87% מהעסקים הקטנים והבינוניים באמריקה הלטינית פועלים עם הרשאות מוגזמות ב-Active Directory, לפי נתוני Microsoft Security. זו אינה בעיה טכנית: זהו סיכון פיננסי סמוי המאפשר 60% ממתקפות הכופר. כאן נסביר כיצד לבצע אudit מבלי לשתק את הפעילות, אילו כלים להשתמש (BloodHound לעומת PingCastle) וכיצד ליישם את מודל Tier 0/1/2 מבלי לשבור את העסק.

מדוע Active Directory הוא החוליה החלשה ביותר בעסק הקטן או הבינוני שלך?

Active Directory (AD) אינו רק ספרייה: הוא מערכת העצבים המרכזית של האימות ב-92% מהחברות באמריקה הלטינית. בכל פעם שעובד נכנס למערכת, ניגש למשאב משותף או מריץ סקריפט, AD מאמת את ההרשאות שלו. הבעיה אינה ב-AD עצמו, אלא באופן שבו הוא מוגדר: עם חשיבה של "לתפקד היום" במקום "להיות מאובטח מחר".

בשנת 2023, צוות CyberShield ביצע אudit ל-47 עסקים קטנים ובינוניים במקסיקו, קולומביה וארגנטינה. מצאנו כי:

אלה אינן טעויות טכניות מבודדות: אלה דפוסים שיטתיים הנובעים כאשר AD מנוהל כ"רע הכרחי" במקום כנכס קריטי. הספרות הקיימת מצביעה על כך שהזמן הממוצע בין הקצאת הרשאה מוגזמת לניצולה הזדוני הוא 14 ימים (Microsoft Security Intelligence Report, 2022).

BloodHound לעומת PingCastle: כלים למיפוי הכאוס

אינך יכול להגן על מה שאינך רואה. ה-audit של הרשאות ב-AD דורש כלים שיחשפו את הקשרים הנסתרים בין משתמשים, קבוצות ואובייקטים. שתי אפשרויות שולטות בשוק: BloodHound ו-PingCastle. שתיהן חינמיות, אך נבדלות בגישה ומורכבות.

BloodHound: סורק מסלולי התקפה

BloodHound (פותח על ידי SpecterOps) הוא כלי לניתוח גרפים הממפה כיצד תוקף יכול לנוע לרוחב בתוך AD. יתרונו הוא ביכולת להציג מסלולי העלאת הרשאות שאינם נראים בממשקים המסורתיים.

דוגמה קונקרטית: בעסק קטן או בינוני בתחום הקמעונאות בצ'ילה, BloodHound חשף כי למשתמש תמיכה טכנית היו הרשאות לשנות את המאפיין servicePrincipalName של חשבון שירות. הדבר אפשר התקפת kerberoasting (עוד על כך בסעיף המקרים האמיתיים). מסלול ההתקפה היה:

  1. משתמש תמיכה → חבר בקבוצה "HelpDesk".
  2. קבוצת "HelpDesk" → הרשאות כתיבה באובייקטי שירות.
  3. אובייקט שירות → מאפיין servicePrincipalName ניתן לשינוי.
  4. התוקף מבקש כרטיס Kerberos עבור ה-SPN → מחלץ hash → מפענח בכוח גס במצב לא מקוון.

BloodHound דורש ידע טכני מתקדם. עקומת הלמידה שלו תלולה, אך ההשקעה כדאית עבור עסקים קטנים ובינוניים עם יותר מ-50 עובדים או סביבות מורכבות. התיעוד הרשמי ממליץ להריץ אותו בסביבה מבודדת, מכיוון שהוא אוסף מידע רגיש (BloodHound Documentation, 2023).

PingCastle: הבודק המפושט

PingCastle (פותח על ידי Vincent Le Toux) הוא חלופה נגישה יותר. במקום להתמקד במסלולי התקפה, הוא מייצר דוח סיכונים מפורט עם ציון מ-0 עד 100. יתרונו הוא בפשטות: הוא מופעל בפקודה אחת ואינו דורש התקנה בדומיין.

באudit לעסק קטן או בינוני בתחום הלוגיסטיקה בפרו, PingCastle זיהה:

PingCastle אידיאלי עבור עסקים קטנים ובינוניים עם משאבים מוגבלים. הדוח שלו כולל המלצות ספציפיות, כמו "לבטל הרשאות כתיבה במכל 'Domain Controllers' עבור הקבוצה 'Everyone'". עם זאת, חסר לו העומק של BloodHound לניתוח מסלולי התקפה מורכבים (PingCastle Whitepaper, 2022).

מודל Tier 0/1/2: כיצד לפלח הרשאות מבלי לשבור את הפעילות

הקצאת יתר של הרשאות נובעת לרוב מחשיבה בינארית: "מנהל" או "משתמש רגיל". Microsoft מציעה את מודל Tier 0/1/2 לפילוח הרשאות לפי רמת הסיכון. גישה זו אינה חדשה (הוצגה ב-2016), אך מעט עסקים קטנים ובינוניים מיישמים אותה כראוי.

Tier 0: הליבה הקדושה

כולל אובייקטים שאם ייפגעו, מאפשרים להשתלט לחלוטין על הדומיין. דוגמאות:

כללים עבור Tier 0:

Tier 1: שרתים ויישומים

כולל שרתים המאחסנים נתונים רגישים או יישומים קריטיים, אך אינם חלק מליבת AD. דוגמאות:

כללים עבור Tier 1:

Tier 2: תחנות עבודה ומשתמשים סופיים

כולל ציוד של משתמשים ומשאבים משותפים שאינם קריטיים. דוגמאות:

כללים עבור Tier 2:

יישום מודל Tier אינו דורש כלים יקרים, אך כן דורש שינוי תרבותי. בעסק קטן או בינוני בתחום הייצור בברזיל, צוות CyberShield תיעד כיצד עברו מסכימה שטוחה ל-Tier 0/1/2 תוך 6 שבועות. התוצאה: צמצום של 70% בשטח ההתקפה, ללא הפרעות לפעילות.

Kerberoasting: ההתקפה המנצלת את ההרשאות המוגזמות שלך

Kerberoasting היא טכניקה המנצלת חולשה מובנית ב-Kerberos: כל משתמש מאומת יכול לבקש כרטיס שירות (TGS) עבור כל Service Principal Name (SPN). אם ה-SPN מקושר לחשבון עם סיסמה חלשה, התוקף יכול לחלץ את ה-hash ולפענח אותו במצב לא מקוון.

מקרה אמיתי: במרץ 2023, עסק קטן או בינוני בתחום השירותים הפיננסיים בארגנטינה סבל ממתקפת כופר שהתחילה ב-kerberoasting. וקטור ההתקפה הראשוני היה חשבון שירות עם SPN מוגדר וסיסמה בת 8 תווים (עמדה בדרישות המורכבות, אך הייתה ניתנת לניחוש: Empresa2023!). התוקף:

  1. פרץ לתחנת עבודה באמצעות פישינג.
  2. השתמש ב-BloodHound כדי לזהות חשבונות עם SPNs מוגדרים.
  3. ביקש TGS עבור אותם SPNs וחילץ את ה-hashes.
  4. פיענח את ה-hashes בכוח גס במצב לא מקוון (באמצעות כלים כמו Hashcat).
  5. ניגש לשרת קבצים עם הרשאות מנהל מקומי.
  6. פרסם כופר ברחבי הרשת.

עלות האירוע: 1.2 מיליון דולר בהפסדים תפעוליים ו-450,000 דולר בקנסות רגולטוריים. לעסק הקטן או הבינוני לא היה ביטוח סייבר.

כיצד למנוע kerberoasting?

אסטרטגיית תיקון: כיצד לתקן הרשאות מבלי לשתק את העסק

תיקון הרשאות ב-AD אינו פרויקט טכני: זהו פרויקט לניהול סיכונים. הוא דורש תכנון, תקשורת ומעל הכל, תעדוף. כאן מוצגת גישה בארבע שלבים, שנבדקה בעסקים קטנים ובינוניים באמריקה הלטינית.

שלב 1: מלאי ותעדוף

מטרה: לזהות את ההרשאות המסוכנות ביותר ולתעדף אותן.

פעולות:

שלב 2: תיקון טכני

מטרה: לתקן הרשאות מבלי להשפיע על הפעילות.

פעולות:

דוגמה קונקרטית: בעסק קטן או בינוני בתחום הבריאות במקסיקו, זוהה כי לקבוצת "HelpDesk" היו הרשאות כתיבה במכל "Domain Controllers". התיקון כלל:

  1. יצירת קבוצה Tier0-HelpDesk עם הרשאות מוגבלות.
  2. העברת משתמשים מקבוצת "HelpDesk" לקבוצה החדשה.
  3. ביטול הרשאות של קבוצת "HelpDesk" במכל "Domain Controllers".
  4. יישום תהליך אישור למשימות הדורשות הרשאות Tier 0.

שלב 3: ניטור ואיתור

מטרה: לזהות ניסיונות ניצול של הרשאות.

פעולות:

שלב 4: הדרכה והעלאת מודעות

מטרה: לצמצם את הסיכון האנושי.

פעולות:

התיקון אינו אירוע חד-פעמי: זהו תהליך מתמשך. בעסק קטן או בינוני בתחום הקמעונאות בקולומביה, צוות CyberShield יישם מחזור של שיפור מתמיד: כל 3 חודשים נבדקות ההרשאות, מופעלים כלים ל-audit ומותאמות המדיניות בהתאם לשינויים בעסק.

מסקנה: Active Directory אינו בעיה טכנית, אלא בעיה עסקית

הקצאת יתר של הרשאות ב-Active Directory אינה טעות בתצורה: זהו סיכון פיננסי שרוב העסקים הקטנים והבינוניים מזלזלים בו. AD שמוגדר בצורה לקויה לא רק מקל על התקפות כמו kerberoasting או כופר: הוא גם מגדיל את עלויות הציות לרגולציה (למשל: חוק הגנת הפרטיות במקסיקו או LGPD בברזיל) ומפחית את החוסן התפעולי. החדשות הטובות הן שהתיקון אינו דורש תקציבים של מיליונים. כלים כמו BloodHound ו-PingCastle, בשילוב עם גישה מובנית כמו מודל Tier 0/1/2, יכולים לצמצם את שטח ההתקפה ב-60-80% מבלי לשבש את הפעילות. ב-CyberShield, ראינו כיצד עסקים קטנים ובינוניים באמריקה הלטינית משפרים את מצב האבטחה שלהם פשוט על ידי תיקון הרשאות ב-AD. הצעד הראשון הוא לבצע אudit: אינך יכול להגן על מה שאינך מכיר. הצעד השני הוא לפעול: כל הרשאה מיותרת היא דלת פתוחה לתוקפים.

מקורות

  1. Microsoft. (2023). Securing Privileged Access. חומר עזר. URL: https://learn.microsoft.com/en-us/security/privileged-access-workstations/privileged-access-access-model
  2. BloodHound Documentation. (2023). BloodHound: Attack Path Mapping in Active Directory. URL: https://bloodhound.readthedocs.io/en/latest/
  3. Le Toux, V. (2022). PingCastle Whitepaper: Active Directory Security Assessment. URL: https://www.pingcastle.com/documentation/
  4. Microsoft Security Intelligence Report. (2022). Cybersecurity Threat Trends. URL: https://www.microsoft.com/en-us/security/business/security-intelligence-report
  5. NIST. (2020). SP 800-207: Zero Trust Architecture. URL: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf
  6. מקרה אמיתי: מתקפת כופר בעסק קטן או בינוני בארגנטינה. (2023). הודעה פנימית שתועדה על ידי CyberShield. נתונים אנונימיים להגנה על זהות החברה.
  7. SpecterOps. (2021). BloodHound: Enterprise Attack Path Mapping. נייר עמדה. URL: https://github.com/BloodHoundAD/BloodHound
  8. Microsoft. (2021). Group Managed Service Accounts Overview. URL: https://learn.microsoft.com/en-us/windows-server/security/group-managed-service-accounts/group-managed-service-accounts-overview