Organisationer misslyckas med åtgärder

Att åtgärda kritiska säkerhetsluckor i Active Directory

Verksamheter av alla storlekar och över alla branscher misslyckas ofta med att åtgärda säkerhetsluckor i Microsoft Active Directory (AD), vilket gör dem sårbara för identitetsbaserade cyberattacker. Det visar resultaten från en undersökning som administrerats av IT-säkerhetsföretaget Semperis.

Användare av AD-sårbarhetsutvärderingsverktyget Purple Knight, som utvecklats av Semperis, rapporterar ett genomsnittligt betyg på 72 av 100 i studien där drygt 150 organisationer globalt deltog. Resultatet visar att det finns en hel del att göra.

Katalogtjänsten Active Directory släpptes med Windows 2000 och används av över 90 procent av organisationerna. Med identitetsbaserade attacker på uppgång, är AD ett populärt mål för IT-kriminella och lyckade attacker kan ge tillgång till offrets hela IT-infrastruktur.

En hackare kan till exempel använda oskyddade AD-konton för att hitta och ta över hela datorkonton, inklusive alla rättigheter som användaren har i nätverket. Konsekvenserna av en sådan attack kan bli katastrofala: När Active Directory är nere stannar hela organisationen – och AD kan ta veckor att återställa.

Kaseya-attacken paralyserade 1 500 organisationer. Och attacken mot SolarWinds system spred sig till cirka 18 000 kunder. Alla dessa attacker involverade AD, vilket ungefär 90 procent av alla säkerhetsincidenter gör, enligt Mandiant.

Även om medvetenheten om säkerhetsriskerna kopplade till AD växer, indikerar Purple Knights-rapporten att organisationer fortfarande har svårt att identifiera och hantera de sårbarheter som deras identitetsmiljöer lämnar öppna för cyberattacker.

Resultaten bekräftar också fynd från Microsoft: Enligt 2022 års Digital Defense Report hade 88 % av de Microsoft-kunder som drabbats av cyberincidenter "osäker AD-konfiguration".

Organisationer saknar kunskap om identitetstjänstens svaga punkter

En av utmaningarna är bristen på kunskap om identitetstjänstens svaga punkter. Det kan dessutom finnas äldre identitetsinfrastrukturer, med föråldrade användarbehörigheter och inaktiva användarkonton som ökar komplexiteten. De flesta AD-infrastrukturer implementerades för flera år sedan, eller till och med decennier sedan, och har hanterats av olika administratörer, vilket har skapat en grogrund för felkonfigurationer.

Följaktligen var den lägsta poängen bland de sju AD-kategorierna som bedömdes av Purple Knight-verktyget relaterad till kontosäkerhet. Organisationer rapporterade en genomsnittlig poäng på 61 av 100. Bland de vanligaste sårbarheterna som upptäcktes var att användare med breda behörigheter hade svaga lösenord, oskyddade konton med administratörsrättigheter och administratörskonton med gamla lösenord.

Äldre AD-felkonfigurationer kan vara ett särskilt stort problem i större organisationer, som ofta ärver olika AD-infrastrukturer genom sammanslagningar och förvärv. Respondenter från företag med mer än 10 000 anställda rapporterade den lägsta genomsnittliga övergripande säkerhetspoängen på 63 – nästan 10 poäng lägre än genomsnittspoängen.

Hybridinfrastrukturer medför fler sårbarheter

Ökningen av molnapplikationer och distansarbete gör att fler organisationer inför hybridinfrastrukturer som kombinerar lokal AD och molnbaserat Entra ID – tidigare känt som Azure AD – eller andra molnbaserade identitetstjänster. Hybrididentitet låter anställda använda en inloggning för att autentisera till alla tjänster över molnet och lokalt, men detta medför ytterligare risker.

Vid en analys som omfattar alla bedömningskategorier kring kontosäkerhet, AD-infrastruktur, AD-delegering och Group Policy, var det försäkringsbolagen som hade sämst resultat, följda av organisationer inom detaljhandel, transport och offentlig infrastruktur. Här finns ett betydande arbete att göra för att täppa till identitetsrelaterade säkerhetsluckor som ofta riktas mot ransomware-grupper som Vice Society, LockBit, BlackCat och Clop.

Att täppa till säkerhetsluckor lönar sig

Den goda nyheten är att de går att åtgärda problemen man har identifierat de viktigaste sårbarheterna Active Directory-miljön. Användare rapporterade förbättringar på i genomsnitt 40 procent och upp till 64 procent efter att ha använt Purple Knights vägledning för att systematiskt ta itu med de risker som upptäcktes under den första AD-bedömningen.

Men eftersom AD är en teknik som nu är nästan ett kvarts sekel gammal, saknar många organisationer helt enkelt kompetens eller erfarenhet att hitta och åtgärda relevanta säkerhetsluckor. Dessutom faller förbättring av AD-säkerhet genom stolarna hos många organisationer eftersom IT-administratörer och säkerhetspersonal arbetar i olika team.

Samarbete – både inom organisationen och med säkerhetsexperter från tredje part – såväl som regelbundna AD-säkerhetsrevisioner är nyckeln till att rensa upp i riskfyllda identitetsmiljöer och minska attackytan för identitetsbaserade attacker.

Identitet har blivit den sista försvarslinjen från cyberattacker. Active Directory och Entra ID kommer utan tvekan att fortsätta att vara affärskritiska identitetstjänster. Att säkra dem bör därför prioriteras.

2023-10-17 - Industritorget

Kontaktinformation

Northern Link PR i Sverige AB

070-598 22 82

Se hemsida

Skicka e-post

Kontakter

Karta

Skriv ut
Tipsa

Postadress
Banérgatan 12
11523 Stockholm

Region
Stockholm
Stockholms län
Sverige

Organisationsnummer:
556834-7198

Grundat: Ej angivet
Anställda: Ej angivet

Kontakter

Karta

Välkommen till Northern Link PR.

Vi hjälper företag med nordiska ambitioner.
När det gäller PR och kommunikation, strävar Northern Link PR att vara det bästa valet för företag med svensk eller helt nordiska ambitioner.

Vi ser vikten av meddelanden, strategi och taktik som är nära i linje med dina affärsmål. Därför har vi etablerat kompetens inom en rad tjänster som kan utvecklas och anpassas beroende på din unika situation.

arrow_downwardSe nedan för mer information om vår verksamhet.

Skicka förfrågan