Preventing Insider Threats in Your Active Directory
2023/03/22 TheHackerNews — Active Directory (AD) は、世界中の組織に対して強力な認証とディレクトリ・サービスを提供している。しかし、このユビキタス性とパワーは、悪用の可能性をもたらす。さらに言うなら、インサイダーの脅威により、最も破壊的な状況にいたる可能性が生じる。つまり、数多くのユーザーに対して、内部ネットワークへのアクセスや可視性が過剰に提供されているのだ。
ネットワーク内での、インサイダー・レベルでのアクセスと信頼は、独自の脆弱性につながる。多くの場合において、ネットワーク・セキュリティは、既存のユーザーのセキュリティや潜在的な脆弱性に対するものではなく、攻撃者を締め出すことに重点を置いている。そして、潜在的な脅威を常に把握することは、内部および外部の脅威から保護することを意味する。
Active Directory の脆弱性
外側から見ると、適切に設定された AD ドメインは、安全な認証と認可のソリューションを提供している。しかし、複雑なソーシャル・エンジニアリングやフィッシング・メール攻撃により、既存の AD ユーザーが危険にさらされる可能性があるり。そして、侵入した脅威アクターは、Active Directory を攻撃するための数多くの選択肢を手に入れられる。
安全ではないデバイス
BYOD (Bring Your Own Device) の増加に伴い、サポートすべきデバイスとセキュリティの複雑さが増している。ユーザーは、すでに危険な状態にある。言い換えるなら、セキュリティ対策が不十分なデバイスを接続した場合に、攻撃者は内部ネットワークにアクセスするための、簡単な方法を手に入れることになる。
以前において、悪意のあるデバイスをインストールする攻撃者は、物理的なオフィス内に忍び込む必要があった。しかし、今は、不正なデバイスを持つユーザーが、その苦労を肩代わりしてくれる。さらに、多くの従業員がスマートフォンやタブレット端末を、組織のネットワークに接続している可能性がある。つまり、職場で提供されるノートパソコンだけがあるわけではなく、同じセキュリティ対策の対象外に何台ものユーザー・デバイスが存在する可能性があるのだ。
オーバー・プロビジョニング・アクセス
内部セキュリティに複雑さを与えているのが、アクセス権の過剰提供という共通の問題である。多くのケースにおいて、ユーザー組織はアクセスを制限する代わりに、アクセスを拡大する傾向がある。問題を解決するために便宜を図った結果として、潜在的な攻撃経路を作り出してしまい、それが忘れ去られることも少なくはない。
管理者でもあるユーザーの場合、さまざまなアクセス・レベルを分離するために作成された、安全性の高い Administrative が常にあるとは限らない。つまり、標準ユーザー・アカウントを介して管理タスクを許可するという便利さは、侵害された高度な特権アカウントによる悪用の蔓延への扉を開く。
脆弱なパスワード・ポリシー
数多くの組織において、特に大規模な組織においては、サポートしている各種のアプリケーションのために、パスワード・ポリシーが弱くなっている可能性がある。すべてのアプリケーションのパスワード・ポリシーが同じというわけではなく、それらの中には最新のセキュリティ標準をサポートしていないものもある。その例として挙げられるのは、LDAP 署名や LDAPS による TLS over LDAP をサポートしていないものだ。
脆弱なパスワード・ポリシーと多要素認証の欠如が相まって、特権的な内部アカウントを介した Keberoasting などの手法により、取得したハッシュを簡単にクラックできるようになる。これは、強力なパスワード・ポリシーと多要素認証では、ハッシュのクラックによるシステムやネットワークにアクセスは非常に難しいが、それとは対象的なことが起こってしまう。
Active Directory を保護するためのベストプラクティス
Active Directory のセキュリティを確保するための、数多くのベストプラクティスがある。ここでは、これまで説明したセキュリティ・テーマに基づき、いくつかの項目を紹介していく:
- システムやネットワークへのアクセスは、正当な業務上の必要性がある人に限定する。
- 接続されたデバイスが最低限のセキュリティ基準を満たしていることを確認する。
- LDAP 署名と LDAPS 要件で Active Directory を安全に構成し、KRBTGT パスワードを定期的にローテーションし、グループ管理サービス・アカウント (gMSA) を用いて資格情報をローテーションする。
- 多要素認証と強力なパスワード・ポリシーを有効にして、Specops Password Policy などのソリューションで補強する。
- 一般的なユーザー・アカウントから権限を切り離し、特別な管理者アカウントに割り当てる。
- フィッシング・メールや添付ファイルをクリックすることで生じる、ソーシャル・エンジニアリングの危険性をユーザーに周知させる。
潜在的なフィッシング・メールやソーシャル・エンジニアリング攻撃を識別するためには、ユーザー・トレーニングは不可欠となる。また、添付ファイルのクリックを回避し、悪意のコンテンツをスキャンするシステムを用いる必要がある。これらの対策は、攻撃が成功した場合のリスクを低減するのに役立つ。
しかし、すでに AD が侵害されていると仮定してほしい。ユーザー組織は、アクティブなユーザーと、非アクティブなユーザー、退職したユーザーおよび、システムに割り当てられた権限を詳細に調査する必要がある。一般的なユーザー・アカウントから権限を分離し、より高いセキュリティレベルを持つ、特別な管理者アカウントに割り当てる方法はないだろうか。
強力なパスワード・ポリシーによる多要素認証の有効化は、最も強力な保護を実現するために不可欠である。ソーシャル・エンジニアリング攻撃の多くは、ユーザーの再利用されたパスワードが足がかりとして、外部サイトを学習することで侵害へといたる、したがって、組織は強力なパスワードを義務付ける必要がある。
Specops パスワード・ポリシーで Active Directory を保護
セキュリティに関する推奨事項の多くを支えているのは、強力なパスワード・ポリシーである。デフォルトの Active Directory 構成とユーザー・ツールは不十分である。ユーザー組織が、NIST/CJIS/PCI などのパスワード・ポリシーに準拠し、脆弱なパスワードをブロックする際には、Specops Password Policy を使用できる。カスタムの辞書リストを作成し、ユーザー名/ディスプレイ名/特定の単語/連続した文字/インクリメンタル・パスワード/現在のパスワードの一部の再利用をブロックする機能などを提供し、ユーザーに対してリアルタイムでのフィードバックを提供できる。
パスワード漏洩対策アドオンは、選択したパスワードが漏洩パスワード・リストに含まれている場合に、リアルタイムでユーザーに警告を発することでセキュリティを強化する。また、詳細なスキャンを実施することで、AD ドメイン全体におけるアカウントそして、30億以上の漏洩パスワードを検出する。
インサイダーの脅威から Active Directory を保護
すべての脅威から保護することは不可能かもしれないが、既存の権限構造とアクティブ・ユーザーを、そして、Active Directory の技術的な実装を詳細に調べることで、組織の環境を安全にするための、長い道のりを歩むことができる。Specops Password Policy では、Breached Password Protection を通じて、パスワード・ポリシーを次のレベルに引き上げ、ユニークで安全なパスワードを全面的に義務付けることができる。
Specops のマーケティング記事ではありますが、Active Directory の問題点を整理してくれる、とても有り難い記事です。AD に限ったことではありませんが、境界防御が実質的に消え去ってしまった状況で、アクセス権の過剰提供という問題が重くのしかかっているようにも思えます。よろしければ、2023/03/10 の「MFA の限界を知ろう:Active Directory との相性の悪さについて深堀りする」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.