معمولاً پس از وقوع حملات سایبری، سرویس اکتیو دایرکتوری که مسئولیت مدیریت منابع شبکه را بر عهده دارد باید مثل تمام سرویسهای دیگر مجدداً بررسی و بازبینی شده و از توجه به امنیت آن هرگز غفلت نشود. لازم است به این نکته مهم توجه داشت که در صورت وجود هر نقص امنیتی در سرویس اکتیو دایرکتوری، کل محیط شبکه در معرض مخاطره جدی قرار خواهد گرفت.
90 درصد از سازمانها از اکتیو دایرکتوری به عنوان منبع اصلی ذخیره اطلاعات هویتی کارمندان و همچنین اعمال کنترل دسترسی کاربران استفاده میکنند. امروزه استفاده از رویکرد ترکیبی برای مدیریت هویت اشخاص، تمرکز بر وابستگیهای متقابل و پیچیدگیهای ناشی از آن تبدیل به امری بسیار متداول شده است اما باید توجه داشت که احراز هویت در محیط ابر هنوز هم وابستگی زیادی به عملکرد صحیح اکتیو دایرکتوری در سازمان دارد.
بنابراین از آنجا که اکتیو دایرکتوری به عنوان منبعی استفاده میشود که سایر منابع هویتی هم با آن همگامسازی میشوند، هرگونه دستکاری این منبع مهم میتواند پیامدهای مخرب چشمگیری را بر کل زیرساخت مدیریت هویت سازمان شما داشته باشد. متاسفانه امروزه با وجود تهدیدات مرسوم، وقوع چنین اتفاقی کاملاً متداول بوده و نیازمند توجه مدیران امنیت نسبت به راهکارهای حفاظتی بیشتر است.
عدم امنیت اکتیو دایرکتوری
یک مهاجم با نفوذ به سرویس اکتیو دایرکتوری و دسترسی به حساب های کاربری کارکنان میتواند به منابع زیادی دسترسی یابد. برای مثال او میتواند یکی از حسابهای کاربری هک شده در محیط سازمان را تبدیل به عضو گروهی مثل “Sales” در اکتیو دایرکتوری کند که به احتمال زیاد به سیستمها، برنامههای کاربردی و دادههای حساس دسترسی دارند.
معمولاً اکتیو دایرکتوری از طریق IDP بیرونی (همچون سیستم محاسباتی آژور اکتیو دایرکتوری که از آن برای انجام محاسبات پیچیده استفاده می شود) با برنامههای کاربردی مخصوص محیط های ابری ارتباط دارد. پس ایجاد چنین تغییراتی در حسابهای کاربری میتواند موجب فراهم شدن امکان دسترسی به محیط یک سیستم مدیریت ارتباط با مشتری (مثل Salesforce)، دادههای مشتریان (و در صورت عدم توقف نفوذ، دسترسی به دادههای کل سازمان) و سایر منابع آن شود.
در بسیاری از حملات سایبری، شرایط نسبت به آنچه در مثال بالا اشاره شد پیچیدهتر است و فقط کافی است مهاجمان از طریق یک حساب کاربری، دسترسی لازم را به دست آورده تا بتوانند سایر حسابهای کاربری را نیز دچار مخاطره کنند. همچنین امکان اینکه از سیستمی به سیستم دیگر نفوذ کرده و در محیطهای ترکیبی از محیط سازمان، به فضای ابری حرکت کرده و از امکان دسترسی به اکتیو دایرکتوری درون سازمانی برای هدف گرفتن حسابهای کاربری که به محیط ابر دسترسی دارند، سوءاستفاده نمایند نیز وجود دارد.
حمله اخیر بر ضد شرکت مخابراتی NTT، نمونهای از این حملات است. مهاجمان، پس از نفوذ به یک سرور ابری توانستند از آن سرور به عنوان ابزاری برای نفوذ به اکتیو دایرکتوری سازمان استفاده کرده و امکان دسترسی کامل به سیستمهای مختلف از جمله سرورهای حاوی دادههای کاربران و سایر منابع حساس را به دست آورند. در نهایت در تمام این حملات، مهاجمان امکان دسترسی به منابع درون سازمانی را صرف نظر از محل آنها به دست خواهند آورد.
حملات انجام شده بر ضد شرکت سولارویندز نمونهای دیگر از نقش مهم اکتیو دایرکتوری در حفاظت از داراییهای سازمانی و همچنین نقش آن به عنوان سکوی موفقیت مهاجمان است. هر چند اکتیو دایرکتوری دارایی اصلی مدنظر مهاجمان در حملات صورت گرفته بر ضد سولارویندز نبود اما مهاجمان برای گسترش دامنه نفوذ خود از چند فن حمله متداول بر ضد اکتیو دایرکتوری جهت دور زدن سازوکارهای احراز هویت در محیط سازمان و فضای ابر و همچنین برنامههای کاربردی استفاده کردند.
حفاظت از اکتیو دایرکتوری
در بعضی از معماریها حلقه صفر (Ring 0) محلی است که هسته سیستم عامل در آن قرار گرفته و به همه منابع دسترسی دارد. برای بسیاری از سازمانها، اکتیو دایرکتوری حلقه صفر امنیت محسوب میشود و در صورتی که امنیت آن دچار مخاطره شود، مهاجمان به تمام داراییهای سازمان دسترسی پیدا خواهند کرد. به همین دلیل حفاظت کافی و جامع از اکتیو دایرکتوری اهمیت بسیار زیادی دارد.
برای انجام این کار به راهکارهایی فراتر از ابزارهای نظارتی معمول که فاقد امنیت لازم برای اکتیو دایرکتوری هستند و برای شناسایی حملات بسیار پیچیده طراحی شدهاند، نیاز دارید. در واقع مهاجمان میتوانند با تغییر و اصلاح اکتیو دایرکتوری به همه منابع شبکه شما دسترسی پیدا کنند. به همین دلیل لازم است راهکارهای امنیتی لازم برای نظارت بر تغییرات غیرمجاز اکتیو دایرکتوری و جلوگیری از آنها و همچنین قابلیت برگرداندن سیستم به حالت امن در صورت ایجاد تغییرات غیرمجاز وجود داشته باشد.
علاوه بر این، حفظ امنیت اکتیو دایرکتوری معمولاً از جمله وظایف کم ارزش تلقی میشود اما باید آن را به عنوان یک اقدام کلیدی برای محدود کردن اثر نفوذ مهاجمان به سازمان و جلوگیری از بهرهبرداری غیرمجاز از اکتیو دایرکتوری برای نفوذ به کل شبکه دانست؛ چرا که اگر مهاجمی به اکتیو دایرکتوری نفوذ کند میتواند در طولانی مدت هر کاری را انجام دهد. این ویژگیها باعث منحصر به فرد شدن اکتیو دایرکتوری و نیاز به راهکارهای حفاظتی خاص برای اطمینان از حفظ امنیت آن شده است.
موج حملات جدید
در حال حاضر اهمیت امنیت اکتیو دایرکتوری نسبت به هر زمان دیگری بیشتر شده است. سازمانهای زیادی از اهمیت اکتیو دایرکتوری مطلع هستند ولی هنوز به مرحله امنسازی کامل آن نرسیدهاند؛ به خصوص با توجه به اینکه شیوع بیماری کرونا منجر به افزایش دورکاری کارکنان و استفاده از سرویسها و دستگاههای مبتنی بر فناوری ابر شده است.
از آنجا که اکتیو دایرکتوری یکی از مهمترین اهداف مهاجمانی است که تلاش در سرقت اطلاعات ورود به سیستمها و نصب باجافزار در کل سیستم های شبکه دارند، حتی اگر مسئولیت مستقیم عملیات روزانه آن بر عهده شما نیست همچنان باید با پیامدهای وقوع حمله بر ضد اکتیو دایرکتوری آشنا باشید.
مدیران سازمانها باید مسئول امنیت اکتیو دایرکتوری را مشخص کرده و همچنین قابلیتهای نظارت جامع بر تهدید، تشخیص و واکنش را برای محیط سازمان و محیط ابری خود پیادهسازی کنند. سازمانها با داشتن امکان پویش پیوسته دایرکتوریها جهت شناسایی آسیبپذیریها، تفسیر حملات به وقوع پیوسته و بازیابی سریع از حملات باجافزاری و نیز سایر شرایط اضطراری می توانند همواره یک گام جلوتر از مهاجمان بوده و احتمال ایجاد مخاطره برای اکتیو دایرکتوری که قاعدتاً عواقب سختی را برای سازمان خواهد داشت، به کمترین حد ممکن برسانند.
منبع: helpnetsecurity