技術即可派上用場。Attivo旗下有一套名為ADsecure的解決方案,非常擅長隱藏、遮蔽,凡是偵察到有企業預設白名單之外的不明人士,意圖對AD進行查詢或呼叫,就立即從中攔截,不讓他有任何機會接觸到真實AD環境,與此同時,還會將他導向由BOTsink(為Attivo Networks所提供的另一項解決方案)建構的虛假IT環境,誘使對方踩入陷阱。
林秉忠說,ADSecure的部署方式有二,一是Monitor Mode,可協助企業清查平時有哪些使用者或應用程式與AD互動,建立AD的可視性,執行期間大約2週到1個月。另一是Protect Mode,會根據正常使用行為的清點結果,建立白名單,日後凡是比對出不在預設範圍內的訪客,不管想對AD做什麼事,ADSecure都會發動屏蔽功能,著手進行誘騙。
上述誘捕概念,對於極欲守護AD的企業可說格外重要,主要是因為,像是EDR、NDR、XDR等等傳統資安設備,對於成功竊取憑證、盜用身份的駭客,始終缺乏足夠的辨識能力;反觀在「Attivo ADSecure+BOTsink」聯手把關下,便能更加輕易捕捉到可疑對象,設局請他們到假環境,讓他們恣意收集情資、埋設後門,但一切行為都會被記錄下來,並且轉化為IOC(Indicator of Compromise),傳送到EDR執行深入的挖掘與分析,藉以釐清駭客的圖像,再把相關線索分享到防火牆、Proxy、SIEM或SOC等其他資安設備,達到全面性資安聯防效果。
總括而論,透過橙鋐所推廣的ADAssessor、ADSecure及BOTsink等三大產品,即可為AD形塑掃瞄、屏蔽、誘捕等防護三部曲,從而阻斷駭客通往企業關鍵資產的要道,既然「摸不到」、也就「鎖不住」,讓駭客無力發動勒索軟體攻擊。