Od oktobra 2022, Softline posluje pod blagovno znamko Noventiq.

Čeprav niso v novicah, so kibernetski napadi stalnica. Samo v letošnjem septembru je bilo zabeleženih 13 velikih kibernetskih napadov, ta mesec pa je prišlo na plano, da predhodno neznana skupina kibernetskega vohunjenja že od leta 2011 krade dokumente vladnim agencijam in korporacijam v vzhodni Evropi in na Balkanu.

Najšibkejši člen kibernetske varnosti podjetja je običajno uporabnikova identiteta. Raziskave kažejo, da 81 % vdorov povzroči kraja poverilnic, 80 % zaposlenih pri delu uporablja neodobrene aplikacije, 73 % gesel pa je dvojnikov. Težavo predstavlja tudi dejstvo, da hekerji v večini primerov ostanejo dolgo časa skriti. Administratorja domene ogrozijo v 24–48 urah, nato pa tam ostanejo mesece ali leta. Glede na analizo je za odkritje napada potrebno več kot 140 dni.

Kaj storiti, če je bil napaden vaš Domain Admin? Ni razloga za preplah in ne izvajajte nenadnih in polovičnih dejavnosti, saj bi to lahko celo pomagalo napadalcem in povzročilo še večje tveganje pri reševanju težav. Vzpostavite varen način komunikacije, ker korporativni komunikacijski kanali, kot so e-pošta, interni klepet itd., niso več varni. Bodite kreativni, uporabljajte programe za klepet ali druge kanale, ki jih hekerji ne vidijo. Ustvarite »bojno sobo«, ki zagotavlja fizično in logično izolacijo od ogrožene infrastrukture.  Iskreno sporočajte, kaj se dogaja in kako nameravate to rešiti, tako znotraj kot tudi zunaj organizacije. Začnite raziskovati situacijo, ugotovite vpliv napada, sestavite načrt in ga nato izvedite. To lahko traja več dni ali več tednov. Ko je vpliv opredeljen, začnite pripravljati odzivni akcijski načrt. Nekatera dejanja je treba izvesti takoj, na primer v celotni organizaciji prenehajte uporabljati internetno povezavo, spremenite gesla, iz varnostne kopije obnovite strežnike in krmilnike domen, znova namestite računalnike, ki jih je napad prizadel. Pomembno je, da ne sprejemate nepremišljenih odločitev ob odkritju kibernetskega napada ali pri rekonstrukciji IT-sistema organizacije. Pred kakršno koli končno odločitvijo in nakupom se zavedajte tehnologij in rešitev ter vseh njihovih prednosti in slabosti, s čimer zagotovite, da so izbrane in opravljene najboljše rešitve.

Za organizacijo pa je vedno ceneje in učinkoviteje, če ne čaka na napad, temveč je zaščitena in pripravljena.

Zaščitite svojega Domain Admina v imeniku Active Directory

Napadalci ponavadi ogrozijo računalnik končnega uporabnika z lažnim predstavljanjem, nato pa prek računalnika končnega uporabnika ogrozijo administratorja domene. Kibernetski napadalci se osredotočajo na prednostni dostop do sistemov kot je Active Directory, za hiter dostop do vseh ciljnih podatkov organizacije. Prednostni računi, kot so administratorji domenskih storitev Active Directory, imajo neposreden ali posreden dostop do večine ali vseh sredstev v IT-organizaciji, zaradi česar je ogrožanje teh računov veliko poslovno tveganje. Zakaj je temu tako? Imenik je hierarhična struktura, ki podatke o predmetih hrani v omrežju. Storitev imenika, kot so domenske storitve Active Directory, zagotavlja metode za shranjevanje podatkov imenika in njihovo dostopnost uporabnikom omrežja in administratorjem. Na primer, domenske storitve Active Directory shranjujejo informacije o uporabniških računih, kot so imena, gesla, telefonske številke itd., ter drugim pooblaščenim uporabnikom v istem omrežju omogočajo dostop do teh informacij. Varnost v Active Directory je integrirana s preverjanjem pristnosti ob prijavi in nadzorom dostopa do predmetov v imeniku. Z eno samo prijavo v omrežje lahko administratorji upravljajo podatke imenika in organizacijo v omrežju, pooblaščeni uporabniki omrežja pa lahko dostopajo do virov kjer koli v omrežju.

Približno 90 % organizacij že leta uporablja Active Directory in ima administratorja domene, ki ima dostop do vseh podatkov organizacije. Active Directory je varna platforma, ki pa je morda lahko ranljiva. Softline svojim strankam že vrsto let pomaga pri zaščiti njihovega okolja, ugotovili pa smo, da organizacije pogosto niti ne vedo, koliko administratorjev domen ali administratorjev aplikacij imajo, običajno bistveno več kot se zavedajo. Težavo predstavlja tudi to, da so v storitvi Active Directory že leta pozabljeni pravilniki skupine in dovoljenja, ki so jih ustvarili prejšnji administratorji. Računi storitev imajo pogosto lokalne skrbniške pravice na strežnikih aplikacij, kar krši načelo najmanjših pravic. 

Uporabite  Microsoft Active Directory Administrative Tier Model

Microsoftova referenčna arhitektura daje nasvete o izvajanju izolacijskega vpogleda, storitvi Active Directory in varnih prednostnih računih. Model predlaga ustvarjanje izolacije na različnih ravneh v storitvi Active Directory. Namen modela je zaščititi identitetne sisteme z uporabo varnostnih območij med popolnim nadzorom nad organizacijo in sredstvi delovnih postaj visokega tveganja, ki jih napadalci pogosto ogrozijo.

Model ravni je sestavljen iz treh stopenj in vključuje samo skrbniške račune:

0. raven – Neposredni nadzor nad identitetami podjetja v okolju vključuje račune, skupine in druga sredstva, ki imajo neposreden ali posreden skrbniški nadzor nad t.i. Active Directory Forest-om, domenami ali krmilniki domen Active Directory in vsemi sredstvi v njem.

1. raven – Nadzor strežnikov in aplikacij podjetja vključuje strežniške operacijske sisteme, storitve v oblaku in aplikacije podjetja.

2. raven – Nadzor uporabniških delovnih postaj in naprav.

Ravni se nanašajo na določeno varnostno območje, ki zagotavlja omejitev varnostnih groženj z izoliranjem omrežne plasti med ravnmi. Model ravni ima omejitve nadzora glede tega, kaj lahko administratorji nadzorujejo. Administrator 0. ravni lahko upravlja shrambo identitet in majhno število sistemov, ki jo učinkovito nadzorujejo, če je treba pa tudi nadzoruje sredstva na katerem koli nivoju. Administrator 1. ravni lahko upravlja strežnike, storitve in aplikacije v podjetju, prav tako upravlja in nadzoruje sredstva na 1. ali 2. ravni, vendar lahko dostopa le do sredstev, ki so zaupanja vredna na nivoju 1. ali 0. ravni. Administrator 2. ravni lahko upravlja namizja, prenosnike, tiskalnike in druge uporabniške naprave podjetja, lahko pa upravlja in nadzoruje le sredstva na 2. ravni.

Omejitev se razširi tudi na prijavo in ima omejitve nadzora glede tega, kje se lahko administratorji prijavijo. Administrator 0. ravni se lahko prijavi samo interaktivno ali dostopa do sredstev, ki so zaupanja vredna na nivoju 0. ravni, medtem ko se administrator 1. ravni lahko interaktivno prijavi samo do sredstev, ki so zaupanja vredna na nivoju 1. ravni, administrator 2. ravni pa se lahko interaktivno prijavi samo na sredstva, ki so zaupanja vredna na nivoju 2. ravni.

Za zaščito administratorja domene v storitvi Active Directory priporočamo tudi uporabo delovne postaje s prednostnim dostopom, ki je okrepljena in zaklenjena delovna postaja, namenjena zagotavljanju visokih varnostnih zagotovil za občutljive račune in opravila. Delovna postaja mora biti okrepljena, ne sme imeti običajnega uporabnika ali e-pošte in nikoli nima omogočenega oddaljenega dostopa.

V svoji organizaciji uvedite model ravni

Softline je uvedel  Active Directory Tiering Model za več strank po vsem svetu in v Evropi. Pomagamo vam skozi celoten postopek od ocenjevanja do izvajanja. V prvem koraku analiziramo situacijo s prepoznavanjem ranljivosti, nato pa oblikujemo ustrezen model ravni za vaše podjetje in infrastrukturo. Načrte izvajamo tako, da začnemo z 0. ravnjo, sledita 1. raven in 2. raven.

Vprašajte strokovnjake Softline za nasvet, kako okrepiti vaš Active Directory.

Če se vam je ta tema zdela zanimiva, si oglejte naš spletni seminar in spremljajte našo stran na omrežju Linkedin, kjer najdete sveže novice o naših naslednjih spletnih seminarjih.