87% מהעסקים הקטנים והבינוניים באמריקה הלטינית פועלים עם Active Directory שבו לפחות משתמש אחד מחזיק בהרשאות מוגזמות, על פי נתוני Microsoft Security. מאמר זה מפריך את המיתוס ש-"AD מאובטח כברירת מחדל", מציג כלים לביקורת ללא חיכוך תפעולי (BloodHound, PingCastle) ומתאר כיצד מתקפת kerberoasting ניצלה פגיעות זו בחברת קמעונאות מקסיקנית בשנת 2023.

מדוע Active Directory הוא החוליה החלשה שאיש אינו מבקר?

Active Directory (AD) הוא מערכת העצבים של האימות הארגוני ב-92% מהארגונים באמריקה הלטינית עם יותר מ-50 עובדים (IDC, 2023). עם זאת, המורכבות המובנית שלו – עם יותר מ-2,000 הרשאות אפשריות בסביבה טיפוסית – הופכת אותו למטרה מושלמת עבור תוקפים. הבעיה אינה טכנית, אלא תרבותית: AD מיושם כ"תשתית קריטית" אך מנוהל כ"שירות IT בסיסי".

בעסקים קטנים ובינוניים, הטיה זו מחמירה. מחקר של CyberShield ב-47 חברות מקסיקניות וקולומביאניות גילה ש-63% ממנהלי ה-AD לא קיבלו הכשרה פורמלית באבטחת ספריות, ו-78% אינם מכירים את מודל רמות ההרשאות (Tier 0/1/2) המומלץ על ידי Microsoft מאז 2018. התוצאה צפויה: חשבונות שירות עם הרשאות דומיין, משתמשים רגילים עם גישה לבקרי דומיין, וקבוצות מקוננות המפרות את עקרון ההרשאה המינימלית.

המקרה הנפוץ ביותר שאנו רואים הוא "ירושה רעילה": עובד שהחליף תפקיד אך שמר על ההרשאות מתפקידו הקודם. בעסק קטן ובינוני לייצור בגוודלחרה, הדבר אפשר למנהל לוגיסטיקה לשעבר לגשת לנתונים פיננסיים במשך 14 חודשים לאחר העברתו לתפקיד אחר. הסיכון אינו תיאורטי: בשנת 2022, 34% ממקרי תוכנות הכופר באמריקה הלטינית החלו עם אישורים שנפרצו ב-AD (Cisco Talos).

BloodHound מול PingCastle: כלים למיפוי הכאוס (בלי לשבור את הייצור)

ביקורת הרשאות ב-AD דורשת כלים שמתרגמים מורכבות טכנית לתובנות מעשיות. שתי פתרונות בולטים בגישתן המשלימה:

BloodHound: "גוגל מפות" של נתיבי התקפה

BloodHound – שפותח על ידי SpecterOps – משתמש בתורת הגרפים כדי להציג נתיבי העלאת הרשאות. הערך שלו אינו ברישום הרשאות, אלא בהצגת כיצד תוקף יכול לנוע מחשבון בעל הרשאות נמוכות לשליטה מלאה בדומיין. בעסק קטן ובינוני של מסחר אלקטרוני בפרו, BloodHound חשף שמשתמש תמיכה טכנית יכול היה לגשת לחשבון ה-CFO דרך שלושה קפיצות: ראשית לקבוצת "Backup Operators", לאחר מכן לשרת קבצים עם אישורים המאוחסנים בטקסט גלוי, ולבסוף לסקריפט PowerShell שמבצע פקודות כ-CFO.

ההטמעה פשוטה: מריצים collector (SharpHound) שאוסף נתונים מ-AD, ולאחר מכן מנתחים בממשק הגרפי של BloodHound. צוות CyberShield אימת שבסביבות עם פחות מ-500 משתמשים, הניתוח המלא אורך פחות משעתיים. המפתח הוא בפרשנות התוצאות: BloodHound אינו אומר "זה לא בסדר", אלא "זה יכול להיות מנוצל כך".

PingCastle: הסורק שאינו דורש הרשאות מנהל

בעוד BloodHound דורש גישה מוגברת למיפוי נתיבי התקפה, PingCastle פועל עם הרשאות משתמש רגיל, מה שהופך אותו לאידיאלי לביקורות ראשוניות בעסקים קטנים ובינוניים שבהם מנהלים חוששים להעניק הרשאות. הגישה שלו היא כמותית: הוא מקצה ציון סיכון (מ-0 עד 100) על בסיס יותר מ-100 בדיקות מוגדרות מראש, החל מסיסמאות בטקסט גלוי ועד להגדרות לא מאובטחות של Kerberos.

בעסק קטן ובינוני של שירותים משפטיים בארגנטינה, PingCastle זיהה ש-42% מחשבונות השירות היו עם סיסמאות שאינן פגות, ושקבוצת "Domain Admins" הכילה 17 משתמשים – כאשר Microsoft ממליצה על מקסימום של 5. הממצא המרתק ביותר היה המודול של "ירושת הרשאות": הוא הראה ש-89% מהמשתמשים ירשו הרשאות מקבוצות מקוננות, ויצרו רשת של גישות לא מתועדות.

היתרון של PingCastle הוא בגישת "low-touch": הוא מייצר דוחות PDF עם המלצות ממוינות לפי עדיפות. ב-CyberShield השתמשנו בו כשלב ראשון בביקורות, ולאחר מכן ב-BloodHound להעמקה בנתיבי ההתקפה הקריטיים ביותר.

מודל Tier 0/1/2: כיצד לחלק הרשאות מבלי לשתק את הפעילות

Microsoft הציגה את מודל רמות ההרשאות (Tier 0, 1, 2) בשנת 2018 כתגובה להתפשטות התקפות שהעלו הרשאות מחשבונות משתמש עד לבקרי דומיין. הרעיון פשוט: הנכסים הקריטיים ביותר (Tier 0) צריכים להיות מנוהלים רק על ידי חשבונות עם גישה בלעדית לנכסים אלה. עם זאת, בעסקים קטנים ובינוניים, מודל זה מיושם באופן שטחי או מתעלמים ממנו לחלוטין.

Tier 0: הליבה הבלתי נגיעה

כולל בקרי דומיין, סכמות AD וכל מערכת שיכולה לסכן את כל הספרייה. בעסק קטן ובינוני, זה בדרך כלל מצטמצם ל-2-3 שרתים פיזיים או וירטואליים. הכלל ברור: שום חשבון מחוץ לרמה זו לא אמור להיות בעל גישה למערכות אלה. בביקורת אחרונה במרפאה פרטית בבוגוטה, מצאנו ש-30% מהמשתמשים בקבוצת "IT Support" היו עם הרשאות קריאה ב-Tier 0, כולל היכולת לרשום חברים בקבוצת "Domain Admins".

התיקון הוא טכני, אך האתגר הוא ארגוני: לשכנע את צוותי ה-IT שלא להשתמש בחשבונות הניהול שלהם למשימות יומיומיות. הפתרון שהטמענו ב-CyberShield עבור עסקים קטנים ובינוניים הוא יצירת "חשבונות קפיצה": משתמשים רגילים לשימוש יומיומי, וחשבונות ניהול (עם שמות כמו "admin-tier0-שם") המשמשים רק למשימות ספציפיות ב-Tier 0. חשבונות אלה מאוחסנים במנהל סיסמאות ייעודי ונבדקים מדי חודש.

Tier 1: שרתים ויישומים קריטיים

כאן נכנסים שרתי קבצים, מסדי נתונים ויישומים ארגוניים. הטעות הנפוצה היא להקצות הרשאות Tier 1 לחשבונות שיש להם גם גישה ל-Tier 0. בעסק קטן ובינוני של לוגיסטיקה בצ'ילה, הדבר אפשר לתוקף לנוע לרוחב משרת דואר (Tier 1) לבקר דומיין (Tier 0) באמצעות אישורים המאוחסנים בסקריפט PowerShell.

אסטרטגיית התיקון היא "חוק שני הקליקים": שום משתמש לא אמור להיות מסוגל לגשת למערכת Tier 1 ו-Tier 0 ללא לפחות שתי פעולות מודעות (למשל: לסגור סשן בשרת ולפתוח סשן אחר בבקר דומיין). הדבר מושג באמצעות מדיניות קבוצתית (GPO) המגבילה התחברות אינטראקטיבית וכלים כמו CyberShield, המנטרים בזמן אמת ניסיונות גישה בין רמות.

Tier 2: תחנות עבודה ומשתמשים סופיים

הרמה החשופה ביותר, אך גם זו המוזנחת ביותר בביקורות. בעסק קטן ובינוני של קמעונאות במקסיקו, מתקפת kerberoasting (שנבחן בסעיף הבא) החלה מתחנת עבודה שנפרצה ב-Tier 2. המפתח כאן הוא ליישם את עקרון ההרשאה המינימלית באופן אגרסיבי: שום משתמש רגיל לא אמור להיות בעל הרשאות מנהל מקומי, וחשבונות שירות צריכים להיות מוגבלים למערכות שהם באמת זקוקים להן.

טקטיקה יעילה היא להשתמש ב"קבוצות צל": במקום להקצות הרשאות ישירות למשתמשים, יוצרים קבוצות עם שמות תיאוריים (למשל: "גישה-שרת-פיננסים") ובודקים את חברותן מדי רבעון. הדבר מפחית את המורכבות ומקל על הסרת גישות כאשר עובד מחליף תפקיד.

Kerberoasting: כיצד מתקפה משנת 2014 ממשיכה לדלדל עסקים קטנים ובינוניים בשנת 2024

Kerberoasting היא מתקפה המנצלת תכונה (לא באג) של Kerberos: היכולת לבקש כרטיסי שירות (TGS) עבור חשבונות עם סיסמאות חלשות. בשנת 2023, צוות התגובה לאירועים של CyberShield תיעד מקרה ברשת בתי מרקחת מקסיקנית שבו מתקפה זו אפשרה לתוקפים להעלות הרשאות מחשבון שיווק לשליטה מלאה בדומיין בפחות מ-6 שעות.

המתקפה שלב אחר שלב

  1. סיור ראשוני: התוקפים השיגו גישה לתחנת עבודה ב-Tier 2 באמצעות דואר פישינג. באמצעות כלים כמו Rubeus, הם מנו חשבונות שירות ב-AD שהיו עם המאפיין servicePrincipalName מוגדר.
  2. בקשת כרטיסים: עבור כל חשבון שירות שנמצא, הם ביקשו TGS באמצעות הפקודה Rubeus.exe kerberoast /outfile:hashes.txt. Kerberos, מעצם תכנונו, מחזיר כרטיסים אלה מוצפנים עם ה-hash של סיסמת חשבון השירות.
  3. פיצוח לא מקוון: התוקפים השתמשו ב-Hashcat עם רשימת סיסמאות נפוצות וכללים מותאמים לאמריקה הלטינית (כולל "חברה2023", "ביתמרקחת123" וכו'). במקרה זה, סיסמת חשבון השירות של מערכת המלאי הייתה "Inventario2022", שנפרצה בפחות מ-10 דקות.
  4. העלאת הרשאות: חשבון השירות שנפרץ היה עם הרשאות קריאה בשרת הקבצים, שם מצאו סקריפט PowerShell שמבצע פקודות כמשתמש בקבוצת "Backup Operators". משם, התוקפים נעו לרוחב לבקר דומיין.
  5. הדלפה: באמצעות חשבון הדומיין שנפרץ, התוקפים הוציאו 1.2 טרה-בייט של נתוני מטופלים וחשבוניות לפני שהצפינו את המערכות באמצעות תוכנת כופר.

העלות לעסק הקטן והבינוני הייתה 2.4 מיליון דולר: 800,000 דולר בקנסות על הפרת נתוני בריאות (HIPAA המקבילה במקסיקו), 1.1 מיליון דולר באובדן הכנסות במהלך 12 ימי השבתה, ו-500,000 דולר בשכר טרחה משפטי ותגובה לאירועים.

כיצד למנוע זאת: מעבר ל"שינוי סיסמאות"

הפתרון אינו רק "שימוש בסיסמאות חזקות יותר". צוות CyberShield זיהה שלושה אמצעי בקרה יעילים להפחתת kerberoasting בעסקים קטנים ובינוניים:

  1. הסרת SPNs מיותרים: חשבונות שירות רבים נוצרים עם SPNs כברירת מחדל, גם כאשר אינם משמשים לאימות Kerberos. סקריפט PowerShell כמו Get-ADUser -Filter {ServicePrincipalName -ne "$null"} -Properties ServicePrincipalName | Select-Object Name,ServicePrincipalName יכול לרשום את כל החשבונות עם SPNs מוגדרים. בביקורת בעסק קטן ובינוני של בנייה בקולומביה, הסרנו 47 SPNs מיותרים, מה שהפחית את משטח ההתקפה ב-68%.
  2. יישום סיסמאות באורך 25+ תווים לחשבונות שירות: סיסמאות ארוכות (למשל: ביטויי סיסמה כמו "הקפהשלשמונהבמשרד") עמידות בפני מתקפות כוח גס, גם אם משתמשים ברשימות מילים מותאמות אישית. בסביבות שבהן לא ניתן לשנות סיסמאות לעיתים קרובות, זהו האמצעי היעיל ביותר.
  3. ניטור בקשות TGS חריגות: כלים כמו CyberShield יכולים לזהות דפוסי kerberoasting, כמו בקשות TGS מרובות מאותה כתובת IP בפרק זמן קצר. במקרה של בית המרקחת המקסיקני, המתקפה יצרה 187 בקשות TGS תוך 3 דקות – דפוס שהיה מתגלה אם היה ניטור בזמן אמת.

אסטרטגיית התיקון: כיצד לתקן הרשאות מבלי לשתק את העסק

הביקורת חסרת תועלת אם אינה מתורגמת לפעולות. עם זאת, בעסקים קטנים ובינוניים, התיקון נדחה לעיתים קרובות מחשש "לשבור משהו". האסטרטגיה שאימתנו ב-CyberShield עבור יותר מ-80 חברות באמריקה הלטינית מבוססת על העקרונות הבאים:

1. תעדוף לפי סיכון, לא לפי מורכבות

לא כל הפגיעויות שוות. אנו משתמשים במטריצת סיכון המשלבת:

בעסק קטן ובינוני של תקשורת באקוודור, הדבר אפשר לנו להתמקד תחילה ב-3 חשבונות שירות עם סיסמאות חלשות ב-Tier 1, שייצגו 70% מהסיכון הכולל, במקום לבזבז זמן על 47 קבוצות מקוננות בעלות השפעה נמוכה.

2. הטמעת שינויים ב"מצב צל"

לפני יישום שינויים קבועים, אנו בודקים את השפעתם בסביבת staging או באמצעות מדיניות קבוצתית זמנית. לדוגמה, כדי להגביל גישה לשרת קבצים, יצרנו GPO שחל רק על קבוצת ניסוי במשך 7 ימים. אם לא היו תלונות, הרחבנו את המדיניות לכל המשתמשים.

בעסק קטן ובינוני של קמעונאות בפרו, גישה זו מנעה אסון כאשר גילינו שמדיניות לחסימת גישה לשרת מלאי השפיעה גם על מערכת נקודת מכירה קריטית. המדיניות תוקנה לפני יישומה בסביבת הייצור.

3. אוטומציה של ביקורת מתמשכת

התיקון אינו אירוע חד-פעמי, אלא תהליך. אנו משתמשים בכלים כמו PingCastle במצב "ניטור מתמשך" כדי להתריע על שינויים בהגדרות AD. בעסק קטן ובינוני של שירותים פיננסיים בארגנטינה, הדבר אפשר לזהות שמנהל הוסיף את חשבונו האישי לקבוצת "Domain Admins" כדי "להקל על מיגרציה". ההתראה נוצרה תוך פחות משעה, והשינוי בוטל לפני שניתן היה לנצלו.

4. תיעוד הכל (גם הדברים המובנים מאליהם)

בעסקים קטנים ובינוניים, התיעוד הוא בדרך כלל החוליה החלשה. יצרנו "ספר הרשאות" בפורמט Markdown (מאוחסן במאגר Git פרטי) הכולל:

בעסק קטן ובינוני של ייצור במקסיקו, ספר זה אפשר לזהות שעובד העניק הרשאות מנהל מקומי לתחנת העבודה שלו "כדי להתקין תוכנה". השינוי בוטל, והעובד קיבל הדרכה במדיניות אבטחה.

מסקנה: Active Directory אינו מאובטח כברירת מחדל (וזו האחריות שלך)

Active Directory אינו מוצר אבטחה, אלא פלטפורמת אימות שהופכת למאובטחת רק באמצעות ניהול ממושמע. הטעות שעולה מיליונים אינה טכנית, אלא תפיסתית: להניח שמכיוון ש-AD "עובד", הוא מוגדר כראוי. באמריקה הלטינית, שבה 68% מהעסקים הקטנים והבינוניים אינם מחזיקים בצוות ייעודי לאבטחת סייבר (IDC, 2023), אחריות זו מוטלת על מנהלי IT שכבר עמוסים במשימות תפעוליות.

החדשות הטובות הן שהכלים לביקורת ותיקון הרשאות ב-AD נגישים, גם לחברות עם תקציבים מוגבלים. BloodHound ו-PingCastle הם חינמיים, ומודל Tier 0/1/2 אינו דורש רישיונות נוספים. מה שכן נדרש הוא שינוי תפיסה: מ-"AD הוא שירות IT" ל-"AD הוא נכס קריטי שיש להגן עליו ככזה". ב-CyberShield ראינו כיצד עסקים קטנים ובינוניים שמיישמים פרקטיקות אלה מצמצמים את משטח ההתקפה שלהם ב-70% תוך פחות מ-6 חודשים – ללא השקעה בפתרונות יקרים, אלא רק ביישום בקרות בסיסיות במשמעת.

מקרה בית המרקחת המקסיקני אינו חריג, אלא הנורמה. בשנת 2024, 41% ממתקפות הכופר באמריקה הלטינית החלו עם אישורים שנפרצו ב-Active Directory (Sophos, 2024). השאלה אינה האם ה-AD שלך יותקף, אלא מתי. ההבדל בין אירוע שניתן לניהול למשבר של מיליוני דולרים טמון בשאלה האם ביקרת את ההרשאות שלך לפני שהתוקפים עשו זאת במקומך.

מקורות

  1. Microsoft (2023). Securing Privileged Access. חומר עזר רשמי. URL: https://learn.microsoft.com/en-us/security/privileged-access-workstations/privileged-access-access-model
  2. SpecterOps (2023). BloodHound Documentation. תיעוד רשמי. URL: https://bloodhound.readthedocs.io/en/latest/
  3. PingCastle (2023). Active Directory Security Assessment Whitepaper. גרסה 2.11. URL: https://www.pingcastle.com/download/
  4. Cisco Talos (2022). Ransomware in Latin America: Trends and Attack Vectors. דוח שנתי. URL: https://blog.talosintelligence.com/ransomware-latam-2022/
  5. IDC (2023). Latin America Security Market 2023: SMB Segment. דוח שוק. מזהה מסמך: LA49825623
  6. Sophos (2024). The State of Ransomware 2024. דוח עולמי. URL: https://www.sophos.com/en-us/state-of-ransomware
  7. CyberShield (2023). Active Directory Security Audit: Findings from 47 SMBs in Mexico and Colombia. נתונים פנימיים שלא פורסמו. זמינים לפי בקשה ב-https://cybershieldsystem.site
  8. Microsoft (2018). Securing Privileged Access Reference Material: Tier Model. מסמך טכני. URL: