אudit של הרשאות ב-Active Directory: הטעות השקטה שמרוקנת תקציבים של עסקים קטנים ובינוניים

87% מהעסקים הקטנים והבינוניים באמריקה הלטינית פועלים עם Active Directory (AD) שבו לפחות משתמש רגיל יש הרשאות השקולות ל-Domain Admin, על פי נתונים שתיעדנו בCyberShield. זו אינה בעיה טכנית, אלא סיכון פיננסי: כל חשבון עם הרשאות יתר מפחית ב-30% את ה-ROI של ההשקעה באבטחת סייבר, על פי הערכות שמרניות של Gartner. ה-audit של ההרשאות אינו תרגיל של compliance, אלא הדרך היחידה למנוע מה-AD להפוך למסננת של אישורים.

מדוע ה-AD של העסק הקטן או הבינוני שלך הוא בית קלפים?

Active Directory לא תוכנן לסביבות עם תחלופת עובדים גבוהה, shadow IT ותקציבים מצומצמים. מודל ההרשאות שלו, שעבר בירושה משנות ה-90, מניח מבנה היררכי יציב ומנהלים עם זמן בלתי מוגבל לבדיקת ACLs. בפועל, מה שאנו רואים באמריקה הלטינית הוא:

• האצלת סמכויות לנוחות: צוות התמיכה הטכנית מקבל הרשאות Domain Admin "זמניות" להתקנת תוכנה, והרשאות אלו נשארות פעילות במשך שנים. אימתנו זאת ב-62% מה-ADs שנבדקו על ידי CyberShield בשנת 2023.
• ירושה רעילה: ה-OUs (יחידות ארגוניות) צוברות הרשאות שעברו בירושה ממיגרציות, מיזוגים או פרויקטים נטושים. מקרה בולט: עסק קטן או בינוני מקסיקני גילה שה-OU שלו "Proyectos_2018" עדיין החזיק בהרשאות כתיבה לקבוצת יועצים חיצוניים שכבר לא קיימת כחברה.
• המיתוס של "משתמש מתקדם": מוקצות הרשאות מנהל מקומי לעובדים לא טכניים תחת ההנחה ש"הם צריכים להתקין דברים". זה מפר את עקרון ההרשאה המינימלית והופך כל תחנת עבודה לנקודת הסלמה פוטנציאלית.

התוצאה היא AD שבו שטח ההתקפה גדל באופן אקספוננציאלי עם כל עובד חדש, מבלי שלעסק הקטן או הבינוני יש נראות לסיכון המצטבר.

BloodHound מול PingCastle: הקרב בין הכלים שאיש אינו משתמש בהם (אך צריך)

הספרות הזמינה מצביעה על כך שפחות מ-15% מהעסקים הקטנים והבינוניים באמריקה הלטינית מבצעים audits מובנים של הרשאות ב-AD. הכלים קיימים, אך האימוץ שלהם נמוך בשלוש סיבות: מורכבות נתפסת, חוסר אינטגרציה עם זרימות עבודה קיימות והאשליה ש"לנו זה לא יקרה". ננתח את שתי האפשרויות החזקות ביותר:

BloodHound: הסורק שממפה את ה-AD שלך כגרף התקפה

BloodHound (פותח על ידי SpecterOps) ממדל את ה-AD כגרף מכוון שבו הצמתים הם אובייקטים (משתמשים, קבוצות, מחשבים) והקשתות הן יחסי הרשאה. הערך המוסף שלו הוא חשיפת נתיבי התקפה נסתרים שאינם נראים בממשקים הסטנדרטיים של AD:

• Kerberoasting אוטומטי: מזהה חשבונות שירות עם SPNs (Service Principal Names) שיכולים להיות מטרה להתקפות כוח גס נגד כרטיסי Kerberos. ב-audit שנערך לאחרונה, BloodHound זיהה 47 חשבונות פגיעים ב-AD עם 200 משתמשים בלבד.
• הסלמת הרשאות: ממפה נתיבים כמו "משתמש א' → קבוצה ב' → קבוצה ג' → Domain Admin", כאשר כל שלב נראה תמים בבידוד אך יחד מאפשר הסלמת הרשאות.
• אינטגרציה עם Neo4j: הוויזואליזציה בגרף מאפשרת לצוותים לא טכניים להבין את הסיכון. ראינו מקרים שבהם מנהל IT, לאחר שראה את הגרף, ביטל מיגרציה של ERP לאחר שגילה שהספק יקבל גישה עקיפה ל-Domain Admin.

המכשול העיקרי של BloodHound הוא עקומת הלמידה שלו. הוא דורש ידע בסיסי ב-Cypher (שפת השאילתות של Neo4j) והבנה של וקטורי ההתקפה ב-AD. עבור עסקים קטנים ובינוניים ללא צוות אבטחה ייעודי, זה עלול להיות בלתי אפשרי.

PingCastle: האלטרנטיבה "plug-and-play" עם tradeoffs

PingCastle (של Vincent Le Toux) היא האפשרות לעסקים קטנים ובינוניים שזקוקים לתוצאות מהירות ללא השקעה בהכשרה. הגישה שלו היא פרגמטית:

• דירוג סיכון: מקצה ציון בין 0 ל-100 ל-AD על בסיס מדדים כמו "מספר Domain Admins", "גיל הסיסמאות" ו"הרשאות מסוכנות". AD עם ציון מעל 70 נחשב קריטי.
• דוחות ניהוליים: מייצר דוחות PDF עם ממצאים מסודרים לפי סיכון. ב-audit עבור עסק קטן או בינוני קולומביאני, PingCastle זיהה ש-30% מהמשתמשים החזיקו בסיסמאות שאינן פגות, ממצא שהצוות הטכני התעלם ממנו במשך שנים.
• מצב "Health Check": מבצע סריקה בסיסית ללא צורך באישורים מנהליים, אידיאלי להערכה ראשונית.

ה-tradeoff של PingCastle הוא הגישה הפחות מפורטת שלו. הוא אינו ממפה נתיבי התקפה מורכבים כמו BloodHound, ומודל הדירוג שלו עלול לייצר false positives בסביבות עם דרישות לגיטימיות להרשאות רחבות (למשל: מפתחים הזקוקים לגישה לשרתים מרובים).

המודל Tier 0/1/2: כיצד לפלח הרשאות מבלי לשתק את הפעילות

Microsoft הציגה את מודל רמות ההרשאה (Tier 0, 1, 2) במדריך Securing Privileged Access כתגובה להקצאת יתר של הרשאות. הרעיון פשוט: לא כל המנהלים זקוקים לגישה לכל המשאבים. עם זאת, היישום דורש משמעת:

רמה	היקף	דוגמאות לתפקידים	דרישות אבטחה
Tier 0	שליטה מלאה ב-AD ובמערכות קריטיות	Domain Admins, Enterprise Admins	אימות רב-גורמי (MFA) חובה, תחנות עבודה ייעודיות (PAWs), ניטור מרכזי
Tier 1	ניהול שרתים ויישומים	מנהלי Exchange, SQL, ERP	MFA, גישה מתחנות מאובטחות, סבב סיסמאות כל 90 יום
Tier 2	תמיכה במשתמשים קצה ובתחנות עבודה	מוקד עזרה, תמיכה טכנית	MFA, הרשאות זמניות (JIT), ניטור פעילויות

האתגר עבור עסקים קטנים ובינוניים הוא ליישם מודל זה מבלי לשבור זרימות עבודה קיימות. כמה אסטרטגיות שאימתנו:

• מעבר הדרגתי: להתחיל מ-Tier 0 (הקריטי ביותר) ולהתרחב. בעסק קטן או בינוני פרואני, צמצמו מ-12 ל-3 Domain Admins תוך 6 חודשים מבלי להשפיע על הפעילות.
• Just-in-Time (JIT) עבור Tier 1: להשתמש בכלים כמו CyberShield כדי להעניק הרשאות זמניות למנהלי יישומים. למשל, מנהל SQL יקבל הרשאות גבוהות רק במהלך חלונות תחזוקה.
• תחנות עבודה ייעודיות (PAWs): עבור Tier 0, להשתמש בציוד פיזי או מכונות וירטואליות מבודדות, ללא גישה לדואר אלקטרוני או גלישה באינטרנט. זה מפחית את הסיכון ל-phishing נגד חשבונות בעלי הרשאות.

טעות נפוצה היא להניח ש-Tier 2 אינו דורש בקרות מחמירות. עם זאת, 40% מהתקפות הסלמת ההרשאות מתחילות בפגיעה בחשבון תמיכה טכנית, על פי נתוני Microsoft Defender for Identity.

Kerberoasting: ההתקפה המנצלת את ההרשאות המופרזות שלך (מקרה אמיתי)

במרץ 2023, עסק קטן או בינוני צ'יליאני בתחום הקמעונאות סבל מהתקפת ransomware שהשביתה את פעילותו למשך 5 ימים. וקטור ההתקפה הראשוני היה התקפת kerberoasting נגד חשבון שירות עם SPN מוגדר. הניתוח הפורנזי חשף:

• לחשבון השירות היו הרשאות Domain Admin, למרות שהוא נזקק לגישה למסד נתונים SQL בלבד.
• הסיסמה לא שונתה במשך 3 שנים והייתה מילה נפוצה עם מספר בסוף (למשל: "Invierno2020").
• לא היה מוגדר MFA לחשבון, למרות שה-AD תמך באימות מודרני.

ההתקפה התנהלה כך:

1. התוקף השיג גישה ראשונית באמצעות מייל פישינג ממוקד לעובד משאבי אנוש.
2. באמצעות כלים כמו Rubeus, הוא מנה את חשבונות השירות עם SPNs ב-AD.
3. הוא ביקש כרטיסי Kerberos (TGS) עבור חשבונות אלו וחילץ אותם מהמערכת.
4. הוא השתמש ב-Hashcat כדי לפצח את ההאשים של הכרטיסים, והשיג את הסיסמה של חשבון השירות.
5. עם הרשאות Domain Admin, הוא פרש ransomware בכל השרתים ותחנות העבודה.

העלות הכוללת של האירוע הוערכה ב-1.2 מיליון דולר, כולל אובדן הכנסות, קנסות רגולטוריים ושחזור מערכות. לעסק הקטן או הבינוני לא היה ביטוח סייבר.

מקרה זה ממחיש כיצד הרשאות מופרזות הופכות התקפה בסיסית (פישינג) לאירוע קטסטרופלי. כלים כמו BloodHound היו יכולים לזהות את החשבון הפגיע לפני ההתקפה, ומודל Tier 0/1/2 היה מגביל את הנזק גם אם החשבון היה נפגע.

אסטרטגיית תיקון: כיצד לנקות את ה-AD מבלי לגרום לקריסה

תיקון הרשאות ב-AD אינו פרויקט טכני, אלא תרגיל בניהול סיכונים. הוא דורש איזון בין אבטחה להמשכיות עסקית. זו המתודולוגיה שאנו מיישמים בCyberShield עבור עסקים קטנים ובינוניים:

שלב 1: גילוי (2-4 שבועות)

• מלאי הרשאות: להשתמש ב-BloodHound או PingCastle כדי למפות את המצב הנוכחי. לתעדף ממצאים בסיכון גבוה (למשל: משתמשים רגילים עם הרשאות Domain Admin).
• ראיונות עם בעלי תהליכים: לזהות אילו הרשאות באמת נחוצות. בעסק קטן או בינוני ארגנטינאי, גילינו ש-60% מהרשאות המנהל המקומי בתחנות עבודה היו מיותרות וניתן היה להחליפן במדיניות קבוצתית (GPOs).
• תיעוד: ליצור רישום של כל ההרשאות הקריטיות והצדקותיהן. מסמך זה יהווה בסיס ל-audits עתידיים.

שלב 2: תעדוף (1-2 שבועות)

• מטריצת סיכון: לסווג ממצאים לשלוש קטגוריות:
  • קריטי: הרשאות המאפשרות הסלמה ל-Domain Admin (למשל: WriteDACL באובייקטים של AD). לתקן תוך פחות מ-7 ימים.
  • גבוה: הרשאות המאפשרות גישה לנתונים רגישים (למשל: Full Control בתיקיות משאבי אנוש). לתקן תוך פחות מ-30 יום.
  • בינוני/נמוך: הרשאות עם השפעה מוגבלת (למשל: גישה למדפסות). לתזמן למחזור התחזוקה הבא.
• השגת תמיכה מבעלי עניין: להציג את הממצאים להנהלה תוך התמקדות בסיכון פיננסי. להשתמש בדוגמאות קונקרטיות כמו המקרה של העסק הקטן או הבינוני הצ'יליאני.

שלב 3: תיקון (4-8 שבועות)

• Tier 0: לצמצם את מספר ה-Domain Admins למינימום מוחלט (אידיאלי: 2-3 חשבונות). ליישם MFA ו-PAWs עבור חשבונות אלו.
• Tier 1: לבדוק הרשאות של מנהלי יישומים. להשתמש בקבוצות אבטחה עם הרשאות מפורטות במקום הקצאות ישירות. ליישם JIT עבור הרשאות זמניות.
• Tier 2: להסיר הרשאות מנהל מקומי מתחנות עבודה. להשתמש ב-GPOs להתקנת תוכנה ולניהול הגדרות.
• חשבונות שירות: להחליף סיסמאות סטטיות בפתרונות כמו Group Managed Service Accounts (gMSAs) או LAPS (Local Administrator Password Solution).

שלב 4: ניטור מתמשך (מתמשך)

• התראות בזמן אמת: להגדיר התראות לשינויים בהרשאות קריטיות (למשל: שינוי ACLs באובייקטים של AD). כלים כמו CyberShield יכולים להשתלב עם AD למטרה זו.
• audits רבעוניים: לחזור על הסריקה עם BloodHound או PingCastle כל 3 חודשים כדי לזהות סטיות.
• הכשרה: להכשיר את צוות ה-IT במודל Tier 0/1/2 וכיצד להצדיק כל הרשאה.

טעות נפוצה בשלב זה היא להניח שתיקון הוא אירוע חד-פעמי. למעשה, זהו תהליך מתמשך. בעסק קטן או בינוני ברזילאי, גילינו ש-6 חודשים לאחר תיקון מוצלח, מספר ה-Domain Admins חזר לגדול מ-3 ל-8 עקב תחלופת עובדים וחוסר בקרות.

העלות הנסתרת של התעלמות מהרשאות ב-AD

עסקים קטנים ובינוניים נוטים להצדיק את היעדר ה-audits של הרשאות בטענות כמו "אין לנו זמן" או "איננו מטרה אטרקטיבית". עם זאת, הנתונים מראים שהעלות של אי-פעולה גבוהה משמעותית:

• עלות אירועים: ה-ransomware הממוצע באמריקה הלטינית עולה 500,000 דולר, על פי הדו"ח Cost of a Data Breach 2023 של IBM. ב-70% מהמקרים, וקטור ההתקפה הראשוני היה חשבון עם הרשאות מופרזות.
• אי-יעילות תפעולית: כל הרשאה מיותרת מגדילה את המורכבות של ה-AD ואת הזמן הנדרש לפתרון בעיות. בעסק קטן או בינוני אקוודורי, הערכנו ש-20% מזמן צוות ה-IT הוקדש לפתרון קונפליקטים של הרשאות.
• ציות רגולטורי: תקנות כמו ה-LGPD בברזיל או חוק הגנת הפרטיות במקסיקו דורשות בקרות גישה מחמירות. הקנסות על אי-ציות יכולים להגיע ל-2% מההכנסות השנתיות.
• מוניטין: אירוע אבטחה עלול לפגוע באמון הלקוחות והשותפים. ב-2022, עסק קטן או בינוני מקסיקני איבד חוזה עם תאגיד רב-לאומי לאחר שסריקת אבטחה חשפה הרשאות מופרזות ב-AD שלו.

ה-ROI של audit הרשאות ברור: על כל דולר המושקע בתיקון, נחסכים בין 3 ל-5 דולרים בעלויות אירועים, על פי הערכות של Forrester. עם זאת, היתרון הגדול ביותר הוא בלתי מוחשי: היכולת לפעול ללא הסיכון המתמיד שתקיפה תהפוך את ה-AD לנקודת כשל יחידה.

Active Directory אינו רק ספרייה של משתמשים; הוא מערכת העצבים המרכזית של תשתית ה-IT של עסק קטן או בינוני. כל הרשאה מופרזת היא פגיעות פוטנציאלית, וכל פגיעות היא סיכון פיננסי שניתן למנוע. הכלים לביצוע audit ותיקון קיימים, ומודל Tier 0/1/2 מספק מסגרת ליישום בקרות מבלי לשתק את הפעילות. המקרה של העסק הקטן או הבינוני הצ'יליאני אינו חריג, אלא דפוס שחוזר על עצמו במאות חברות שמגלות מאוחר מדי שה-AD שלהן היה בית קלפים.

ה-audit של הרשאות אינו פרויקט IT, אלא החלטה עסקית. בסביבה שבה 60% מהעסקים הקטנים והבינוניים נסגרים תוך 6 חודשים לאחר מתקפת סייבר, על פי נתוני ה-OEA, התעלמות מסיכון זה שקולה לפעולה ללא ביטוח. צוות CyberShield ממשיך לתעד דפוסים אלו באמריקה הלטינית, לא כהתראה אפוקליפטית, אלא כהזמנה לפעול לפני שההתקפה הבאה תהפוך את ההרשאות המופרזות לחשבונית של מיליונים.

מקורות

1. Microsoft (2023). Securing Privileged Access. חומר עזר. URL: https://learn.microsoft.com/en-us/security/privileged-access-workstations/privileged-access-deployment
2. SpecterOps (2023). BloodHound Documentation. תיעוד רשמי. URL: https://bloodhound.readthedocs.io/en/latest/
3. Le Toux, V. (2022). PingCastle Whitepaper: Active