גם בעידן של מחשוב ענן ובינה מלאכותית, Microsoft Active Directory AD הוא נכס בעל ערך עבור ארגונים, אך גם מטרה לתוקפים

ברבעון הראשון של השנה חלה עלייה במתקפות הסייבר העולמיות, כאשר בין המתקפות הפופולריות פישינג וכופר. הגנה על תשתית ה-Active Directory בארגון שלכם יכולה לסייע במזעור התקפות וזמן השבתה 

מאת גיא חורש

ברבעון הראשון של 2023  עלה מספר מתקפות הסייבר העולמיות ב-7% בהשוואה לאותו פרק זמן בשנה הקודמת, כך לפי לפי דו”ח של Infosecurity Magazine שפורסם באפריל. לפי מחברי הדו״ח מגזרי החינוך והמחקר הם המושפעים ביותר, וחווים בממוצע 2,507  התקפות לארגון בשבוע. התקפות כופר הפכו נפוצות יותר ויותר, ומשפיעות על אחד מתוך31 ארגונים ברחבי העולם מדי שבוע. יתר על כן, כמעט 340 מיליון אנשים הושפעו מפרצות מידע או הדלפות שדווחו בפומבי בשנת 2023.

ברבעון הראשון של 2023 התקפות פישינג נותרו טקטיקה פופולרית בקרב פושעי סייבר בשל הקלות והיעילות שלהן, במיוחד כשהאוטומציה גוברת. מחקרים מראים כי עד מחצית מכל קבצי הדוא”ל המצורפים ב-HTML הם זדוניים – שיעור זה גבוה פי שניים מהשנה שעברה, ונראה שההתקפות אינן חלק מקמפיינים המוניים שנשלחו לאנשים רבים. גם בתחום של מתקפות כופר נצפתה השנה עלייה עקב השימוש במטבעות קריפטוגרפיים וטכנולוגיות מתפתחות. זמני ההתאוששות, דרישות כופר, תשלומים ותביעות בגין הפרות נתונים ורגולציה – כולם הולכים ומתרבים. עסקים הפכו רגישים יותר להתקפות סייבר עקב פגיעות בשרשרת האספקה, כפי שניתן היה לראות באירועי Colonial Pipeline ב-2021 ו-Solar Winds ב-2020. ארה”ב היתה המדינה בה התמקדו התוקפים, כאשר קבוצות תוכנות כופר נטו להתמקד בחברות עם הכנסות שנתיות של כ-50 עד 60 מיליון דולר, ומספר זה צפוי רק לגדול בשנים הקרובות.

גם בעידן של מחשוב ענן ובינה מלאכותית, Microsoft Active Directory AD הוא נכס בעל ערך עבור ארגונים, אך הוא גם מטרה לתוקפים. תוקפים יכולים להשתמש ב-AD כדי לקבל גישה לנתונים רגישים או כדי לשבש את פעולות הרשת.

למרות שהוצג עוד בשנת 1999, Microsoft Active Directory (AD), אותה חבילת כלי שירות לניהול רשתות בארגונים, ממשיכה להיות רלוונטית גם כיום והיא נותרה מרכיב חיוני בתשתיות ה-IT של ארגונים רבים. טכנולוגיות חדשות ושירותים מבוססי ענן ממשיכים להופיע, אך AD ממשיך למלא תפקיד חיוני בניהול ואבטחת משאבים מקומיים בשל יכולות הניהול, האימות וההרשאות הריכוזיות שלו, כמו גם, האינטגרציה עם מוצרי Microsoft, המדרגיות, האבטחה ויכולות האינטגרציה בענן, ובמיוחד תחת Azure Directory. תכונות אלו הופכות אותו למרכיב קריטי בתשתיות IT בארגונים מכל הגדלים והענפים.

אבטחת Active Directory (AD) היא נושא קריטי לא רק בסביבות מקומיות, אלא גם בסביבות ענן בשל האופי הריכוזי של אימות והרשאה של חשבונות משתמשים, דרישות תאימות הקשורות לגישת משתמשים ואבטחת נתונים, אבטחת מידע רגיש, שטח תקיפה גדול יותר (במיוחד בענן) והקריטיות להמשכיות עסקית וגישה רציפה למשאבים ונתונים.

מתקפות כמו SolarWinds בשנת 2020, המתקפה על סוני בשנת 2014, המתקפה על רשת  Target ב-2013 ועל חברת האשראיEquifax  ב-2017, הן רק כמה דוגמאות לחברות שחוו מתקפות סייבר שהשפיעו על תשתית ה-Active Directory שלהן ושגרמו להשלכות חמורות על החברות ולקוחותיהם.

כיצד ניתן לאבטח ולשחזר את Active Directory במקרה של פרצת אבטחה:

  1. 1. אימות רב-גורמי (MFA): אימות רב גורמי הוא אמצעי אבטחה המחייב את המשתמשים לספק יותר מצורה אחת של אימות כדי לגשת למשאבים. זה יכול לכלול משהו שהמשתמש יודע (סיסמה), משהו שיש לו (אסימון אבטחה), או משהו שתקף רק לו (נתונים ביומטריים). MFA יכול למנוע גישה לא מורשית ל-Active Directory, גם אם תוקף גנב אישורים של משתמש.
  2. 2. הגבלת גישה מועדפת: הגבלת גישה מיוחסת ל-Active Directory היא קריטית במניעת פרצות אבטחה. רק משתמשים הזקוקים לגישה מנהלתית ל-Active Directory צריכים לקבל אותה, ויש להעניק גישה על בסיס של צורך לדעת. בנוסף, חשבונות ניהול צריכים להיות מאובטחים בסיסמאות חזקות ולעקוב אחר פעילות חשודה.
  3. 3. אכיפת מדיניות סיסמאות: יש לאכוף מדיניות סיסמאות כדי להבטיח שמשתמשים בוחרים סיסמאות חזקות ומשנים אותן באופן קבוע. סיסמאות צריכות להיות מורכבות ולכלול שילוב של אותיות גדולות וקטנות, מספרים ותווים מיוחדים. בנוסף, אין לעשות שימוש חוזר בסיסמאות או לחלוק אותן בין מספר חשבונות.
  4. 4. ניטור וביקורת: ניטור וביקורת ה-Active Directory חיוני באיתור ותגובה לפרצות אבטחה. יש להשתמש בכלי ניטור כדי לעקוב אחר שינויים באובייקטים של Active Directory ולזהות פעילות חשודה. בנוסף, יש לבצע ביקורות סדירות כדי להבטיח שהרשאות הגישה מתאימות ומעודכנות.
  5. 5. גיבוי ושחזור: יש לבצע גיבויים רגילים של ה-Active Directory כדי להבטיח שניתן לשחזר אותו במקרה של פרצת אבטחה או אסון. יש לבדוק גיבויים באופן קבוע כדי לוודא שניתן לשחזר אותם ושהנתונים המשוחזרים מדויקים ועדכניים (בשוק קיימים מספר פתרונות התאוששות ושיחזור גם כשמדובר במצב של Forest Disaster שיחסכו מכם את תסריט האימים של מיקרוסופט בעת תקלה או, שיחזור Forest).
  6. 6. היערכות מראש: יש לפתח ולבדוק תוכנית תגובה לאירועים כדי להבטיח שהארגון יכול להגיב במהירות וביעילות במקרה של פרצת אבטחה. התוכנית צריכה לכלול נהלים לזיהוי והכלתה של הפרצה, חקירת האירוע והשבת הפעילות הרגילה.

בנוסף לאמור, הנה מספר טיפים נוספים להגנה על AD:

  • שימוש בחומת אש (Firewall) כדי להגן על AD מגישה לא מורשית.
  • שימוש במערכות זיהוי חדירות (IDS) ומערכות למניעת חדירות (IPS) כדי לזהות ולמנוע התקפות על
  • הדרכת עובדים כיצד להגן על AD מפני התקפה.

לסיכום, Active Directory (AD) מהווה מרכיב קריטי בתשתית ה-IT של ארגונים רבים, ואבטחתו מפני גישה לא מורשית, פרצות נתונים והתקפות סייבר דורשת שילוב של אמצעי מניעה (MFA, הגבלת גישה, אכיפת מדיניות סיסמאות) ואמצעי בילוש (ניטור, ביקורת). בנוסף, במקרה של פרצת אבטחה, חשוב לא פחות להחזיק בתוכנית התאוששות חזקה של AD. כזו המבטיחה שהארגון יכול להתאושש במהירות מהתקיפה, לשחזר שירותים קריטיים ולמנוע נזק נוסף. תוכנית התאוששות מקיפה של AD צריכה לכלול גיבויים קבועים של מסד הנתונים של AD והגדרות התצורה, כמו גם בדיקה ואימות של הליכי השחזור כדי להבטיח שהם פועלים כהלכה.

הכותב הוא מהנדס פריסייל בחברת בינת תקשורת מחשבים


גיא חורש, בינת תקשורת מחשבים

תגובות סגורות