多數駭客能順利取得AD環境中的特權帳號,清一色是透過AD機制的漏洞或設定疏忽。而近期最知名的AD漏洞事件,莫過於編號CVE-2020-1472的Zerologon漏洞,可讓駭客輕易攻入企業Windows Active Directory(AD)網域伺服器。此漏洞被揭露之後,隨即吸引駭客藉此針對全球企業、政府組織發動攻擊,迫使微軟緊急釋出暫時緩解的修補程式。從此事件可知,企業需要一套可修正與屏蔽漏洞的工具,而Attivo Networks ADSecure正是保護AD安全的最佳工具。再搭配BotSink使用,可揪出躲藏多時的惡意程式或間諜工具。
橙鋐科技技術副總林秉忠表示,先前提到的Attivo Networks ADAssessor,是協助資安人員挖掘AD機制漏洞的好幫手,如可能遭受駭客利用來攻擊之錯誤設定等,讓資安人員能儘速處理。但在實務上,仍然會有漏洞無法修補的狀況發生,除前述提到的軟體本身漏洞外,也有因操作因素、關鍵業務流程的依賴性等,否則會出現無法呼叫資料庫主機等問題。此時,企業即可使用ADSecure隱藏和保護AD環境,達到降低被入侵的風險。
駭客要竊取AD機制環境中的帳號、密碼等資料前,必須要先了解該公司內部的網路架構,才能慢慢從各種蛛絲馬跡中找到關聯性,並透過不斷錯誤嘗試,達成取得高權限帳號的目標。而ADSecure則是在不干擾正常的業務運作下,對授權用戶之外的所有人,隱藏AD資料與整個AD基礎架構,避免給予任何可趁之機,為企業用戶的關鍵數位資產,提供最佳資安保護層。另一方面,當察覺到有未經授權的電腦或帳戶進行查詢時,ADSecure也會立即向資安人員發出告警訊息, 以便能夠在第一時間找出潛藏的問題。
橙鋐科技總經理周建全指出,引進ADSecure最大優點之一,在於無須對現有AD機制進行任何變動,完全不會影響到現行環境的運作流程。其次,這套軟體會屏蔽重要AD資訊,同時發現有非授權用戶進行查詢時,會主動回覆錯誤的資料。如果非授權用戶是駭客時,便可能會被假資料欺騙、被引導至誘餌環境中。此時,ADSecure還會持續提供完整可視性資料,協助資安人員進行後續的獵捕工作。
換句話說,即便AD軟體存在系統性的漏洞,而資訊人員沒有在第一時間安裝修補程式,此時若有ADSecure進行修正屏蔽,即可避免發生駭客入侵端點裝置後提權、水平移動,導致AD遭入侵的憾事。