87% מהעסקים הקטנים והבינוניים באמריקה הלטינית פועלים עם הרשאות מוגזמות ב-Active Directory, לפי ביקורות עדכניות של CyberShield. מאמר זה מסביר מדוע המודל Tier 0/1/2 נזנח, כיצד כלים כמו BloodHound ו-PingCastle חושפים סיכונים נסתרים, ואילו צעדים מעשיים ניתן לנקוט כדי לצמצם את משטח ההתקפה מבלי לפגוע בפרודוקטיביות.

מדוע Active Directory הוא החוליה החלשה בעסק הקטן שלך?

Active Directory (AD) אינו רק שירות ספרייה: הוא מערכת העצבים המרכזית של האימות הארגוני. בעסקים קטנים ובינוניים, הוא נוטה לצמוח באופן אורגני — משתמש אחד עם הרשאות מנהל מקומי כאן, קבוצה עם גישה לשרתים קריטיים שם — מבלי שאיש בודק אם ההרשאות הללו באמת נחוצות. התוצאה היא הצטברות של הרשאות המפרות את עקרון ההרשאה המינימלית, מושג ש-Microsoft פורמליזציה במדריך שלה Securing Privileged Access (2016) ועדיין נותר ללא התייחסות.

הבעיה אינה טכנית, אלא תרבותית. בחברות עם פחות מ-200 עובדים, צוות ה-IT בדרך כלל מעדיף זמינות על פני אבטחה. "אם זה עובד, אל תיגע בזה" היא הפילוסופיה השלטת, ואיש אינו רוצה להיות אחראי לשבירת תהליך קריטי עקב ביטול הרשאה מיותרת. אך גישה זו גובה מחיר: לפי דו"ח של CrowdStrike (2023), 60% מהתקפות על AD מתחילות בניצול הרשאות שהוקצו באופן שגוי.

Tier 0/1/2: המודל שאיש אינו מיישם (וכיצד להתחיל)

Microsoft מציעה מודל של פילוח הרשאות לשלושה רמות:

בתיאוריה, מודל זה מגביל את ההשפעה של פריצה: אם תוקף משיג גישה לתחנת עבודה (Tier 2), הוא לא אמור להיות מסוגל להעלות הרשאות ל-Tier 1 או 0. בפועל, 90% מהעסקים הקטנים והבינוניים שבדקנו ב-CyberShield מערבבים בין הרמות הללו. לדוגמה, משתמש ב-Tier 2 עם הרשאות מנהל מקומי במחשב שלו יכול להתקין תוכנה שמעניקה לו גישה למשאבים ב-Tier 1.

הטמעת המודל אינה דורשת כלים יקרים. מספיק לבצע את הצעדים הבאים:

  1. לזהות את קבוצות האבטחה השייכות לכל Tier (באמצעות PowerShell: Get-ADGroupMember -Identity "Domain Admins").
  2. לבדוק את מדיניות הקבוצה (GPOs) המקצות הרשאות מקומיות (gpresult /h report.html).
  3. ליצור חשבונות ייעודיים לכל Tier (לדוגמה: admin_tier0, admin_tier1) ולאסור שימוש בחשבונות Tier 0 למשימות של Tier 1 או 2.

המכשול הגדול ביותר אינו טכני, אלא ההתנגדות לשינוי. "תמיד עשינו זאת כך" היא התשובה הנפוצה ביותר כאשר אנו מציעים להפריד הרשאות. אך המקרה של Maersk ב-2017 — שבו מתקפה על AD שיתקה פעילות גלובלית עם הפסדים של 300 מיליון דולר — אמור להספיק כדי לשקול מחדש.

BloodHound ו-PingCastle: הכלים שחושפים את הסיכונים הנסתרים שלך

ביקורות ידניות אינן מספיקות. כלים כמו BloodHound ו-PingCastle מנתחים את AD כדי לחשוף נתיבי התקפה נסתרים. BloodHound, במיוחד, ממפה קשרים בין משתמשים, קבוצות ומשאבים כדי לזהות דרכים שתוקף עשוי לנצל. לדוגמה, הוא יכול להראות שמשתמש ב-Tier 2 מחזיק בהרשאות לשנות סקריפט התחברות המעניק לו גישה לשרת ב-Tier 1.

PingCastle, מצידו, מייצר דו"ח מפורט עם מדדי סיכון. בביקורת אחרונה לעסק קטן ובינוני בתחום הקמעונאות במקסיקו, PingCastle זיהה:

שני הכלים הם חינמיים, אך דורשים ידע טכני כדי לפרש את התוצאות. BloodHound, למשל, משתמש במסד נתונים Neo4j כדי להציג נתיבי התקפה, מה שעלול להיות מכריע עבור צוותים ללא ניסיון בניתוח גרפים. PingCastle נגיש יותר, אך הדו"ח שלו בן 50 העמודים עלול להיות קשה לתעדוף ללא מסגרת התייחסות.

Kerberoasting: ההתקפה המנצלת את ההרשאות השגויות שלך

Kerberoasting היא התקפה המנצלת את פרוטוקול Kerberos כדי לחלץ האשים של סיסמאות מחשבונות שירות. כך היא פועלת:

  1. התוקף מזהה חשבונות שירות עם Service Principal Names (SPNs) מוגדרים.
  2. מבקש כרטיס Kerberos עבור אותו SPN (באמצעות Request-SPNTicket ב-PowerShell).
  3. מחלץ את ההאש מהכרטיס ומנסה לפצח אותו במצב לא מקוון (באמצעות כלים כמו Hashcat).

הסיכון גובר כאשר לחשבונות השירות יש הרשאות מוגזמות. במקרה שתועד על ידי FireEye (2019), תוקף השתמש ב-Kerberoasting כדי לפרוץ לחשבון שירות עם הרשאות מנהל דומיין, והעלה הרשאות ל-Tier 0 תוך פחות מ-24 שעות.

כדי לצמצם סיכון זה:

ב-CyberShield, מצאנו כי 78% מהעסקים הקטנים והבינוניים אינם מיישמים gMSAs, ו-65% אינם מנטרים אירועי Kerberos. זה משאיר אותם חשופים להתקפות שלעיתים קרובות אינן מתגלות במשך חודשים.

אסטרטגיית תיקון: כיצד לצמצם הרשאות מבלי לשבור את הפעילות

התיקון אינו פרויקט של "הכל או כלום". אנו ממליצים על גישה בשלבים:

  1. מלאי: השתמש ב-PingCastle כדי ליצור דו"ח ראשוני. תעדף סיכונים קריטיים (לדוגמה: חשבונות עם הרשאות Domain Admin).
  2. פילוח: הטמע את מודל Tier 0/1/2. התחל עם Tier 0 (Domain Admins) ועבוד כלפי מטה.
  3. אוטומציה: השתמש בסקריפטים של PowerShell כדי לבטל הרשאות מיותרות. לדוגמה: 
    # ביטול הרשאות מנהל מקומי למשתמשים לא מורשים
Get-ADComputer -Filter * | ForEach-Object {
    $computer = $_.Name
    $admins = Get-LocalGroupMember -Group "Administrators" -ComputerName $computer
    $admins | Where-Object { $_.Name -notlike "*admin_tier1*" } | Remove-LocalGroupMember -Group "Administrators" -Member $_.Name
}
  4. ניטור: הגדר התראות לשינויים בקבוצות קריטיות (לדוגמה: Domain Admins). השתמש בכלים כמו Netwrix Auditor או ManageEngine ADAudit.
  5. ביקורת מתמשכת: תזמן ביקורות רבעוניות עם BloodHound כדי לזהות נתיבי התקפה חדשים.

האתגר הגדול ביותר הוא ההתנגדות הפנימית. בעסק קטן ובינוני בתחום הלוגיסטיקה בקולומביה, צוות ה-IT טען שביטול הרשאות מנהל מקומי מהמשתמשים "יפגע בפרודוקטיביות". הפתרון היה הטמעת תהליך בקשת הרשאות זמניות: משתמשים יכלו לקבל הרשאות מוגברות ל-24 שעות, באישור המנהל ורישום ביומן. זה צמצם את ההרשאות הקבועות ב-60% מבלי לפגוע בפעילות.

מקרה אמיתי: כיצד התקפת Kerberoasting שיתקה עסק קטן ובינוני

במרץ 2023, עסק קטן ובינוני בתחום הייצור בפרו סבל מהתקפה שהתחילה ב-Kerberoasting. התוקף:

  1. פרץ לתחנת עבודה (Tier 2) באמצעות מייל פישינג.
  2. זיהה חשבון שירות עם SPN מוגדר והרשאות מנהל מקומי במספר שרתים.
  3. חילץ את ההאש של סיסמת חשבון השירות ופיצח אותה תוך פחות מ-48 שעות (הסיסמה הייתה "Servicio2023").
  4. השתמש בחשבון זה כדי לנוע לרוחב לשרת ב-Tier 1 ולבסוף לבקר דומיין (Tier 0).
  5. פרסם תוכנת כופר ברשת, הצפין 12 שרתים ו-80 תחנות עבודה.

עלות השיקום עלתה על 200,000 דולר, כולל:

הביקורת שלאחר האירוע גילתה כי:

מקרה זה אינו יוצא דופן. ב-CyberShield תיעדנו דפוסים דומים ב-40% מאירועי הכופר בעסקים קטנים ובינוניים במהלך 2023.

Active Directory אינו "בעיה של IT": זהו סיכון עסקי. עסקים קטנים ובינוניים המתעלמים מביקורת הרשאות פועלים עם פצצת זמן מתקתקת. החדשות הטובות הן שהכלים והאסטרטגיות לצמצום סיכונים אלה נמצאים בהישג יד, גם עם תקציבים מוגבלים. הצעד הראשון הוא להכיר בכך שהמודל הנוכחי — שבו ההרשאות גדלות ללא שליטה — אינו בר קיימא. הצעד השני הוא לפעול לפני שתוקף יעשה זאת במקומך. ב-CyberShield נמשיך לנתח סיכונים אלה ולשתף אסטרטגיות כדי שעסקים קטנים ובינוניים באמריקה הלטינית יוכלו לפעול בבטחה מבלי לוותר על זריזות.

מקורות

  1. Microsoft (2023). Securing Privileged Access. תיעוד רשמי. https://docs.microsoft.com/en-us/security/compass/privileged-access-strategy
  2. BloodHoundAD (2023). BloodHound Documentation. GitHub. https://github.com/BloodHoundAD/BloodHound
  3. PingCastle (2023). Active Directory Security Assessment Whitepaper. https://www.pingcastle.com/download/
  4. CrowdStrike (2023). Global Threat Report: Active Directory Attacks. https://www.crowdstrike.com/blog/active-directory-attacks/
  5. FireEye (2019). Pick Six: Intercepting a FIN6 Intrusion. https://www.fireeye.com/blog/threat-research/2019/04/pick-six-intercepting-a-fin6-intrusion.html
  6. BleepingComputer (2017). Maersk Recovering from NotPetya Attack, Cost $300 Million. https://www.bleepingcomputer.com/news/security/maersk-recovering-from-notpetya-attack-cost-300-million/
  7. NIST (2020). SP 800-207: Zero Trust Architecture. https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf
  8. CyberShield (2023). דוח שנתי לאבטחת סייבר בעסקים קטנים ובינוניים באמריקה הלטינית. נתונים פנימיים מביקורות. https://cybershieldsystem.site