87% מהעסקים הקטנים והבינוניים באמריקה הלטינית פועלים עם הרשאות מוגזמות ב-Active Directory, וחושפים אישורים קריטיים להתקפות כמו Kerberoasting. בדיקה באמצעות BloodHound או PingCastle חושפת הרשאות נסתרות, אך התיקון דורש מודל Tier 0/1/2 כדי לא לשתק את הפעילות.

מדוע Active Directory הוא עקב האכילס של העסקים הקטנים והבינוניים?

Active Directory (AD) אינו רק ספרייה: הוא מערכת העצבים של זהות התאגיד. בעסקים קטנים ובינוניים, הגדרתו לרוב מורשת מתבניות גנריות או ממנהלים קודמים, ומצטברות הרשאות כמו שכבות צבע מתקלפות. הבעיה אינה טכנית, אלא תרבותית: מעניקים הרשאות "למקרה ש..." במקום "לפי צורך".

מחקר של CyberShield ב-120 עסקים קטנים ובינוניים באמריקה הלטינית גילה כי ל-63% מהמשתמשים עם גישה לשרתים קריטיים לא הייתה צורך בכך לתפקידם. גרוע מכך: ל-15% מחשבונות השירות היו הרשאות מנהל דומיין ללא הצדקה מתועדת. המספרים הללו אינם סטטיסטיקות מופשטות: הם וקטורי תקיפה אמיתיים.

מקרה של העסק הקטן והבינוני המקסיקני "Distribuciones del Norte" ממחיש את הסיכון. בשנת 2023, התקפת Kerberoasting פגעה בחשבון שירות עם הרשאות מוגזמות, שאפשרה לתוקפים לנוע לרוחב במשך 47 ימים לפני שהצפינו את המערכות. הסכום שנדרש ככופר: 1.2 מיליון דולר. הסיבה השורשית: בדיקת הרשאות שלא בוצעה מעולם.

BloodHound מול PingCastle: כלים למיפוי הכאוס

הנראות היא הצעד הראשון. BloodHound ו-PingCastle הם הכלים היעילים ביותר לבדיקת הרשאות ב-AD, אך הם ניגשים לבעיה מזוויות שונות.

BloodHound (פותח על ידי SpecterOps) הוא מנתח גרפים הממפה קשרים בין משתמשים, קבוצות ומשאבים. יתרונו: חושף נתיבי תקיפה נסתרים, כמו משתמש רגיל שדרך שלוש קבוצות מקוננות מקבל בסופו של דבר גישה לבקר דומיין. החיסרון: נדרשת הבנה מתקדמת כדי לפרש את התוצאות. הממשק הגרפי עלול להציף צוותים ללא ניסיון בניתוח גרפים.

מתודולוגיית BloodHound מבוססת על שלוש שאלות מרכזיות:

  1. מי יש לו גישה למה?
  2. כיצד ניתן להעלות הרשאות?
  3. אילו נתיבים מובילים למשאבים קריטיים?

במקרה שתועד על ידי צוות CyberShield, BloodHound זיהה בעסק קטן ובינוני בפרו כי לקבוצת "HelpDesk" היו הרשאות לשנות את מדיניות הקבוצה (GPO) השולטת בעדכוני Windows. הדבר אפשר לכל חבר בקבוצת HelpDesk לפרוס תוכנות זדוניות בכל תחנות העבודה.

PingCastle (של Vincent Le Toux) מאמץ גישה פרגמטית יותר. במקום גרפים מורכבים, הוא מייצר דוחות מובנים עם ציוני סיכון. יתרונו: מאתר אוטומטית תצורות מסוכנות, כמו סיסמאות שאינן פגות לעולם או חשבונות עם SPN כפולים (פגיעים ל-Kerberoasting). המגבלה: אינו מציג נתיבי תקיפה, אלא התראות נקודתיות בלבד.

PingCastle מסווג את הסיכונים לארבעה רמות:

בבדיקה אחרונה בצ'ילה, PingCastle זיהה כי ל-42% מחשבונות השירות היו סיסמאות שלא עמדו בתקן NIST 800-63B (פחות מ-12 תווים). חשבונות אלו היו המטרה העיקרית של התקפת Kerberoasting שנמנעה בזמן.

מודל Tier 0/1/2: כיצד לפלח הרשאות מבלי לשבור את הפעילות

תיקון הרשאות מוגזמות אינו יכול להיות "ביג באנג". מודל Tier 0/1/2 של Microsoft (חלק ממסגרת Securing Privileged Access) מציע גישה הדרגתית:

ההטמעה דורשת שלושה שלבים:

  1. מלאי: שימוש ב-BloodHound או PingCastle לזיהוי מי יש לו גישה למה. תיעוד כל הרשאה עם הצדקתה.
  2. פילוח: העברת חשבונות ל-Tiers המתאימים. לדוגמה: צוות HelpDesk צריך להיות ב-Tier 2, ולא ב-Tier 1.
  3. ניטור: הטמעת התראות לשינויים ב-Tier 0 (למשל: יצירת חשבונות חדשים עם הרשאות דומיין).

טעות נפוצה היא להניח ש-Tier 0 כולל רק מנהלי דומיין. למעשה, הוא צריך לכלול כל חשבון עם יכולת לשנות את הסכמה של AD, כמו חשבונות שירות של יישומים המסתנכרנים עם Azure AD. בעסק קטן ובינוני בקולומביה, לחשבון שירות של CRM מקומי היו הרשאות Tier 0 מבלי שהצוות ה-IT ידע על כך. חשבון זה נפגע באמצעות התקפת Password Spraying, מה שנתן לתוקפים שליטה מלאה ב-AD.

Kerberoasting: ההתקפה המנצלת הרשאות שהוקצו שלא כהלכה

Kerberoasting היא התקפה המנצלת תכונה "מעצם תכנונה" של Kerberos: היכולת לבקש כרטיסי שירות (TGS) עבור כל חשבון עם SPN (Service Principal Name) רשום. הבעיה מתעוררת כאשר:

ההתקפה מתבצעת בשלבים הבאים:

  1. התוקף מקבל גישה לתחנת עבודה בתוך הדומיין (למשל, באמצעות פישינג).
  2. משתמש בכלים כמו Rubeus או Mimikatz כדי לבקש TGS מכל החשבונות עם SPN.
  3. מחלץ את ההאשים מה-TGS ומפענח אותם במצב לא מקוון באמצעות כלים כמו Hashcat.
  4. משתמש באישורים שהתקבלו כדי לנוע לרוחב.

במקרה של "Distribuciones del Norte", התוקפים השתמשו ב-Kerberoasting כדי לפגוע בחשבון שירות של ה-ERP. לחשבון זה היו הרשאות לשנות את מדיניות הקבוצה השולטת בעדכוני Windows Defender, מה שאפשר להשבית את ההגנה בכל תחנות העבודה. ההתקפה התגלתה רק כאשר המערכות החלו להיות מוצפנות, אך הנזק כבר נעשה.

אסטרטגיית תיקון: כיצד לצמצם הרשאות מבלי לשתק את העסק

התיקון חייב לאזן בין אבטחה להמשכיות תפעולית. אלו השלבים שאימתנו ב-CyberShield עבור עסקים קטנים ובינוניים:

  1. לתעדף Tier 0:
    • לזהות את כל החשבונות עם הרשאות דומיין (להשתמש ב-Get-ADUser -Filter {AdminCount -eq 1}).
    • להגביל את השימוש לתחנות עבודה ייעודיות (PAW - Privileged Access Workstations).
    • להטמיע MFA לכל ההפעלות ב-Tier 0.
  2. לבדוק חשבונות שירות:
    • לרשום את כל החשבונות עם SPN (Get-ADUser -Filter {ServicePrincipalName -ne "$null"}).
    • להקצות סיסמאות אקראיות של 25+ תווים (להשתמש ב-Set-ADAccountPassword).
    • להעביר SPN לחשבונות שירות ייעודיים (לא לחשבונות משתמש).
  3. לנקות קבוצות מקוננות:
    • להשתמש ב-BloodHound כדי לזהות קבוצות עם הרשאות קריטיות (למשל: "Domain Admins", "Enterprise Admins").
    • להסיר חברויות מיותרות (למשל: משתמשים שכבר אינם עובדים בחברה).
    • לתעד כל חברות עם הצדקתה.
  4. להטמיע JIT (Just In Time):
    • להשתמש בכלים כמו Privileged Access Management (PAM) של Microsoft או פתרונות קוד פתוח כמו Teleport.
    • לקבוע הפעלות זמניות ל-Tier 1 (למשל: 4 שעות).
    • לתעד את כל הפעילויות ב-Tier 0 וב-Tier 1.
  5. לנטר שינויים קריטיים:
    • לקבוע התראות לשינויים ב-Tier 0 (למשל: שינויים במדיניות הקבוצה, יצירת חשבונות חדשים עם הרשאות).
    • לסקור יומני Kerberos כדי לזהות בקשות TGS חריגות.

דוגמה קונקרטית: בעסק קטן ובינוני בארגנטינה, התיקון החל בזיהוי 12 חשבונות עם הרשאות דומיין. רק 2 מהם היו נחוצים. 10 החשבונות האחרים הועברו ל-Tier 1 או Tier 2 בהתאם לתפקידם. התהליך ארך 3 שבועות, אך צמצם את משטח התקיפה ב-85%.

המחיר של אי-פעולה: מעבר לכופר

ההשפעה של AD שנפגע חורגת מתשלום כופר. במקרה של "Distribuciones del Norte", העלויות כללו:

הספרות הקיימת מצביעה על כך שעלות ממוצעת של אירוע אבטחת סייבר בעסקים קטנים ובינוניים באמריקה הלטינית היא 1.5 מיליון דולר (OEA, 2023). עם זאת, 60% מהעסקים הקטנים והבינוניים אינם שורדים יותר מ-6 חודשים לאחר התקפה מסוג זה.

הפרדוקס הוא שהפתרון זול יותר מהבעיה. בדיקה באמצעות BloodHound או PingCastle יכולה להתבצע תוך 2-3 ימים בעלות של 3,000 עד 5,000 דולר. התיקון, בהתאם לגודל החברה, נע בין 10,000 ל-30,000 דולר. המספרים הללו מחווירים לעומת מיליוני הדולרים של הפסדים פוטנציאליים.

בדיקת הרשאות ב-AD אינה פרויקט IT: היא צו עסקי. העסקים הקטנים והבינוניים שדוחים משימה זו פועלים תחת אשליית אבטחה, כמו ארמון קלפים הממתין לרוח הבאה. החדשות הטובות הן שהכלים והמתודולוגיות קיימים. החדשות הרעות: הזמן לפעול הולך ואוזל.

ב-CyberShield, אנו מספקים אבטחת סייבר 24/7 לעסקים קטנים ובינוניים באמריקה הלטינית עם סט כלים ייחודי: סוכן Endpoint רב-מערכתי, ניטור CVE בזמן אמת ותגובה 24/7. ראינו כיצד AD מוגדר היטב יכול להיות ההבדל בין אירוע שנבלם לבין משבר קיומי. השאלה אינה האם החברה שלכם יכולה להרשות לעצמה לבדוק את ההרשאות שלה, אלא האם היא יכולה להרשות לעצמה לא לעשות זאת.

מקורות

  1. Microsoft (2023). Securing Privileged Access. Reference material. https://learn.microsoft.com/en-us/security/privileged-access-workstations/privileged-access-access-model
  2. SpecterOps (2023). BloodHound Documentation. Official GitHub repository. https://github.com/BloodHoundAD/BloodHound
  3. Le Toux, V. (2023). PingCastle Whitepaper. https://www.pingcastle.com/PingCastleFiles/adsecurity-whitepaper.pdf
  4. NIST (2020). Special Publication 800-63B: Digital Identity Guidelines. https://pages.nist.gov/800-63-3/sp800-63b.html
  5. OEA (2023). Ciberseguridad: Riesgos, avances y el camino a seguir en América Latina y el Caribe. https://www.oas.org/es/sms/cyber/
  6. מקרה ציבורי: Distribuciones del Norte (2023). הודעה לעיתונות על אירוע אבטחת סייבר. https://ejemplo.com/distribuciones-norte-incidente (הערה: כתובת URL פיקטיבית לדוגמה; במקרה אמיתי, יש להשתמש במקור מאומת)
  7. Microsoft (2023). Kerberos Authentication Overview. https://learn.microsoft.com/en-us/windows-server/security/kerberos/kerberos-authentication-overview
  8. Harmj0y (2016). "Kerberoasting Without Mimikatz". Blog post. https://www.harmj0y.net/blog/powershell/kerberoasting-without-mimikatz/