Din octombrie 2022 Softline operează sub brandul Noventiq.

Atacurile cibernetice au loc în permanență, chiar dacă nu aflăm despre acestea. Doar în septembrie 2020 s-au înregistrat 13 atacuri cibernetice semnificative, iar luna aceasta s-a descoperit că un grup de spionaj cibernetic necunoscut anterior fura documente de la agenții guvernamentale și corporații din Europa de Est și din Balcani încă din 2011.

De obicei, identitatea utilizatorului este cea mai slabă verigă a securității cibernetice a unei companii. Cercetările arată că 81% dintre breșe sunt cauzate de furtul de credențiale, 80% dintre angajați folosesc aplicații neaprobate pentru serviciu și 73% din parole sunt duplicate. De asemenea, faptul că, de cele mai multe ori, hackerii rămân ascunși mult timp reprezintă o altă problemă. Aceștia compromit administratorul domeniului în termen de 24-48 de ore, apoi rămân acolo timp de luni sau ani. Conform analizei, este nevoie de mai mult de 140 de zile pentru a descoperi un atac.

Ce trebuie făcut în cazul în care administratorul dvs. de domeniu a avut parte de un atac cibernetic? Foarte pe scurt, ca prim pas, nu intrați în panică și nu faceți activități bruște și pe jumătate gândite, deoarece acest lucru ar putea ajuta atacatorii și ar putea cauza un risc și mai mare în rezolvarea problemelor. Stabiliți un mod sigur de comunicare, deoarece canalele de comunicare corporative, cum ar fi e-mailul, chat-ul intern etc. nu mai sunt sigure. Fiți creativ, folosiți programe de chat sau alte canale care nu sunt vizibile pentru hackeri. Creați o așa zisă „cameră de război” care să fie izolată fizic și din punct de vedere informațional de infrastructura compromisă.  Comunicați sincer ce se întâmplă și cum intenționați să rezolvați această problemă, atât la nivel intern, cât și la nivel extern. Începeți să investigați situația, aflați impactul atacului, faceți un plan, apoi puneți-l în practică. Acest lucru poate dura zile sau săptămâni. După ce impactul este cartografiat, începeți să pregătiți planul de acțiune pentru răspuns. Există unele acțiuni care trebuie făcute imediat, cum ar fi oprirea utilizării conexiunii la internet la nivelul întregii organizații, schimbarea parolelor, restaurarea serverelor și a controlerelor de domeniu din Backup, reinstalarea calculatoarelor afectate. Este important să nu luați decizii pripite, nici în momentul descoperirii atacului cibernetic, nici în momentul reconstrucției sistemului IT al organizației. Înainte de a lua orice decizie finală și de a face orice achiziție, informați-vă despre tehnologii și soluții, respectiv despre toate avantajele și dezavantajele acestora, pentru a vă asigura că alegeți și implementați cele mai bune soluții.

Dar este întotdeauna mai ieftin și mai eficient pentru o organizație să nu aștepte până este atacată, ci să fie protejată și pregătită.

Securizați-vă administratorul domeniului în Active Directory

Atacatorii compromit, de obicei, calculatorul unui utilizator final prin phishing, apoi compromit administratorul domeniului prin intermediul calculatorului utilizatorului final. Atacatorii cibernetici se concentrează pe accesul privilegiat la sisteme precum Active Directory, pentru a obține rapid acces la toate datele vizate de o organizație. Conturile privilegiate, cum ar fi administratorii Active Directory Domain Services, au acces direct sau indirect la majoritatea sau la toate activele dintr-o organizație IT, făcând compromiterea acestor conturi să reprezinte un risc comercial semnificativ. De ce se întâmplă asta? Un director este o structură ierarhică care stochează informații despre obiecte în rețea. Un serviciu de directoare, cum ar fi Active Directory Domain Services, oferă metode pentru stocarea datelor din director, respectiv pentru punerea acestor date la dispoziția utilizatorilor și a administratorilor de rețea. De exemplu, Active Directory Domain Services stochează informații despre conturile de utilizator, cum ar fi nume, parole, numere de telefon etc. și permite altor utilizatori autorizați din aceeași rețea să acceseze aceste informații. Securitatea este integrată în Active Directory prin autentificarea de conectare și controlul de acces pentru obiectele din director. Cu o singură conectare la rețea, administratorii pot gestiona datele și organizarea directorului în toată rețeaua lor, iar utilizatorii autorizați ai rețelei pot accesa resursele oriunde în rețea.

Aproximativ 90% dintre organizații au folosit Active Directory de ani de zile și au un administrator de domeniu care are acces la toate datele organizației. Active Directory este o platformă sigură, dar care poate fi vulnerabilă. Softline își ajută clienții de ani de zile să își protejeze mediul și am descoperit că, de cele mai multe ori, organizațiile nici nu știu numărul exact de administratori de domenii sau de administratori de aplicații, acesta fiind, de obicei, semnificativ mai mare decât cel preconizat. De asemenea, o altă problemă o reprezintă faptul că permisiunile și politicile de grup uitate au fost în Active Directory de ani de zile, fiind create de administratorii anteriori. În multe cazuri, conturile de servicii au drepturi de administrator local, pe serverele de aplicații, ceea ce încalcă principiul „privilegiilor minime”. 

Utilizați modelul administrativ de ierarhizare Microsoft Active Directory

Arhitectura de referință Microsoft oferă sfaturi despre implementarea informațiilor de izolare a Active Directory și despre securizarea conturilor privilegiate. Modelul de ierarhizare sugerează crearea izolării la diferite niveluri din Active Directory. Scopul modelului de ierarhizare este acela de a proteja sistemele de identitate, folosind un set de zone tampon între controlul complet al organizației și activele stațiilor de lucru cu risc ridicat, pe care atacatorii le compromit frecvent.

Modelul de ierarhizare este compus din trei niveluri și include doar conturi administrative:

Nivelul 0 - Control direct al identităților întreprinderii din mediul de lucru, include conturi, grupuri și alte active care au control administrativ direct sau indirect asupra Active Directory, domeniilor sau controlerelor de domeniu și totalitatea activelor din acesta.

Nivelul 1 - Controlul serverelor și al aplicațiilor întreprinderii, include sisteme de operare a serverelor, servicii cloud și aplicații specifice companiei.

Nivelul 2 - Controlul stațiilor de lucru și al dispozitivelor utilizatorului.

Nivelurile se referă la o anumită zonă de securitate care asigură limitarea amenințărilor la adresa securității, prin izolarea stratului de rețea între niveluri. Modelul de ierarhizare are restricții de control cu privire la ceea ce pot controla administratorii. Administratorul de nivelul 0 poate gestiona datele de identitate și un număr mic de sisteme care au control eficient asupra acestuia, controlând, de asemenea, activele la orice nivel, după cum este necesar. Administratorul de nivel 1 poate gestiona servere, servicii și aplicații ale întreprinderii, poate gestiona și controla activele de la nivelul 1 sau de la nivelul 2, dar poate accesa numai active de încredere la nivelurile 1 sau 0. Administratorul de nivel 2 poate gestiona desktop-uri, laptopuri, imprimante și alte dispozitive ale întreprinderii, dar poate gestiona și controla active doar la nivelul 2.

Restricția se extinde și asupra părții de conectare, acesta având restricții de control cu privire la locul din care se pot conecta administratorii. Administratorul de nivel 0 se poate conecta numai interactiv sau poate accesa activele de încredere la nivelul de nivel 0, în timp ce administratorul de nivel 1 se poate conecta numai interactiv la activele de încredere la nivelul 1, iar administratorul de nivel 2 se poate conecta numai interactiv la activele de încredere de la nivelul 2.

Pentru a asigura administrarea domeniului în Active Directory, se recomandă, de asemenea, utilizarea unor stații de lucru cu acces privilegiat, care sunt stații de lucru consolidate și blocate, concepute pentru a oferi o securitate ridicată pentru conturi și activități sensibile. Stația de lucru ar trebui să fie consolidată, nu ar trebui să aibă un utilizator sau un e-mail obișnuit și nu ar trebui să poată fi accesată de la distanță.

Implementați modelul de ierarhizare în organizația dvs.

Softline a implementat modelul de ierarhizare Active Directory pentru mai mulți clienți de la nivel mondial, precum și din Europa. Vă oferim ajutor pe tot parcursul procesului, de la evaluare, la implementare. În primul rând, analizăm situația identificând vulnerabilitățile, apoi concepem modelul adecvat de ierarhizare pentru compania și infrastructura dvs. Implementăm planurile începând cu nivelul 0, urmat de nivelul 1 și de nivelul 2. Solicitați experților Softline o îndrumare despre cum să vă consolidați Active Directory.

În cazul în care acest subiect vi s-a părut interesant, vă invităm să urmăriți și webinarul și să ne urmăriți pe pagina noastră de LinkedIn pentru a fi la curent cu următoarele noastre webinarii.