От октомври 2022 г. Softline оперира под марката Noventiq.

Кибератаките се случват непрекъснато, въпреки че не четем за тях. Само през септември 2020 г. са регистрирани 13 значителни кибератаки, а този месец стана ясно, че неизвестна досега група за кибершпионаж краде документи от правителствени агенции и корпорации в Източна Европа и на Балканите от 2011 г.

Обикновено самоличността на потребителя е най-слабото звено в киберсигурността на компанията. Изследванията показват, че 81% от пробивите са причинени от кражба на лични данни, 80% от служителите използват неодобрени приложения за работа, а 73% от паролите са дублирани. Също така, друг проблем е, че хакерите най-често остават скрити за дълъг период от време. Те атакуват администратора на домейна в рамките на 24 – 48 часа и след като направят пробива, остават в домейна в продължение на месеци или години. Според анализа констатирането на атака отнема повече от 140 дни.

Какво трябва да направите в случай, че администратор на домейн стане жертва на кибератака? Веднага след като установите кибератаката, първото нещо, което трябва да направите, е да не се паникьосвате и да не предприемате необмислени действия, защото това може да помогне на нарушителите и да Ви изложи на по-голям риск при решаването на проблема. Установете защитен начин за комуникация, тъй като корпоративните комуникационни канали, като имейл, вътрешен чат и т.н., вече не са сигурни. Бъдете креативни, използвайте чат програми или други канали, които не са видими за хакерите. Създайте „оперативен пункт“, който осигурява физическа и логическа изолация от компрометираната инфраструктура.  Комуникирайте честно помежду си за това, което се случва, и как планирате да разрешите проблемите във и извън организацията. Разследвайте ситуацията, открийте какво е въздействието на атаката, създайте план и го изпълнете. Това може да отнеме дни или седмици. След като оцените въздействието на атаката, изгответе план за действие. Някои действия трябва да бъдат предприети незабавно, като спиране на използването на интернет връзка за цялата организация, смяна на пароли, възстановяване на сървъри и  домейн контролери от Backup, преинсталиране на засегнатите компютри. Важно е да не се вземат необмислени решения нито при установяването на кибератаката, нито при възстановяването на ИТ системата на организацията. Преди да вземете каквото и да е окончателно решение и да направите покупка, трябва да се запознаете с технологиите и решенията, както и с техните предимства и недостатъци, за да сте сигурни, че сте избрали и внедрили най-добрите решения.

Винаги е по-евтино и ефективно за организацията да не чака да бъде атакувана, а да е защитена и подготвена.

Защитете Вашия администратор на домейн в активната директория.

Хакерите обикновено атакуват компютъра на крайния потребител чрез фишинг, след това атакуват администратора на домейна чрез компютъра на крайния потребител. Кибернападателите се концентрират върху привилегирован достъп до системи, като активната директория, за да получат бърз достъп до всички желани данни на организацията. Привилегированите акаунти, като тези на администраторите на домейн услуги на активната директория, имат пряк или непряк достъп до повечето или всички активи на една ИТ организация, което прави компрометирането на тези акаунти значителен бизнес риск. Защо е така? Директорията е йерархична структура, която съхранява информация за обекти в мрежата. Услуги за директория, като домейн услуги на активната директория, предоставят методи за съхранение на данни за директорията и предоставяне на данните на мрежовите потребители и администратори. Например домейн услугите на активната директория съхраняват информация за потребителски акаунти, като имена, пароли, телефонни номера и т.н., и предоставят достъп до тази информация на други оторизирани потребители в същата мрежа. Сигурността е интегрирана в Active Directory чрез удостоверяване при влизане и контрол на достъпа до обекти в директорията. С едно влизане в мрежата администраторите могат да управляват данните и организацията в директорията в цялата си мрежа, а оторизираните потребители на мрежата имат достъп до ресурси навсякъде в мрежата.

Около 90% от организациите използват Active Directory от години и също така имат администратор на домейн, който има достъп до всички данни на организацията. Active Directory е защитена платформа, но също така може да бъде и уязвима. Softline от години помага на своите клиенти да защитават средата си. Открихме, че организациите често дори не знаят с колко точно администратори на домейни или приложения разполагат и те обикновено са доста повече, отколкото им е известно. Друг проблем е, че забравени групови политики и разрешения, създадени от предишни администратори, се съхраняват в Active Directory от години. В много случаи сервизните акаунти имат локални администраторски права върху приложните сървъри, което нарушава принципа на най-малките привилегии. 

Използвайте модела със слоеве на активната директория на Microsoft

Референтната архитектура на Microsoft дава съвети относно внедряването на изолация в активната директория и защитата на привилегировани акаунти. Моделът със слоеве предлага създаване на изолация на различни нива в активната директория. Целта на този модел е да защити системите за идентичност, използвайки набор от буферни зони между пълния контрол на организацията и високорисковите активи на работните станции, които често биват атакувани от хакерите.

Моделът се състои от три слоя и включва само административни акаунти:

Слой 0 – Пряк контрол на корпоративните идентичности в средата, включва акаунти, групи и други активи, които имат пряк или непряк административен контрол върху структурата на данните в активната директория, домейните или домейн контролерите и всички активи в нея.

Слой 1 – Контрол на корпоративните сървъри и приложения, включва сървърни операционни системи, облачни услуги и корпоративни приложения.

Слой 2 – Контрол на потребителски работни станции и устройства.

Нивата се отнасят за конкретна зона за сигурност, която осигурява ограничаване на заплахите за сигурността чрез изолиране на мрежовия слой между нивата. Моделът има ограничения за контрол по отношение на това, което администраторите могат да контролират. Администраторът от слой 0 може да управлява хранилището за идентичности и малък брой системи, които го контролират, както и да контролира активи на всяко ниво според необходимостта. Администраторът от слой 1 може да управлява корпоративни сървъри, услуги и приложения, както и да управлява и контролира активи в слой 1 или 2, но може да има достъп само до активи, които са доверени в слой 1 или 0. Администраторът от ниво 2 може да управлява корпоративни настолни компютри, лаптопи, принтери и други потребителски устройства, но може да управлява и контролира само активи в слой 2.

Ограничението важи и за влизането, има ограничения за контрол относно това къде администраторите могат да влизат. Администраторът от ниво 0 може да влиза само интерактивно или да има достъп до активи на слой 0, докато администраторът от слой 1 може да влиза само интерактивно в активи на слой 1, а администраторът от слой 2 може влиза интерактивно в активи на слой 2.

С цел защита на администратора на домейна в Active Directory също се препоръчва използване на работна станция с привилегирован достъп, която е защитена и заключена, предвидена да осигури защита за чувствителни акаунти и задачи. Работната станция трябва да е защитена, не трябва да има редовен потребител или имейл и никога не трябва да е достъпна дистанционно.

Внедряване на модел със слоеве във Вашата организация

Екипът на Softline има опит с внедряването на модела със слоеве в Active Directory за няколко клиента по целия свят, както и в Европа. Ние Ви помагаме по време на целия процес от оценката до изпълнението. Като първа стъпка ние анализираме ситуацията, идентифицирайки слабите звена, след което проектираме подходящия модел със слоеве за Вашата компания и инфраструктура. Осъществяваме плановете, започвайки от слой0, последван от слоеве 1 и 2. Обърнете се към експертите на Softline за консултация относно това как да защитите Вашата Active Directory.

Ако намирате тази тема за интересна, гледайте нашия уебинар и последвайте страницата ни в Linkedin, за да получавате най-актуална информация за предстоящите ни уебинари.