2022. októbere óta a Softline Noventiq márkanév alatt folytatja működését.

Nap mint nap történnek kibertámadások, még ha nem is olvasunk róluk folyamatosan. Csupán 2020 szeptemberében 13 jelentős kibertámadás történt, és szintén ebben a hónapban derült fény arra, hogy egy kiberkémkedéssel foglalkozó, korábban ismeretlen csoport 2011 óta folyamatosan tulajdonított el dokumentumokat kormányzati hivataloktól és nagyvállalatoktól Kelet-Európában és a Balkánon.

A vállalati kiberbiztonság leggyengébb láncszemét általában a felhasználói identitások jelentik. A kutatások szerint a biztonságsértések 81%-a hitelesítő adatok ellopása miatt következik be, a munkavállalók 80%-a használ nem engedélyezett alkalmazásokat munkája során, míg a használt jelszavak 73%-a nem egyedi. Problémát okoz az is, hogy a támadók legtöbbször hosszú ideig rejtőzködnek: miután 24-48 óra alatt sikerül domain rendszergazdai jogokat szerezniük, akár hónapokig vagy évekig is rejtve maradnak. Egy elemzés szerint a támadások felderítése átlagosan több mint 140 napig tart!

Mi a teendő, ha cége domain rendszergazdáját kibertámadás éri? Röviden: az első lépés, hogy ne essen pánikba, és ne cselekedjen átgondolatlanul, ezzel ugyanis segíthet a támadóknak, és még nagyobb kockázatot okozhat a probléma megoldása során. Létesítsen biztonságos kommunikációs módszert, mert a vállalati kommunikációs csatornák (pl. az e-mail, a belső chat stb.) többé nem tekinthetők biztonságosnak. Legyen kreatív, és használjon olyan csevegőprogramokat vagy más csatornákat, amelyek nem láthatók a támadók számára. Alakítson ki a megtámadott infrastruktúrától fizikailag és logikailag is elkülönített műveleti központot.  Kommunikáljon őszintén a történtekről és a tervezett megoldásról a szervezeten belül és kívül egyaránt. Kezdje meg a helyzet kivizsgálását, állapítsa meg a támadás következményeit, és dolgozza ki, majd hajtsa végre a választervet. Mindez akár több napig vagy hétig is eltarthat. A következmények feltérképezése után lásson hozzá a válaszlépéseket tartalmazó akcióterv elkészítésének. Bizonyos lépéseket azonnal végre kell hajtani: például az internetkapcsolat használatának leállítását az egész szervezetnél, a jelszavak módosítását, a szerverek és a domain vezérlők biztonsági mentésből történő helyreállítását, valamint a támadás által érintett számítógépek újratelepítését. Fontos, hogy ne hozzon elhamarkodott döntéseket, sem a kibertámadás felderítése, sem a szervezet IT-rendszereinek helyreállítása során. Mielőtt bármilyen végleges döntésre vagy beszerzésre kerülne sor, fontos, hogy tisztában legyen a különböző technológiákkal és megoldásokkal, valamint azok összes előnyével és hátrányával, hogy a lehető legjobbakat válassza közülük.

Mindig olcsóbb és hatékonyabb módszert jelent azonban, ha nem várja meg egy támadás bekövetkezését, hanem előre felkészül a védekezésre.

A domain rendszergazda védelme az Active Directoryban

A támadók általában először egy végfelhasználó számítógépe felett veszik át az irányítást adathalász módszerek segítségével, majd erről a számítógépről szerzik meg a domain rendszergazda hozzáférését. A kiberbűnözők elsősorban az Active Directoryhoz és más rendszerekhez való kiemelt jogosultságú hozzáférés („privileged access”) megszerzésére koncentrálnak, hogy gyorsan hozzáférhessenek a célpontként kiszemelt összes adathoz. A kiemelt jogosultságú fiókok, például az Active Directory Domain Services rendszergazdái közvetlen vagy közvetett hozzáféréssel rendelkeznek az IT-szervezet legtöbb – vagy akár összes – erőforrásához, ezért az ilyen fiókok feltörése jelentős üzleti kockázatot képvisel. Hogy miért? A címtár egy olyan hierarchikus struktúra, amely információkat tárol a hálózaton lévő objektumokról. Egy címtárszolgáltatás, például az Active Directory Domain Services (AD DS) biztosítja a szükséges funkciókat a címtáradatok tárolásához, valamint az adatok elérhetővé tételéhez a hálózati felhasználók és rendszergazdák számára. Az AD DS például olyan információkat tárol a felhasználói fiókokról, mint a felhasználók neve, jelszava, telefonszámai stb., és lehetővé teszi ezek elérését az ugyanezen a hálózaton lévő más jogosult felhasználók számára. Az Active Directory biztonságáról a bejelentkezések hitelesítése, valamint a címtárobjektumokhoz való hozzáférés szabályozása gondoskodik. A rendszergazdák egyetlen bejelentkezéssel kezelhetik a címtár adatait és a szervezetet a teljes hálózaton, az engedélyezett hálózati felhasználók pedig bárhol hozzáférhetnek a különböző erőforrásokhoz a hálózaton.

A szervezetek közel 90%-a már évek óta használja az Active Directoryt, és rendelkezik egy olyan domain rendszergazdával, aki a szervezet összes adatához hozzáférhet. Az Active Directory biztonságos platform, ám sebezhető lehet. A Softline hosszú évek óta segíti ügyfeleit az IT-környezetük védelmében, és tapasztalataink szerint a szervezetek gyakran nincsenek tisztában azzal, hány domain rendszergazdával vagy alkalmazás-rendszergazdával rendelkeznek – ezek száma általában jelentősen több, mint amennyiről tudnak. Gyakran jelent problémát az is, amikor a korábbi rendszergazdák által létrehozott csoportházirendek és jogosultságok éveken át ott „felejtődnek” az Active Directoryban. Sok esetben a szolgáltatásfiókok helyi rendszergazdai jogosultsággal rendelkeznek az alkalmazásszervereken, ami ellentétes a legkisebb szükséges jogosultság elvével. 

A Microsoft Active Directory többrétegű felügyeleti modelljének használata

A Microsoft referenciaarchitektúrája tanácsokat ad a megfelelő elkülönítés megvalósításához, valamint a kiemelt jogosultságú fiókok védelméhez az Active Directoryban. Az ún. többrétegű modell („Tiering Model”) az izoláció megvalósítását különböző rétegek („tier”) létrehozásával javasolja az Active Directoryban. E modell célja az identitáskezelő rendszerek védelme a szervezet teljes körű ellenőrzése, illetve a rendszeresen megtámadott, magas kockázatú munkaállomások között elhelyezkedő védőzónák segítségével.

A többrétegű modell három rétegből áll, és kizárólag a rendszergazdai fiókokra terjed ki:

0. réteg – Közvetlen ellenőrzés a környezetben lévő olyan vállalati identitások (fiókok, csoportok és egyéb objektumok) felett, amelyek közvetlen vagy közvetett rendszergazdai ellenőrzéssel rendelkeznek az Active Directory forest, a domainek, a domain vezérlők és ezek összes objektuma felett.

1. réteg – A vállalati szerverek és alkalmazások ellenőrzése, beleértve a szerverek operációs rendszereit, a felhőszolgáltatásokat és a vállalati alkalmazásokat is.

2. réteg – Felhasználói munkaállomások és eszközök ellenőrzése.

A fenti rétegek egy-egy biztonsági zónának felelnek meg, amely a hálózati réteg szintjén történő izoláció segítségével biztosítja a biztonsági fenyegetések feltartóztatását. A többrétegű modell korlátozásokat ír elő a rendszergazdák által ellenőrizhető erőforrásokra vonatkozóan. Az ún. Tier 0 rendszergazda kezelheti az identitástárolót, az azt ténylegesen ellenőrző néhány rendszert, továbbá szükség szerint tetszőleges szinten lévő erőforrásokat. A Tier 1 rendszergazda kezelheti a vállalati szervereket, szolgáltatásokat és alkalmazásokat, továbbá kezelheti és ellenőrizheti az 1.  és a 2. rétegben lévő erőforrásokat, azonban kizárólag az 1.  vagy 0. réteg szintjén megbízhatónak tartott erőforrásokhoz férhet hozzá. Végül a Tier 2 rendszergazda kezelheti a vállalati desktopokat, laptopokat, nyomtatókat és más felhasználói eszközöket, azonban csak a 2. rétegben lévő erőforrásokat kezelheti és ellenőrizheti.

A korlátozás a bejelentkezésre is kiterjed, tehát arra, hogy az egyes rendszergazdák hová jelentkezhetnek be. A Tier 0 rendszergazda kizárólag az 0. réteg szintjén megbízhatónak tartott erőforrásokhoz férhet hozzá vagy jelentkezhet be interaktívan; a Tier 1 rendszergazda csak az 1. réteg szintjén megbízhatónak tartott erőforrásokba jelentkezhet be; végül a Tier 2 rendszergazda csak a 2. réteg szintjén megbízhatónak tartott erőforrásokba jelentkezhet be.

Az Active Directoryban a domain rendszergazda védelme érdekében javasoljuk egy ún. kiemelt jogosultságú munkaállomás (Privileged Access Workstation) használatát is. E megerősített biztonságú és lekorlátozott munkaállomás célja, hogy magas biztonsági garanciákat nyújtson a bizalmas fiókok és feladatok kezeléséhez. A munkaállomást kiemelt biztonsági intézkedésekkel kell védeni, nem lehetnek rajta normál felhasználók, nem futhat rajta levelezés, és soha nem szabad távolról hozzáférni.

A többrétegű modell megvalósítása a szervezetnél

A Softline az Active Directory többrétegű modelljét már számos ügyfelénél megvalósította Európában és az egész világon. A teljes folyamat végrehajtásában segíteni tudunk, a kezdeti felméréstől a megvalósításig. Első lépésként elemezzük a fennálló helyzetet, azonosítjuk az esetleges sérülékenységeket, majd megtervezzük a vállalata és a meglévő infrastruktúra számára megfelelő többrétegű modellt. Ezt követi a terv megvalósítása, kezdve a 0., majd az 1. és a 2. réteggel. Az Active Directory biztonságának megerősítéséhez kérjen konzultációs időpontot a Softline szakértőtől!

Ha érdekesnek találta cikkünket, tekintse meg a témával foglalkozó webinárunkat, és kövesse LinkedIn-oldalunkat, ahol friss híreket olvashat közelgő webinárjainkról.