https://newera17031.activehosted.com/index.php?action=social&chash=b5f1e8fb36cd7fbeb7988e8639ac79e9.3134&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=b5f1e8fb36cd7fbeb7988e8639ac79e9.3134&nosocial=1

解決方案

保護AD三部曲 ─ 從「掃描」開始

2021 / 10 / 20
編輯部
保護AD三部曲 ─ 從「掃描」開始
為獲取龐大經濟利益,駭客對企業攻擊從來沒有停止過,也對政府、民間組織造成極大傷害。近期台灣民眾印象最深刻的事件,莫過於2020年中油、台塑接連爆發內部系統遭到駭客入侵的案例,除了儲存的檔案均無法開啟之外,內部營運也受到嚴重影響,更導致部分付款機制無法正常使用,讓不少民眾的日常生活受到影響。而2019年爆發22家醫院遭到勒索軟體綁架事件,無疑是對台灣醫療體系投下震撼彈,感染途徑是透過國內的健保VPN網路,當時一度導致系統當機,其中有醫院為了能夠快速復原支付了勒索贖金並取回解密金鑰;也有醫院短時間內即確認資料庫遭受勒索病毒感染,並立即進行網路隔離與清查;同時,也有醫院成功擋下勒索病毒,因此不受此次事件影響。
 
橙鋐科技技術副總林秉忠表示,這兩起事件表面上看起來似乎沒有關聯,背後策劃攻擊的駭客組織也不相同,但其實都採取相近的攻擊模式,即入侵企業內部網路之後,開始針對Active Directory (AD)發動攻擊,藉此取得高權限帳戶後,偷偷竊取商業機密或入侵合作夥伴。事實上,2021年美國石油運輸管業者遭到入侵的事件,其實也是採取類似的攻擊模式。

AD重要性與日俱增

數位化程度愈高的企業,對AD仰賴程度日深,便於管理員工的帳號、密碼、資料存取權限等,堪稱是公司內部最重要的數位資產,所以自然也成為駭客鎖定的攻擊目標。市面上存在許多針對AD量身打造的攻擊工具,駭客除了會藉此找出AD機制的弱點和漏洞之外,也能藉此得知哪些服務帳戶有特權、哪台機器可提升帳戶的權限,乃至於哪些憑據可用於建立永久性的權利等。特別是駭客團體之間還能彼此分享情資,對於企業威脅更是難以言喻。
 
林秉忠指出,現今保護AD安全已經成為企業不容忽視的重要措施,市面上亦有業者推出相關產品,可惜幾乎清一色都是採取偵測惡意程式的作法,在駭客攻擊手法進化下,保護能力多半有限。而橙鋐科技獨家代理的欺敵技術品牌Attivo Networks採取內部專利設計的掃描、修正屏蔽、誘捕等三階段機制,透過ADAssessor、ADSecure 、TreatDedend等模組之間的搭配,可真正達到保護公司AD環境安全的目的。
Attivo ADSecure運作示意圖。駭客入侵員工個人電腦設備後,試圖獲取企業AD資訊,觸發已部署的高仿真誘餌,駭客掉入陷阱並誘發告警通知資訊安全人員,確保企業AD安全。(圖片來源:Attivo Networks)

活用ADAssessor 挖出AD潛在漏洞

知己知彼、百戰百勝,是千古不變的定律。企業若要避免發生AD遭駭客入侵的憾事,首要工作自然是必須了解現行AD機制存在哪些漏洞,才能採取相對應的修正或改善策略。因此,Attivo Networks保護AD安全的第一個步驟,就是讓資安人員運用ADAssessor 進行掃描,提升對內部網域的可視化程度,了解真正的問題。
 
林秉忠說,ADAssessor的最大特色之一, 不需要對既有 AD架構進行任何異動,只需在任何一台屬於AD環境中的電腦或虛擬機器中,安裝掃描程式即可。ADAssessor不會對 AD 架構進行破壞性的設定,而是會模擬駭客手法查詢 AD設定。當掃描評估完成,系統會自動產生評估報告,並將資料彙整至管理平台,作為後續改善的參考依據。
Attivo ADAssessor除了第一次安裝時會執行全系統掃描之外,後續也會透過持續監控與偵測等機制,找出最新發現的漏洞以及攻擊事件。當發現有威脅或漏洞產生,系統會立即發出告警,並將資訊同步彙整至Attivo雲端管理平台。(圖片來源:Attivo Networks)
資安人員從ADAssessor的管理介面中,首先是完整掃描後所偵測到的漏洞,以及該漏洞所產生的影響。系統會使用易於理解的說明,協助資安人員逐步進行補救與改善,解決AD環境中的風險。其次,在權限地圖中,系統會提供完整之端點權限可視性,以及標示有高風險權限的端點裝置。資安人員可藉此清楚掌握公司內部權限使用狀況,以及可能遭受駭客利用來攻擊的錯誤設定,也能藉此移除不必要之端點權限,無形中自然可提升AD防護等級。
 
除了第一次安裝時會執行全系統掃描之外,ADAssessor後續也會透過持續監控與偵測等機制,找出最新發現的漏洞以及攻擊事件;如可能讓攻擊者能橫向移動的漏洞 、容易被攻擊者利用的危險身分識別委派 、即時偵測進階攻擊,以及AD架構的大範圍的異常變更等等。當發現有威脅或漏洞產生,系統會立即發出告警訊息,並且將威脅偵測及告警等資訊,同步發送至雲端 Attivo 管理平台,方便資安團隊在第一時間處理。
 
現今駭客並非採取針對閘道端的強力攻擊,而是透過社交工程、垃圾郵件等迂迴方式入侵,除能躲避資安設備的偵測外,也能在企業不知情的環境下,逐步控制整個AD環境,並竊取商業機密販售。而 Attivo Networks ADAssessor正是能協助企業找出潛在漏洞,降低資安事件發生機率。