Search

Se till att testa vägen till hjärtat i företaget, domänen!

man-tittar-pa-data

Se till att testa vägen till hjärtat i företaget, domänen!

Domänen, hjärtat i företaget, utgör en av det absolut vitalaste delarna inom organisationen. Trots det blir säkerheten många gånger bortglömd eller eftersatt.

Säkerhet är ett allt hetare ämne och bolag investerar idag stora pengar i hopp om ett fulländat skydd för verksamheten. Det finns dock ingenting som heter 100% säkerhet och det finns alltid kryphål eller brister som en attackerare kan utnyttja. Säkerhetsavdelningen, eller främst avdelningen för etiska-hackare hos Orange Cyberdefense, ser ofta brister hos många företag kring insikten hur man bygger ett säkert nätverk. Tilltron till specifika antiviruslöningar eller den senaste brandväggen är oftast väldigt stor, men ger en vriden bild av verkligheten. De flesta säkerhetslösningar har ett specifikt ändamål och förhindrar en viss typ av hot, men en attackerare väljer alltid den enklaste vägen. Finns det sofistikerade klientskydd installerat hos bolaget väljer attackeraren istället att nyttja betrodda verktyg utgivna av exempelvis Microsoft. På detta vis kan arbiträra aktiviteter genomförda av attackeraren ses som legitima/godkända och antivirussystemet kommer inte att detektera beteendet. Att köpa säkerhetslösningar är en utmaning, om man inte besitter en bred förståelse över hur organisationen ser ut, eller har insikten hur en attackerare tänker.

Orange Cyberdefense har under många år genomfört penetrationstester. Dels mot kunders hela miljöer eller mer specifikt, den interna domänen som är själva hjärtat i organisationen. Den samlade bilder från dessa tester är att segmenteringen och hanteringen av domänen ofta är eftersatt, eller växer okontrollerat i takt med att organisationen expanderar. Det som händer i utvecklingen är att rättigheter och struktur ärvs från tidigare implementationer, man skapar en fungerande men sårbar domän vilket kan bidra till nya oanade säkerhetsbrister.

Golden Ticket till domänen

Dagligen kretsar miljontals malware i cyberspace, och figurerar på såväl hemsidor, mail och/eller sociala media, vilka kan utgöra en väg in för attackeraren. Det finns även mer sofistikerade attacker, där attackeraren finns fysiskt på plats hos företaget. Den utger sig för att vara någon annan för att få åtkomst till interna resurser inom nätverket. En besökare behöver 30 sekunder, vid en påslagen men låst dator, för att kunna extrahera lösenord alternativt installera skadlig kod på datorn. 30 sekunder är alltså allt en attackerare behöver för att öppna upp en väg in till det interna nätverket. Möjligheterna är oändliga och det är inte en fråga om, utan snarare när en attackerar tar sig in.

Hopp, hopp och återigen ett hopp. Vägen till en domänadministratör är sällan mer än två, tre hopp bort. En attackerare behöver sällan flytta sig särskilt långt lateralt inom nätverket för att komma åt kronjuvelerna, dvs domänadministratörsrättigheter. Genom att komma över denna typ av rättigheter, så äger mer eller mindre attackaren företaget. Detta leder i sin tur att vägen är öppen till samtliga servrar eller användarklienter anslutna till domänen och med fulla administratörsrättigheter. Bara tanken på att attackeraren kan ex-filtrera oändligt med data, alternativt stänga ner verksamheten är skrämmande, men ett faktum. En attackerare, med denna typ av rättigheter, kan generera en så kallad ”Golden Ticket” vilken är giltig i 10 år. Kortfattat så kan man beskriva biljetten som en bakdörr in i all domänanslutna system med fulla administratörsrättigheter. Att byta lösenord på samtliga användare i domänen har ingen som helst påverkan på biljetten, som fortfarande kommer att fungera. Den enda lösningen för att stoppa attackeraren är att bygga om domänen.

Hur kan detta vara möjligt?

Allt inom domänen bygger på förtroende, och har man väl fått åtkomst till domänen tilldelas man en rad olika rättigheter till fildelningsytor, mailservrar, skrivare etc. Detta görs för att förenkla de anställdas vardag och bygga en fungerade organisation. Ingenting konstigt med detta, men med förtroende introduceras också potentiella säkerhetsbrister. Användarvänlighet står oftast högst upp på listan, och de konton som sätts upp har generellt alldeles för höga rättigheter. Segmenteringen inom domänen är ofta obefintlig, och användare och administratörer rör sig på samma segment, vilket är drömmen för en attackerare. En rad olika säkerhetslösningar finns implementerade i organisationen, attackeraren väljer dock alltid den enklaste vägen. Den behöver sällan bryta sig in för att eskalera sina rättigheter inom organisationen. Rättigheterna finns redan, men attackerarens jobb blir att lägga det gigantiska pussel som uppstår för att hitta en väg uppåt i domänen.

Vägen till domänadministratör är oftast bara några timmar/dagar bort, och förmodligen kommer det alltid finnas en väg igenom beroende på vad attackeraren har för resurser och tid.
Det viktigaste för företag, är att höja det allmänna medvetandet kring IT-säkerhet hos alla anställda, samt genomföra kontinuerlig testning och bygga upp förmågan att identifiera en pågående attack. Den förödande konsekvensen kan bli enorm och de flesta bolag som någon gång blivit hackade vet inte ens om det, alternativt upptäcker det flera år senare när skadan redan har skett.

Se till att testa vägen till hjärtat i företaget, domänen!
-Etisk hackning för identifiering

Genom kontinuerlig testning kan den etiska hackaren identifiera sannolika vägar för en attackerare, men även bekräfta att implementerade säkerhetslösningar fungerar enligt förväntat. Tillsammans med övriga på säkerhetsavdelningar kan riktade insatser genomföras för att stärka och ytterligare säkra företagets nätverk, där attackvägar exponeras och detektering möjliggörs. Det är alltid kunden som vet bäst hur den interna organisationen fungerar, och med en säkerhetsexpert som bollplank kan man i team hitta en optimerad lösning. En lösning som fungerar mycket väl operationellt, men som även bidrar till en förbättrad säkerhet. Det grundläggande säkerhetstänket måste finns med från början. Processen är oftast lång, men det finns en väg framåt för att stärka organisationens hjärta!

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.