Draudi korporatīvajai identitātei nepārtraukti attīstās, un, kad uzbrucējs ielaužas identitātes sistēmā, ietekme ir ilgstoša un dārga. Šajā kontekstā Active Directory (AD) un tā mākoņa analoga Entra ID/Azure AD auditēšana un stiprināšana ir kļuvusi par ikdienas nepieciešamību IT un drošības jomā. Pareizo rīku izvēle un katra no tiem piedāvāto iespēju izpratne Tas ir pirmais solis, lai novērstu nepilnības, pirms kāds tās izmanto.
Starp pazīstamākajām bezmaksas iespējām ir Purple Knight (Semperis) un PingCastle (sākotnēji izveidojis Vinsents Le Tu un pašlaik ir daļa no Netwrix ekosistēmas). Abas darbojas nevainojami un sniedz vērtīgu diagnostiku, taču to pieeja, metodoloģija un mērķauditorija atšķiras. Salīdziniet tos rūpīgi, neaizmirstot par to stiprajām un vājajām pusēm.Tas ļauj jums izlemt, kad izmantot vienu vai otru, vai kāpēc tos apvienot, lai gūtu maksimālu labumu.
Identitātes drošība: kāpēc koncentrēties uz Active Directory un Entra ID
AD un Entra ID parasti koncentrē kontu, atļauju, autentifikācijas un uzticības attiecību kontroli; ja tie neizdodas, neizdodas uzņēmuma piekļuves būtība. Ielaušanās šajās sistēmās var palikt nemanāma mēnešiem ilgi.Tas pakļauj kritiski svarīgus resursus un atvieglo horizontālu pārvietošanos. Tāpēc identitātes drošības stiprināšanai ir jāpiešķir prioritāte Active Directory un tā mākoņa slānim. Vienreizēji novērtēšanas rīki palīdz iegūt skaidru priekšstatu par risku, savukārt nepārtrauktas uzraudzības rīki ļauj savlaicīgi iejaukties, lai novērstu novirzes.
PingCastle: uz briedumu balstīts AD vides momentuzņēmums
PingCastle radās kā Active Directory novērtēšanas rīks, ko C# valodā izstrādāja Vinsents Le Tu, un kopš 2017. gada tirgū tas ir nostiprinājies ar bezmaksas pamata versiju. Tās mērķis ir novērtēt Active Directory risku un drošības briedumu, pamatojoties uz modeļiem un noteikumiem.veselības un riska ziņojuma sagatavošana, kas ir ļoti vērsta uz praktiskiem lēmumiem.
Ko PingCastle dara labi
Viena no tās stiprajām pusēm ir tehnisko datu pārveidošana kontekstuālā informācijā: tā analizē Active Directory apakšprocesus, uzticības attiecības, privileģētos kontus un novecojušus objektus, kā arī citas lietas. Rezultāts ir riska novērtējums un detalizēts ziņojums, ko var konsolidēt ar citiem, lai atvieglotu salīdzināšanu laika gaitā. Turklāt tajā ir iekļauta Active Directory karte hierarhiju un uzticamības struktūru vizualizēšanai.Tas paātrina sarežģītu vides izpratni un atklāj aizmirstas jomas.
- Riska un veselības novērtējums pamatojoties uz iekšējiem modeļiem un noteikumiem, ar vērtēšanu un riska ziņošanu.
- Privilēģiju redzamība un potenciālie maršruti uz kritiski svarīgiem objektiem, īpašu uzmanību pievēršot kontiem ar augstu piekļuves tiesībām.
- Domēna un uzticamības kartēšana lai vizualizētu attiecības, tostarp uzticamības apsvērumus ar Azure AD/Entra ID.
- Atskaišu konsolidācija salīdzinošajai novērtēšanai, KPI un vadības informācijas paneļiem (augstākās versijās).
PingCastle arī sniedzas tālāk par direktoriju un veic darbstaciju skenēšanu, lai noteiktu nedrošas darbības. Atklāj pārmērīgs vietējo administratoru skaitsslikti aizsargāti koplietotie resursi, ievainojamības, piemēram, WannaCry un pat neatbilstības uzsākšanas laikā, kas palīdz atklāt slēptās iespējas un deleģēšanas vājās vietas, kas varētu veicināt horizontālu kustību.
Kā tas darbojas un ko tas sniedz
PingCastle dzinējs apkopo datus, izmantojot neprivileģētus LDAP vaicājumus un WMI, un to var integrēt ar Powershell skripti, un piemēro riska modeli, kas sagrupēts pa kategorijām: novecojuši objekti, privileģētie konti, trasti un anomālijas. Iegūtajā ziņojumā ir izceltas kritiskas problēmas (piemēram, novecojuši uzticamības protokoli, nestabilas deleģēšanas, vājas Kerberos konfigurācijas vai nedroši kontroles ceļi) un piešķir AD veselības rādītāju: jo zemāks, jo labāk.
Hibrīdvidēs PingCastle var ziņot par to, vai uzticības attiecības ar Azure AD ir labi aizsargātas. Kartes skats un rezultātu konsolidācija Tie ir īpaši noderīgi organizācijām ar daudziem domēniem vai vairākām uzticības attiecībām, kur ir viegli pazaudēt kopsakarības.
Izdevumi, licence un darbības joma
Pamata versija ir bezmaksas jūsu vides auditēšanai, savukārt Auditor/Standard un Professional versijas pievieno paplašinātas iespējas un komerciālu atbalstu. Tiek tirgoti tādi abonementi kā Auditor (aptuveni 3.449 USD/gadā) un Professional. (aptuveni 10 347 ASV dolāru par domēnu gadā), kā arī Enterprise versija ar konsolidācijas funkcijām un globālu perspektīvu lieliem uzņēmumiem. Projekts paraksta savus bināros failus un izlaiž kodu saskaņā ar OSL 3.0 (bezpeļņas) licenci ar ierobežojumiem attiecībā uz nelicencētu komerciālu izmantošanu.
Zināmi PingCastle ierobežojumi
Izvietojumos ar daudziem domēniem atskaites var būt blīvas un nedaudz grūti pārskatāmas, ja nav izveidoti konsolidācijas procesi un skati. Bezmaksas versijā nav iekļauti papildu pārskati vai detalizēti koriģējošu darbību ceļveži.un uzmanība tiek pievērsta pakļautības un riska rādītājiem, nevis jau materializējušamies kompromisa pazīmēm.
Purple Knight: Iedarbības un iesaistes indikatori ar vienu klikšķi
Semperis 2021. gadā laida klajā Purple Knight kā bezmaksas drošības novērtēšanas rīku Active Directory un hibrīdvidēm. Kopš tā laika tas ir kļuvis par iecienītu, pateicoties tā uzmanībai uz iedarbības rādītājiem (IOE) un apdraudējuma rādītājiem (IOC). Tās mērķis ir atklāt riskantas konfigurācijas un ielaušanās pierādījumus. AD ievadiet ID/Azure AD un pat Okta.
Indikatori, kategorijas un atsauces sistēmas
Purple Knight rezultātus grupē piecās galvenajās jomās: AD deleģēšana, AD infrastruktūras drošība, konta drošība. Grupas politikas drošība (GPO) un Kerberos drošība. Ziņojumā tiek izmantots "biļetens" ar vērtējumu pa kategorijām un kopējo procentuālo daļu., piedāvājot prioritārus risinājumus, nopietnības pakāpi (informatīvs, brīdinājuma vai kritisks) un atbilstības tādiem ietvariem kā MITRE ATT&CK un ANSSI, kā arī atsauces uz MITRE D3FEND modeli.
- Vairāk nekā simts rādītāju (un jaunākās versijas viegli pārsniedz šo skaitli), aptverot izplatītākos uzbrukuma vektorus.
- Atšķirība starp IOE un SOK lai atdalītu potenciālu nepareizu konfigurāciju no aktīvas kompromitēšanas pierādījumiem.
- Preskriptīvas korekcijas vadlīnijas un prioritizētas pēc riska un ekspluatācijas varbūtības.
- Hibrīda pārklājums ar lokālo AD, Enter ID/Azure AD un Okta atbalstu.
Lietotāja pieredze un pārskatu sniegšana
Rīks ir pārnēsājams un tam ir grafisks interfeiss. Jūs lejupielādējat ZIP failu, to izvelkat un palaižat bināro failu; startēšanas laikā tas nosaka mežus un domēnus un ļauj izvēlēties, kuru IOE/IOC palaist — detalizāciju, ko novērtē gan zilā, gan sarkanā komanda. Skenēšana parasti tiek pabeigta dažu minūšu laikā un ģenerē HTML atskaiti, kurā iekļauts kritisko IOE kontrolsaraksts un skaidri skaidrojumi ar saitēm uz dokumentāciju.
"Ziņojuma kartes" formāts ir ērts: burts un procents, ar atšķirīgu svaru katrai kategorijai. Aprakstos ir iekļauts iemesls, ietekme, atbilstība drošības ietvariem un koriģējošie pasākumi.Purple Knight darbojas lasīšanas režīmā, neveic nekādas izmaiņas Active Directory un neveic "mājas izsaukumu"; to var periodiski atkārtot, neriskējot ar ražošanu.
Reģistrācija, kopienas versija un izstrāde
Lai lejupielādētu rīku, Semperis pieprasa reģistrāciju un nodrošina saiti; tas arī informē lietotājus par jaunām versijām un nepārtrauktiem uzlabojumiem. Kopienas izdevums tiek bieži atjaunināts Un, neskatoties uz jaunību, tas saglabā ievērojamu izskatu, veicot uzlabojumus, pamatojoties uz kopienas atsauksmēm.
Ierobežojumi un to papildināšanas veidi
Purple Knight veic vienreizējus novērtējumus; tas nav nepārtrauktas uzraudzības risinājums, kā arī pats par sevi neautomatizē risku mazināšanu. Šo slāni nodrošina Semperis izstrādātais Directory Services Protector (DSP).kas ir maksas pakalpojums, kas paredzēts identitātes apdraudējumu noteikšanai un reaģēšanai reāllaikā (ITDR), ar brīdinājumiem un ļaunprātīgu izmaiņu atcelšanu.
Purple Knight pret PingCastle: kas viņiem kopīgs un kā viņi atšķiras
Lai gan abus rīkus var izmantot, lai novērtētu Active Directory drošību un atbalstītu hibrīdvides ar Entra ID/Azure AD, to fokuss nav identisks. PingCastle prioritizē brieduma metodoloģija un “veselības pārbaudes” ziņojumu ar riska novērtējumu; Purple Knight koncentrējas uz IOE/IOC un sniedz ļoti praktiski izmantojamu koriģējošu rokasgrāmatu. Pirmajā rūpīgi tiek aplūkots AD ekosistēmas “modelis” un stāvoklis., savukārt otrais sniedz ļoti bagātīgu momentuzņēmumu, ko var ātri labot.
Lietošanas ērtuma ziņā Purple Knight izceļas ar savu saskarni un detalizēto testu izvēli; PingCastle domēna karte un atskaišu konsolidācija izceļas organizācijās ar daudziem mežiem un trastiem. Ziņojot, Purple Knight vērtē pa kategorijām ar punktu skaitu un procentuālo daļu.Un PingCastle piedāvā kopējo veselības rādītāju, kur zemāks skaitlis ir labāks.
Aptvēruma ziņā Purple Knight ietver AD, Entra ID/Azure AD un Okta, un sasaista atradumus ar MITRE ATT&CK un ANSSI, prioritāri piešķirot koriģējošajiem darbiem. Savukārt PingCastle piedāvā deleģējumu, novecojušu objektu, lokālo privilēģiju un galapunktu ievainojamību analīzi.Un tas var novērtēt uzticamības drošību, izmantojot Azure AD. Spēja atklāt aizmirstus domēnus un apvienot rezultātus ir priekšrocība, ja perimetrs ir kļuvis neskaidrs.
Licencēšanas ziņā Purple Knight tiek piedāvāts kā bezmaksas rīks (pēc reģistrācijas); nepārtrauktas un korektīvās iespējas ir iekļautas komerciālajā Semperis DSP. PingCastle piedāvā bezmaksas pamata versiju personīgai lietošanai. un maksas versijas (Auditor/Standard, Professional, Enterprise) ar paplašinātām funkcijām, atbalstu un mērogojamību.
Kuru izvēlēties? Ja meklējat ātru, skaidru novērtējumu ar prioritārām remonta instrukcijām, Purple Knight ir ideāli piemērots. Ja jums ir nepieciešama brieduma metode ar domēnu kartēšanu un risku konsolidāciju Simtiem vai tūkstošiem segmentu PingCastle varētu būt piemērotāks risinājums, īpaši ar tā maksas versijām. Praksē daudzas organizācijas izmanto abus: kombinācija piedāvā savstarpēju validāciju un dziļāku pārklājumu.
Īstenošanas un rezultātu praktiskās detaļas
Abi rīki ir pārnēsājami un vairumā kontekstu tos var palaist ar standarta lietotāja akreditācijas datiem, datus galvenokārt vācot, lasot. Tas atvieglo ieviešanu komandām ar ierobežotiem resursiem. un novērš berzi ar ražošanas sistēmām, jo tās neveic izmaiņas.
Purple Knight saglabā rezultātus HTML formātā ar loģisku struktūru un saitēm uz dokumentāciju, kā arī kontrolsarakstu, kurā izcelti steidzamākie jautājumi. Sadalījums pēc smaguma pakāpes un atsauce uz sistēmām Tas sniedz kontekstu informācijas drošības vadītājiem (CISO) un tehniskajām komandām. Savukārt PingCastle sniedz ziņojumu ar vērtējumiem, prioritāriem atklājumiem un, ja nepieciešams, konsolidētiem skatiem, lai atvieglotu KPI un ceturkšņa uzraudzību.
Brīdinājumi un ekspluatācijas apsvērumi
Izmantojot PingCastle, vairāku mežu vidēs vai ar desmitiem domēnu, atskaitēm var būt nepieciešams papildu darbs, lai tās pārskatītu un noteiktu prioritātes. Pamata izdevumam trūkst uzlaboto funkciju un plašu korektūras rokasgrāmatuŠīs funkcijas ir iekļautas maksas licencēs. Purple Knight, kas ir vienreizējs novērtējums, neaizstāj nepārtrauktas uzraudzības sistēmu, un tā automatizētās risku mazināšanas iespējas nav pieejamas bezmaksas versijā.
Neviens no tiem nav paredzēts kā AD diagnostikas un profilakses sistēma (IDS/IPS); tie ir diagnostikas papildinājumi, kas tiek iekļauti sanācijas un brieduma plānos. Situācijās ar nepieciešamību pēc brīdināšanas un reaģēšanas reāllaikāTiek izmantoti ITDR risinājumi, piemēram, Semperis DSP vai nepārtrauktas revīzijas piedāvājumi.
Citi rīki, kas papildina ekosistēmu
Kad uzmanības centrā ir nepārtrauktība un visu izmaiņu reģistrēšana atbilstoši kontekstam, Netwrix Auditor nodrošina izmaiņu kontroli Active Directory un citās sistēmās (Exchange, SQL Server, SharePoint, Microsoft 365, Teams utt.). Tās uzmanības centrā ir lietotāju brīdināšana par aizdomīgām izmaiņām. (piemēram, ja lietotājs tiek pievienots domēna administratoru grupai) un uzturēt konfigurācijas vēsturi ar skatiem, kas ir noderīgi pārvaldībai.
Lai izprastu uzbrukuma ceļus un kontroles attiecības, BloodHound ir klasisks atvērtā koda (GPL-3.0) rīks, kas modelē objektus, attiecības un atļaujas AD, izmantojot tādus kompilatorus kā SharpHound un AzureHound. Tas ir svarīgi gan sarkanajām, gan zilajām komandām. kuri vēlas vizualizēt "īsāko ceļu" uz kritiski svarīgiem mērķiem un slēgt kāpšanas maršrutus.
Reāllaika reaģēšanas un uzraudzības jomā Semperis Directory Services Protector (DSP) piedāvā nepārtrauktu uzraudzību, brīdinājumus un pat automātisku atcelšanu, reaģējot uz ļaunprātīgām izmaiņām gan AD, gan Entra ID. Punktu novērtējumā tas darbojas kā trūkstošais ITDR slānis. un paātrina identitātes incidentu ierobežošanu.
Francijas ANSSI (Francijas Datu drošības aģentūra) nodrošina tādus rīkus kā ORADAD pakalpojumam Active Directory un ORADAZ pakalpojumam Azure/Entra, ko izmanto padziļinātās revīzijās. Lai gan datu vākšana ir publiska, pilnīgai apstrādei ir nepieciešami nepublicēti rīki. Šīs ir vērtīgas atsauces komandām, kas ievēro valdības vadlīnijas. vai vēlas saskaņot auditus ar atzīto labāko praksi.
Daži tirgus salīdzinājumi rāda piedāvājumus ar mitināšanu un dažādām izvietošanas iespējām (Windows pakalpojums, pārnēsājama, lokāla vai SaaS), korelāciju ar MITRE ATT&CK, eksportēšanu uz CSV, vairāku nomnieku iespējas un iespējas dokumentētā veidā pieņemt riskus. Praksē izvēle ir atkarīga no līdzsvara starp lokālu auditu, incidentu atklāšanu un pastāvīgu pārvaldību.Ņemot vērā budžetus, licences (dažos gadījumos bez maksas personīgai lietošanai) un partneru atbalstu.
Bieži uzdotie jautājumi: Vai varu liegt lietotājam palaist šos rīkus?
Šis ir bieži uzdots jautājums, kad atklājat, ka portatīvie rīki var darboties bez administratora privilēģijām. Parasti Purple Knight un PingCastle darbojas tikai lasīšanas režīmā ar lietotāja atļaujām veikt vaicājumus direktorijā. Ja jūsu mērķis ir ierobežot tā izpildi, tad spēlē lomu lietojumprogrammu kontrole.Tādas politikas kā AppLocker vai Windows Defender lietojumprogrammu kontrole (WDAC) vai programmatūras ierobežojumu noteikumi palīdz ierobežot neatļautu bināros failus. Turklāt atļauju pastiprināšana pakalpojumā Active Directory samazina sensitīvu datu pieejamību standarta lietotājiem.
Tomēr AD drošības modelis pieņem, ka autentificēti lietotāji var lasīt noteiktu informāciju, jo no tās ir atkarīgas daudzas lietojumprogrammas. Efektīva mazināšana ietver delegāciju stiprināšanu, kontroles maršrutu auditu un privilēģiju samazināšanu.Izmantojot šos rīkus, lai atklātu un labotu to, kam nevajadzētu būt redzamam vai iespējotam. Novēršanai nevajadzētu balstīties tikai uz izpildāmo failu bloķēšanu, bet gan uz uzbrukuma virsmas likvidēšanu konfigurācijas līmenī.
Bieži sastopami lietošanas gadījumi un vieda kombinācija
Neliela IT komanda, kurai nepieciešama ātra diagnostika un skaidrs problēmu novēršanas ceļvedis, novērtēs Purple Knight. Prioritāšu noteikšana pēc smaguma pakāpes un tās sasaiste ar atbalstošajām sistēmām Tas ļauj lietotājiem sagatavot iespiešanās testus, demonstrēt progresu un paziņot vadībai par riskiem. Tikmēr regulāri iekšējie auditi un konsultāciju firmas, kas apkalpo vairākas jomas, gūst labumu no PingCastle brieduma modeļa, jomu kartēšanas un konsolidācijas iespējām.
Daudzas organizācijas izmanto abus rīkus dažādos ciklos, lai iegūtu papildinošu ieskatu: vispirms “momentuzņēmumu” ar IOE/IOC, kam seko procesu un brieduma pārskats ar konsolidētām veselības pārbaudēm. Savstarpēja validācija samazina viltus negatīvus rezultātus un uzlabo koriģējošo darbību prioritāšu noteikšanu.paātrināt kritisko nepilnību novēršanu un paaugstināt identitātes higiēnu vidējā termiņā.
Nav brīnumlīdzekļa. Laba izvēle ietver vajadzību saskaņošanu ar spējām: momentuzņēmums ar normatīvām vadlīnijām vai brieduma modeļiem un kartēm? Vienreizējs novērtējums vai nepārtraukta uzraudzība ar ITDR? Atbilde parasti ir "jā, un...", nevis skaļš "vai".apvienojot bezmaksas novērtējumu ar uzraudzības risinājumiem, kas pielāgoti riskam un budžetam.
Ja mērķis ir ilgtspējīgi uzlabot identitātes drošību, ieteicams plānot regulāras novērtēšanas, pārskatīt deleģējumus un uzticības, kā arī uzturēt kontu higiēnu, grupu objektus (un ADMX faili) un Kerberos. Purple Knight un PingCastle kombinēta izmantošana, kā arī izmaiņu audita slānis un/vai ITDRTas piedāvā pareizo līdzsvaru starp agrīnu atklāšanu, prioritāru labošanu un nepārtrauktu AD un Entra ID statusa uzraudzību.