Data breach w Active Directory – jak przebiega proces naruszeń infrastruktury?
Bezpieczeństwo danych jest niezwykle istotne w branży IT. Szczególnie, że często dochodzi do ataków cyberprzestępców na infrastrukturę Active Directory. Część z nich jest skutecznie odpierana, jednak nie zawsze tak się dzieje. Dlatego warto dowiedzieć się, w jaki sposób dochodzi do takich ataków i jak się przed nimi skutecznie bronić.
Z jakiego powodu przeprowadzane są ataki na Active Directory?
W dzisiejszych czasach wszelki informacje podlegają digitalizacji. Tyczy się to również wrażliwych danych, których pełno jest w firmach.
Aby przeprowadzić skuteczny atak, cyberprzestępcy naruszają jedną bądź więcej gałęzi triady CIA (Confidentiality, integrity and availability) w celu przeniknięcia do infrastruktury i zdobycia dostępu do użytkowników, aplikacji oraz ukrytych danych.
Data breach w AD na podstawie realnego przykładu
Próby przełamania zabezpieczeń infrastruktury informatycznej zdarzają się niemal codziennie. Z tego powodu warto wiedzieć, jak taki atak może wyglądać w rzeczywistości. Poniżej prezentujemy przykład firmy dystrybuującej swoje rozwiązania do klientów:
- Na początku uzyskano nieautoryzowany dostęp do kont użytkowników oraz samej sieci firmowej za pomocą podatnego potencjalnie wyłączonego konta użytkownika.
- Po uzyskaniu dostępu, atakujący zdecydowali się na pozostanie w ukryciu z zachowaniem czujności na aktywność sieciową w firmie.
- W czasie ukrywania swojej obecności, zdobyto dostęp do serwerów oraz oprogramowania. Za pomocą złośliwego kodu przetestowali możliwość uzyskania dostępu do aplikacji i zainfekowania jej. Gdy to się udało, przekierowano działania na flagowe oprogramowanie firmy, które zaczęło dostarczać skażone aktualizacje.
Utworzono również backdoory w celu obejścia zabezpieczeń uwierzytelniających. - Po zakończeniu infekcji atakujący nie rozpoczęli od razu działań. Dali czas na rozprzestrzenienie się zawirusowanego oprogramowania. Po paru miesiącach atakujący ponownie włamali się do sieci firmy za pomocą wcześniej stworzonego backdoora.
- Atakujący wykorzystali integrację AD-DNS w celu monitorowania i ingerowania w topologię DNS. Pozwoliło im to ustalić serwery nazw domen najwyższego poziomu, gdzie celowali w domeny najwyższego poziomu .gov oraz .com
- Kolejnym krokiem było rozprzestrzenienie się z firmy IT zainfekowanych aktualizacji i innych powiązanych dostaw oprogramowania.
- Skażony kod spowodował, że AD zostało naruszone do stopnia w którym naruszone zostały podstawowe dane kont użytkowników. Umożliwiło to kontrolę nad zainfekowanymi kontami, zmianę polityk oraz rozbudowę botnetu.
- Za pomocą tej infekcji, atakujący mieli możliwość szpiegowania sieci kluczowych agencji rządowych oraz najważniejszych organizacji prywatnych.
Na powyższym przykładzie możemy zauważyć jak ignorowanie nietypowych aktywności w naszej sieci może przyczynić się do fatalnej w skutkach eskalacji zainfekowanego oprogramowania i reperkusji od strony klienta.
Jak się obronić przed atakiem?
Przede wszystkim nie powinniśmy bagatelizować ostrzeżeń i nietypowych aktywności. Należy monitorować aktywność sieciową oraz serwery w naszej organizacji. W celu zwiększenia ochrony warto skorzystać ze specjalistycznego oprogramowania. Jednym z nich jest OpManager który umożliwia:
- Monitorowanie sieci w czasie rzeczywistym
- Fizyczne i wirtualne monitorowanie serwerów
- Ustalenie wielopoziomowych wartości progowych
- Konfigurowalne pulpity nawigacyjne
- Monitorowanie połączenia WAN
Jeżeli jesteś zainteresowany zabezpieczeniem własnego środowiska Active Directory, zapraszamy do przetestowania aplikacji OpManager. Podczas 30 dniowego darmowego Proof of Concept będziesz mógł, wspólnie z naszym technikiem, poznać pełne możliwości tego narzędzia.
Dowiedz się więcej o OpManager
