在网络安全领域,Active Directory (AD) 至关重要。Active Directory 是每个组织的支柱,为环境中的每项重要资源提供身份验证和授权。可以说,确保Active Directory得到妥善管理和保护对于保障业务连续性和迈向成功至关重要。
Microsoft报告称,2021年针对Azure AD帐户的暴力攻击超过250亿次。《Microsoft 2022年年度数字防御报告》(2022 Annual Microsoft Digital Defense Report) 显示,88 %受影响的客户没有采用AD和Azure AD安全最佳实践。此外,Microsoft报告强调,在从攻击中恢复的客户中,不安全的Active Directory配置是首要问题之一。混合Active Directory已然成为常见攻击媒介,攻击者利用关键身份系统中的错误配置和较弱的安全状况,来获得更广泛的访问权限,以及对企业造成更大的影响
建立混合AD网络风险管理框架
为消除安全基础架构中的缺口,许多公司将其安全风险管理计划调整为常用框架,例如NIST(或其他特定于地区、行业或国家的替代框架)。NIST框架设定了一系列标准、指导准则和做法,您在保护基础架构免遭网络安全风险时应考虑这些标准、指导准则和做法。
NIST框架由以下支柱或原则组成,但企业实现却遇到更多挑战:
01
识别:确认哪些资产需要保护,以及存在哪些薄弱之处在最终识别风险过程中,了解AD中存在哪些权限以及Tier Zero资产是什么非常重要。如何识别攻击者会利用的现有途径和漏洞?您能指出作为通向整个基础架构的通道的关键媒介吗?若不了解Active Directory的这些重要组件,几乎不可能做到保护自己免受日常威胁并真正了解自己的风险状况。
保护:建立防护和抵御措施以保护关键资产目前,组织纷纷采用Azure AD和Office 365,这会增加对Active Directory的依赖,同时会使攻击面翻倍并给勒索软件和其他攻击创造更多机会。遗憾的是,针对AD的漏洞管理繁琐复杂、耗费时间,而且通常无法使用系统自带的审核工具,组策略对象(GPO) 的控制和管理可能非常棘手。Active Directory环境在不断演变和扩展,这意味着您需要涵盖的漏洞和资产也在不断演变和扩展。
检测:调查安全事件虽然检测本地和云端的配置、用户和管理员更改以及活动,对于保障安全至关重要,但Office 365和Azure AD安全日志并不提供本地和云端活动的整合视图。系统自带的工具无法轻松识别漏洞利用、漏洞和可疑活动,让您只能努力准确找出新的异常情况,以免为时已晚。
应对:制定应对措施以遏制安全事件大多数组织发现自己缺少有效的应对系统,一个能让他们快速调查、分析并在需要时还原发生任何更改前正在运行的设置和权限的系统。依靠IT部门的能力以及系统自带的工具,只会导致对上述配置和异常进行令人沮丧而耗时的搜索,同时让您认识到自己无法确定接下来应该怎么做。
恢复:发生灾难时还原各项功能和数据Microsoft的“Active Directory林恢复指南”概述了约40个概要步骤,若这些步骤无法自动执行,将很容易出错且耗费时间。执行手动流程或使用本机工具只会带来恶意软件再次入侵、停机时间延长且损失增加的风险。如果您拥有备份的访问权限,但无法自信地使用这些备份,便会让攻击者有机可乘,让他们能造成更多损害,并致使您的组织遭受更多经济和名誉损失。
Quest提供混合AD网络抗风险方案。该方案提供深度防御,能够降低NIST框架每一层的风险,从而让您能在攻击之前、期间和之后做好准备。我们混合AD网络抗风险套件中的各项解决方案互相补充,协同实现动态、全面的防御,让您能够:
识别暴露指标 (IOE),并确定攻击者可能用来入侵您环境的攻击路径的优先级。
保护您的环境,让攻击者无法更改关键组、GPO 设置或渗透您的AD数据库以窃取凭据。
通过实时审核、异常检测和警报功能来检测入侵指标 (IOC)。
无需花费数天、数周或数月时间,只需数分钟即可从各种规模的攻击中恢复,并恢复业务运营、数据完整性和客户提议按。
