Da Microsoft Active Directory (AD) blev lanceret sammen med Windows 2000 serverstyresystemet for 21 år siden var det en revolutionerende teknologi, der den dag i dag fortsat understøtter vores hyper-forbundne arbejdsverden.
Microsoft AD var ifølge den emerikanske sikkerhedsvirksomhed Semperis vigtigere end alle andre identitetsstyringssystemer af en enkelt grund: det var åbent. Det er på grund af denne åbenhed og nemme integration, at AD stadig den dag i dag er en grundlæggende del af it-infrastrukturen for 90 procent af alle virksomheder. Dets største styrke for 21 år siden er imidlertid siden blevet dets største svaghed.
I dag er identitetsstyring blevet den sidste forsvarslinje mod cyberangreb, fordi netværksperimeteren er forsvundet.
It-sikkerhedsefterforskere fra Mandiant har for nyligt rapporteret, at 90 procent af de hændelser, de undersøger, involverer AD i en eller anden form. Nogle af de største og seneste AD-sikkerhedsbrud omfatter SolarWinds, Hafnium og Colonial Pipeline-angrebet, som har skabt overskrifter verden over.
Værktøj til vurdering af AD-sikkerhed viser, hvor sikkerhedsproblemerne ligger
Sidste år lancerede Semperis, der beskytter identitetsoplysninger i virksomheders hybride it-miljøer, et gratis værktøj til vurdering af AD-sikkerheden; Purple Knight. I sidste uge offentliggjorde Semperis resultaterne fra 1.000 virksomheder, der har anvendt Purple Knight.
Virksomhederne har fået point på tværs af fem Active Directory-sikkerhedskategorier og resultaterne er:
• De 1.000 virksomheder scorede i gennemsnit 68% på tværs af fem Active Directory-sikkerhedskategorier: AD-delegering, kontosikkerhed, AD-infrastruktursikkerhed, Group Policy-sikkerhed og Kerberos-sikkerhed. Dette er knap nok en tilfredsstillende.
• Store organisationer klarede sig dårligere - med en gennemsnitlig score på 64% - hvilket viser, at udfordringerne i forbindelse med sikring af Active Directory vokser med ældre applikationer og komplekse it-miljøer.
• Dårligst klarede kategorien kontosikkerhed sig. Den omfatter bl.a. indstillinger for individuelle konti, f.eks. privilegerede konti med adgangskoder, der aldrig udløber.
• Forsikringsselskaber havde den lavest samlede score (55%), efterfulgt af sundhedssektoren (63%) og transportsektoren (64%).
• Transportvirksomheder fik de dårligste resultater i kategorierne gruppepolitik (36%) og kontosikkerhed (46%).
• Virksomheder inden for offentlig infrastruktur fik den højeste samlede score (71%), efterfulgt af offentlige organisationer (70%).
I en nyere rapport fra 451 Research sagde analytiker Garrett Bekker:
- Directory-tjenester er kernen i de fleste virksomheders it-strategier, og er som sådan missionskritiske aktiver. Det kan få alvorlige konsekvenser, hvis de bliver kompromitteret. Dette har vi allerede lært af det berygtede SolarWinds-angreb på forsyningskæden og Hafnium-angrebet på Microsoft Exchange.
- Vi ved at mange virksomheder ikke har en god forståelse for de Active Directory-eksponeringer, som it-kriminelle kan bruge mod dem. Vores ønske var at give sikkerhedsteams, der ikke har dyb AD-ekspertise, en måde at forstå deres AD-sikkerhedstilstand på - og derefter lukke eventuelle sikkerhedshuller, siger Mickey Bresman, CEO for Semperis, om lanceringen af det gratis sikkerhedsværktøj.