橙鋐一站式AD保护方案 助企业有效防御勒索软件
- 魏于宁/台北讯
-
无庸置疑,近两年各界最关注的网安威胁,就是勒索病毒;尤其在疫情期间,勒索软件攻击事件的发生频率可说越来越泛滥。深究其因,WFH员工的居家环境缺乏足够网安防护,让黑客有机会占领员工的电脑,进而顺着员工与公司之间的VPN连线,轻易潜入企业内网,辗转酿成营运中断、机密数据遭窃等悲剧。
有人说打蛇打七寸,对付黑客,其实也适用相同原则。就算黑客已经登堂入室,但企业只要能牢牢守护通往关键资产的要塞、也就是「目录服务」(Active Directory;AD)。就形同扼住了黑客的七寸,让他没办法走到施放勒索病毒的最后一步。有监于此,橙鋐科技日前在参与「IRCON 2021台湾信息安全事件应变研讨会」之际,就锁定AD防护这个严峻的议题,发表堪称精辟独到的见解。
橙鋐科技技术副总林秉忠指出,AD是相当便利的信息服务,因而广受企业青睐与采用,逐渐形成收容身份验证和授权信息的单一窗口,它不仅汇集内部联络人信息与帐密,甚至记录每台端点设备启用哪些服务、执行哪些服务,还可透过GPO对端点设备展开主动性的管理措施。因此,不管肇因于错误设定、Patch未更新,导致AD如此重要的资产遭到黑客掌握的话,后果着实不堪设想。
强化检测与侦察 阻止黑客抢夺AD滩头堡
林秉忠建议,企业为遏阻黑客染指AD,必须借助适当的AD防护工具,再透过有效的监控乃至于健诊等功能,一方面协助企业厘清AD系统中有哪些急待修补的漏洞,二方面当有人尝试攻击AD,防护工具也能在第一时间产生警讯,帮助企业掌控相关状况。
为协助企业强化AD防护力,橙鋐在独家代理的Attivo Networks品牌中,精选了擅于执行AD网安检测的ADAssessor,积极推广给企业评估与采用。ADAssessor是市场上少见专注于AD、且兼具IOE(Indicators of Exposure)与IOA(Indicators of Attack)探索能力的解决方案,可针对企业的AD系统,发挥检测漏洞、减少攻击面、侦察攻击、定期自动重新分析等防护综效。
但不可讳言,尽管大家爱用AD、但却未必熟悉AD,所以即便取得AD健诊报告,也不见得能有效提纲挈领、采取正确处置措施。因此橙鋐在推广Attivo ADAssessor产品之余,也用心堆叠专家顾问服务,用户若有需要,便可委由这批专家团队帮忙解读报告内容、提供修正建议。
屏蔽+诱捕 让有心人士无法接触真实AD环境
问题来了,即便企业AD系统被检测出漏洞,也不代表这些弱点100%皆可修复。林秉忠解释,有些漏洞是因为「By Design」而诞生、老早就内建于系统之中,负责提供一些查询功能,所以无法被修正。换言之,假使这些弱点落入黑客手上,他就可以清查出Domain Controller IP位址、电脑名称,甚或挖掘出特权帐号,一旦掌握这些关键信息,黑客就有机会发动攻击。
值此时刻,Attivo Networks的欺敌、诱敌技术即可派上用场。Attivo旗下有一套名为ADsecure的解决方案,非常擅长隐藏、遮蔽,凡是侦察到有企业缺省白名单之外的不明人士,意图对AD进行查询或呼叫,就立即从中拦截,不让他有任何机会接触到真实AD环境,与此同时,还会将他导向由BOTsink(为Attivo Networks所提供的另一项解决方案)建构的虚假IT环境,诱使对方踩入陷阱。
林秉忠说,ADSecure的部署方式有二,一是Monitor Mode,可协助企业清查平时有哪些使用者或应用程序与AD互动,建立AD的可视性,执行期间大约2周到1个月。另一是Protect Mode,会根据正常使用行为的清点结果,建立白名单,日后凡是比对出不在缺省范围内的访客,不管想对AD做什麽事,ADSecure都会发动屏蔽功能,着手进行诱骗。
上述诱捕概念,对于极欲守护AD的企业可说格外重要,主要是因为,像是EDR、NDR、XDR等等传统网安设备,对于成功窃取凭证、盗用身份的黑客,始终缺乏足够的识别能力;反观在「Attivo ADSecure+BOTsink」联手把关下,便能更加轻易捕捉到可疑对象,设局请他们到假环境,让他们恣意收集情资、埋设后门,但一切行为都会被记录下来,并且转化为IOC(Indicator of Compromise),传送到EDR执行深入的挖掘与分析,藉以厘清黑客的图像,再把相关线索分享到防火墙、Proxy、SIEM或SOC等其他网安设备,达到全面性网安联防效果。
总括而论,透过橙鋐所推广的ADAssessor、ADSecure及BOTsink等三大产品,即可为AD形塑扫描、屏蔽、诱捕等防护三部曲,从而阻断黑客通往企业关键资产的要道,既然「摸不到」、也就「锁不住」,让黑客无力发动勒索软件攻击。
