افزایش امنیت اکتیو دایرکتوری با چند راهکار ساده

معمولاً پس از وقوع حملات سایبری، سرویس اکتیو دایرکتوری که مسئولیت مدیریت منابع شبکه را بر عهده دارد باید مثل تمام سرویس‌های دیگر مجدداً بررسی و بازبینی شده و از توجه به امنیت آن هرگز غفلت نشود. لازم است به این نکته مهم توجه داشت که در صورت وجود هر نقص امنیتی در سرویس اکتیو دایرکتوری، کل محیط شبکه در معرض مخاطره جدی قرار خواهد گرفت.

90 درصد از سازمان‌ها از اکتیو دایرکتوری به عنوان منبع اصلی ذخیره اطلاعات هویتی کارمندان و همچنین اعمال کنترل دسترسی کاربران استفاده می‌کنند. امروزه استفاده از رویکرد ترکیبی برای مدیریت هویت اشخاص، تمرکز بر وابستگی‌های متقابل و پیچیدگی‌های ناشی از آن تبدیل به امری بسیار متداول شده است اما باید توجه داشت که احراز هویت در محیط ابر هنوز هم وابستگی زیادی به عملکرد صحیح اکتیو دایرکتوری در سازمان دارد.

بنابراین از آنجا که اکتیو دایرکتوری به عنوان منبعی استفاده می‌شود که سایر منابع هویتی هم با آن همگام‌سازی می‌شوند، هرگونه دستکاری این منبع مهم می‌تواند پیامدهای مخرب چشمگیری را بر کل زیرساخت مدیریت هویت سازمان شما داشته باشد. متاسفانه امروزه با وجود تهدیدات مرسوم، وقوع چنین اتفاقی کاملاً متداول بوده و نیازمند توجه مدیران امنیت نسبت به راهکارهای حفاظتی بیشتر است.

عدم امنیت اکتیو دایرکتوری

یک مهاجم با نفوذ به سرویس اکتیو دایرکتوری و دسترسی به حساب های کاربری کارکنان می‌تواند به منابع زیادی دسترسی یابد. برای مثال او می‌تواند یکی از حساب‌های کاربری هک شده در محیط سازمان را تبدیل به عضو گروهی مثل “Sales” در اکتیو دایرکتوری کند که به احتمال زیاد به سیستم‌ها، برنامه‌های کاربردی و داده‌های حساس دسترسی دارند.

معمولاً اکتیو دایرکتوری از طریق IDP بیرونی (همچون سیستم محاسباتی آژور اکتیو دایرکتوری که از آن برای انجام محاسبات پیچیده استفاده می شود) با برنامه‌های کاربردی مخصوص محیط های ابری ارتباط دارد. پس ایجاد چنین تغییراتی در حساب‌های کاربری می‌تواند موجب فراهم شدن امکان دسترسی به محیط یک سیستم مدیریت ارتباط با مشتری (مثل Salesforce)، داده‌های مشتریان (و در صورت عدم توقف نفوذ، دسترسی به داده‌های کل سازمان) و سایر منابع آن شود.

در بسیاری از حملات سایبری، شرایط نسبت به آنچه در مثال بالا اشاره شد پیچیده‌تر است و فقط کافی است مهاجمان از طریق یک حساب کاربری، دسترسی لازم را به دست آورده تا بتوانند سایر حساب‌های کاربری را نیز دچار مخاطره کنند. همچنین امکان اینکه از سیستمی به سیستم دیگر نفوذ کرده و در محیط‌های ترکیبی از محیط سازمان، به فضای ابری حرکت کرده و از امکان دسترسی به اکتیو دایرکتوری درون سازمانی برای هدف گرفتن حساب‌های کاربری که به محیط ابر دسترسی دارند، سوءاستفاده نمایند نیز وجود دارد.

حمله اخیر بر ضد شرکت مخابراتی NTT، نمونه‌ای از این حملات است. مهاجمان، پس از نفوذ به یک سرور ابری توانستند از آن سرور به عنوان ابزاری برای نفوذ به اکتیو دایرکتوری سازمان استفاده کرده و امکان دسترسی کامل به سیستم‌های مختلف از جمله سرورهای حاوی داده‌های کاربران و سایر منابع حساس را به دست آورند. در نهایت در تمام این حملات، مهاجمان امکان دسترسی به منابع درون سازمانی را صرف نظر از محل آنها به دست خواهند آورد.

حملات انجام شده بر ضد شرکت سولارویندز نمونه‌ای دیگر از نقش مهم اکتیو دایرکتوری در حفاظت از دارایی‌های سازمانی و همچنین نقش آن به عنوان سکوی موفقیت مهاجمان است. هر چند اکتیو دایرکتوری دارایی اصلی مدنظر مهاجمان در حملات صورت گرفته بر ضد سولارویندز نبود اما مهاجمان برای گسترش دامنه نفوذ خود از چند فن حمله متداول بر ضد اکتیو دایرکتوری جهت دور زدن سازوکارهای احراز هویت در محیط سازمان و فضای ابر و همچنین برنامه‌های کاربردی استفاده کردند.

حفاظت از اکتیو دایرکتوری

در بعضی از معماری‌ها حلقه صفر (Ring 0) محلی است که هسته سیستم عامل در آن قرار گرفته و به همه منابع دسترسی دارد. برای بسیاری از سازمان‌ها، اکتیو دایرکتوری حلقه صفر امنیت محسوب می‌شود و در صورتی ‌که امنیت آن دچار مخاطره شود، مهاجمان به تمام دارایی‌های سازمان دسترسی پیدا خواهند کرد. به همین دلیل حفاظت کافی و جامع از اکتیو دایرکتوری اهمیت بسیار زیادی دارد.

برای انجام این کار به راهکارهایی فراتر از ابزارهای نظارتی معمول که فاقد امنیت لازم برای اکتیو دایرکتوری هستند و برای شناسایی حملات بسیار پیچیده طراحی شده‌اند، نیاز دارید. در واقع مهاجمان می‌توانند با تغییر و اصلاح اکتیو دایرکتوری به همه منابع شبکه شما دسترسی پیدا کنند. به همین دلیل لازم است راهکارهای امنیتی لازم برای نظارت بر تغییرات غیرمجاز اکتیو دایرکتوری و جلوگیری از آنها و همچنین قابلیت برگرداندن سیستم به حالت امن در صورت ایجاد تغییرات غیرمجاز  وجود داشته باشد.

علاوه بر این، حفظ امنیت اکتیو دایرکتوری معمولاً از جمله وظایف کم ارزش تلقی می‌شود اما باید آن را به عنوان یک اقدام کلیدی برای محدود کردن اثر نفوذ مهاجمان به سازمان و جلوگیری از بهره‌برداری غیرمجاز از اکتیو دایرکتوری برای نفوذ به کل شبکه دانست؛ چرا که اگر مهاجمی به اکتیو دایرکتوری نفوذ کند می‌تواند در طولانی مدت هر کاری را انجام دهد. این ویژگی‌ها باعث منحصر به فرد شدن اکتیو دایرکتوری و نیاز به راهکارهای حفاظتی خاص برای اطمینان از حفظ امنیت آن شده است.

موج حملات جدید

در حال حاضر اهمیت امنیت اکتیو دایرکتوری نسبت به هر زمان دیگری بیشتر شده است. سازمان‌های زیادی از اهمیت اکتیو دایرکتوری مطلع هستند ولی هنوز به مرحله امن‌سازی کامل آن نرسیده‌اند؛ به خصوص با توجه به اینکه شیوع بیماری کرونا منجر به افزایش دورکاری کارکنان و استفاده از سرویس‌ها و دستگاه‌های مبتنی بر فناوری ابر شده است.

از آنجا که اکتیو دایرکتوری یکی از مهمترین اهداف مهاجمانی است که تلاش در سرقت اطلاعات ورود به سیستم‌ها و نصب باج‌افزار در کل سیستم های شبکه دارند، حتی اگر مسئولیت مستقیم عملیات روزانه آن بر عهده شما نیست همچنان باید با پیامدهای وقوع حمله بر ضد اکتیو دایرکتوری آشنا باشید.

مدیران سازمان‌ها باید مسئول امنیت اکتیو دایرکتوری را مشخص کرده و همچنین قابلیت‌های نظارت جامع بر تهدید، تشخیص و واکنش را برای محیط سازمان و محیط ابری خود پیاده‌سازی کنند. سازمان‌ها با داشتن امکان پویش پیوسته دایرکتوری‌ها جهت شناسایی آسیب‌پذیری‌ها، تفسیر حملات به وقوع پیوسته و بازیابی سریع از حملات باج‌افزاری و نیز سایر شرایط اضطراری می توانند همواره یک گام جلوتر از مهاجمان بوده و احتمال ایجاد مخاطره برای اکتیو دایرکتوری که قاعدتاً عواقب سختی را برای سازمان خواهد داشت، به کمترین حد ممکن برسانند.

منبع: helpnetsecurity