Et felles Active Directory for alt øker sårbarheten

Det er mulig å øke motstandskraften i nettet for å unngå angrep.

Et felles Active Directory for alt øker sårbarheten
Lars Petter Hosøy er løsningsarkitekt og partner i Sicra.

Hvorfor er det så enkelt å bryte seg inn i en organisasjons nettverk og kryptere alle data en kommer over? Skyldes det slepphendthet eller at løsningene er basert på en arkitektur som ikke lenger kan motstå angrep?

Det er unødvendig å innlede en artikkel som denne med å liste opp alle angrepene vi har sett mot ulike norske organisasjoner. Dessverre ser de fleste i vår bransje at destruktive angrep er noe som rykker stadig nærmere.

Jeg bet meg litt merke i uttalelsen fra teknologidirektør Kari Anna Fiskvik i Choice-kjeden: «Det er rimelig enighet på tvers både hos Kripos og Nasjonal sikkerhetsmyndighet om at det nesten er umulig å beskytte seg mot dette. Det som ikke er umulig, er å planlegge hva du skal gjøre når det inntreffer».

Kjernen av problemet i dagens nettverksløsninger

Løsningen for Choice for å redusere eksponering er å rulle ut Chrome-OS som arbeidsstasjonsplattform i organisasjonen. Det de oppnår med dette er å bryte den tette bindingen mellom arbeidsstasjoner og serverløsninger. Slik blir det vanskeligere for en angriper som via en e-post får kjørt kode på en arbeidsstasjon å kunne forflytte seg videre innover i nettet via åpninger som må være der om arbeidsstasjonen kjørte Windows i Active Directory.

Her er vi ved kjernen av problemet i dagens nettverksløsninger: De er designet rundt Active Directory som katalogtjeneste og autentiseringsløsning både for brukere, arbeidsstasjoner og servere – i en tett integrert løsning der identitetene skal kunne flyte fritt gjennom organisasjonen. Det åpner for at en ikke trenger en veldig alvorlig sårbarhet før en angriper får en liten fot innenfor og kan begynne å grave seg videre innover.

De aller fleste kryptoangrep i dag bruker AD-identiteter for å bevege seg rundt i nettet, og det første målet en forsøker å nå, er å få kontroll over AD og domenekontrollere. Slik sett er AD både verktøyet angriperen bruker og det første målet man sikter seg inn på. Får man kontroll på AD, kan man utgi seg for å være en hvilken som helst bruker, eller medlem av en hvilken som helst gruppe, ved pålogging til alle systemer som benytter AD for autentisering av brukere.

Jeg finner det skremmende å se hvor mange løsninger man må administrere bare for å holde miljøene rimelig sikre. Det er både proaktive systemer for å forhindre angrep og reaktive systemer for å håndtere angrepet mens det er i gang – samt systemer for i etterkant å kunne analysere hva som skjedde.

Mange av disse løsningene er der for å forhindre at et angrep et sted i nettet, for eksempel på en PC via e-post eller en sårbar web-server som er eksponert til internett, kan brukes til å få kontroll over andre deler av nettet. Synd å si, men disse systemene overvåker aktivitet som er helt normal i nettverket og har ikke en enkel oppgave i å sende alarmer på de riktige stedene. Et godt utført angrep vil i stor grad kunne kamufleres som helt ordinær aktivitet.

Les også

Et felles AD for alt øker sårbarheten

Min påstand er derfor at det beste en kan gjøre for å øke motstandskraften i nettet, er å starte marsjen bort fra det helintegrerte Active Directory og implementere løsninger som er mer lokale for den enkelte tjeneste. Én tjeneste for arbeidsstasjoner, én eller flere for serverpark og én for skytjenester.

Vi trenger ikke nødvendigvis et felles AD for å kunne tilby Single-SignOn tjenester, mye kan gjøres via identitet i sky, for eksempel Azure AD. Eller som Choice-kjeden har gjort, å flytte alle arbeidsstasjoner over på ChromeOS, sannsynligvis med en annen autentiseringsløsning enn basis Active Directory.

Dersom en i tillegg fjerner arbeidsstasjoners mulighet til direkte tilgang til tjenester i lokalnettet, men slipper dem til tjenestene via samme mekanismer som benyttes ved fjernarbeid, får man et felles oppsett for tjenestetilgang uavhengig av hvor arbeidsstasjonen befinner seg. Med det får man også en 100 % mobil organisasjon.

Ta en bit av gangen – og begynn med en gang

For mange oppleves det som en uoverstigelig oppgave å gjennomføre en slik oppdeling. Og det er definitivt en stor oppgave. Men fullt mulig å gjennomføre såfremt man tar det «en bit av gangen». Det minst smarte er å ikke gjøre noe, da blir man før eller senere offer for et angrep.

Første oppgave er å tegne opp en arkitektur som består av isolerte byggeklosser, ikke en tett sammenvevd løsning. Koblingene mellom dem er identitet og tjenestetilgang.

I en oppdelt løsning er det fortsatt identitet som benyttes for å levere tilgang på tvers av de ulike løsningene. Forskjellen på en skyidentitet og en lokal AD-identitet er at førstnevnte er lettere å begrense i forhold til hvordan den kan benyttes. Dermed kan man begrense hvilket skadepotensial en infisert maskin har på resten av nettverket.

Det er bare å begynne. Lykke til.

Les også