ITWatch

Klumme: Dit Active Directory åbner døren for ransomware-angreb

Flere store vikrsomheder er blevet ramt af ransomware de senere år - og der er intet, der tyder på, at det er slut. Mange angreb involverer Active Directory, skriver Guido Grillenmeier der er teknologichef hos Semperis i denne klumme.

Foto: PR

Antallet af ransomware-angreb er steget voldsomt de seneste år. Store danske virksomheder, som Demant, Mærsk og Vestas har været ramt, men desværre er virksomheder af enhver størrelse i farezonen. Ransomware-angreb kan ramme alle og jeg er bange for, at vi står over for endnu mere kritiske angreb i fremtiden.

En af de absolut primære veje ind for de cyberkriminelle er virksomhedens identitetsstyringssystem, Active Directory (AD), som styrer digitale identiteter og brugerrettigheder i en organisation. Statistikken er skræmmende: ca. 90 pct. af alle virksomheder har oplevet sikkerhedsbrud grundet AD-sårbarheder, og ni ud af ti af alle cyberangreb involverer AD.

Det er derfor afgørende for enhver moderne virksomhed, at have styr på Active Directory-sikkerhed og gendannelsesprocesser. Det er til at forstå for de fleste, men det er ikke alle, der er klar over, hvad et AD-miljø egentlig er for en størrelse, og hvad fordelene og svaghederne er. Her kommer et kort resume:

En kort historie om Active Directory

AD er i bund og grund den port, der forbinder medarbejderne med virksomhedens netværk, såsom e-mails eller findeling. Systemet bliver administreret af administratorer, der definerer de enkelte brugeres tilladelser og adgange og autentificerer dem, når de logger på. Fordelene er til at få øje på: det er nemt at anvende og er yderst pålideligt.

Før AD blev lanceret i år 2000, kunne Microsofts mappeservere ikke skaleres til at understøtte SMV’ernes behov i tilstrækkelig grad, hvorfor de havde behov for et stort antal servere. F.eks. kunne en virksomhed med 1000 medarbejdere have brug for 200 forskellige servere for at dække it-behovet. Det var selvfølgelig en udfordring for virksomhederne. Ikke alene var alle disse individuelle servere svære at administrere, da de hver især krævede unikke loginoplysninger, men det vanskeliggjorde også aktiviteter som f.eks. fildeling, da serverne ikke let kunne kommunikere med hinanden.

Den udfordring løste AD. AD, der er nem at integrere med applikationer og giver mulighed for single sign-on (SSO) på tværs af it-miljøet, ændrede brugeroplevesen markant og gjorde hurtigt AD allestedsnærværende.

Dét har ikke ændret sig i to årtier, og fremfor at blive erstattet af nye løsninger, er denne gamle teknologi vigtigere end nogensinde og fungerer som grundlaget for de fleste cloud-identitetssystemer.

Men AD er også en sikkerhedsrisiko og er sårbar af flere årsager

1. AD er ikke designet til at kunne håndtere de komplekse sikkerhedstrusler, vi kender i dag.

2. AD er bygget med tillid til netværkets brugere for at give dem en gnidningsfri brugeroplevelse. Men dette åbne design er svær at beskytte, da der i sagens natur ikke er sat mange barrierer op. Det gør det nemt at infiltrere.

3. Mere end 20 års uhensigtsmæssige og forældede sikkerhedsforanstaltninger er akkumuleret og har skabt et attraktivt mål, som selv amatørhackere nemt kan udnytte.

Et eksempel på et populært AD-angreb er det såkaldte Golden Ticket-angreb, der giver hackeren ubegrænset adgang til alle virksomhedens netværksressourcer. Da hackeren er forklædt som bruger kan de opholde sig uset på netværket og stille og roligt gøre hvad de kom for.

Nøglerne til kongeriget

AD kan i bund og grund betragtes som nøglerne til virksomhedens kongerige, da det er det centrale knudepunkt for adgangen til kritiske systemer. Og med et blomstrende marked for Ransomware-as-a-Service (RaaS) behøver hackerne ikke længere nogen særlig teknisk snilde. Resultatet ses allerede. Analysebureauet IDC har f.eks. fundet at 37 pct. af de adspurgte globale virksomheder var offer for ransomware-angreb i 2021.

Kortlæg først jeres sårbarheder

Det være overvældende at få indsigt i hvor sårbar, man egentlig er - især for dem med begrænset viden om cybersikkerhed. For identifikation er selvfølgelig ikke nok. For effektivt at bekæmpe cyberkriminalitet skal virksomheden aktivt adoptere best practice og det omfatter alt fra regelmæssige interne sikkerhedsrevisioner og operationelle forbedringer til kontinuerlig træning af medarbejderne og investering i genoprettelse, så driften kan genoptages, hvis uheldet er ude.

Active Directory-angreb er ikke et spørgsmål om “hvis”, men “hvornår”. Hvis man tager fat på sine AD-sårbarheder, så er man dog kommet et stykke vej. Der er hjælp at hente til identifikation af AD-sårbarheder via gratis-værktøjet Purple Knight, som du kan finde her. Du kan også læse om potentielle AD-sårbarheder i denne rapport.

Mere fra ITWatch

TDC Net sejler skuden med rolig hånd

Det blev et kvartal med stabil fremgang for infrastrukturselskabet TDC Net. Omsætningen steg en anelse, men driften blev forbedret og selskabet effektiviserer sig gennem energikrisen.

Læs også

Relaterede

Seneste nyt

ITWatch job

Se flere jobs

Se flere jobs

Watch job

Se flere jobs

Se flere jobs