Efektywne zabezpieczanie tożsamości stanowi obecnie kluczowe wyzwanie związane z ochroną infrastruktury przed nowoczesnymi atakami. Jednym z głównych celów cyberprzestępców stało się środowisko Active Directory (AD). Z danych CrowdStrike’a wynika, że w ciągu ostatnich dwóch lat aż 50 proc. firm doświadczyło ataków na AD, z czego 40 proc. zakończyło się sukcesem. To pokazuje, że pomimo wzrostu świadomości zagrożeń, a także coraz powszechniejszego stosowania rozwiązań typu EDR czy XDR, ochrona tożsamości wymaga dodatkowych, wyspecjalizowanych narzędzi.

Obecnie około 75 proc. ataków odbywa się bez wykorzystania złośliwego kodu, co oznacza brak możliwości wykrycia za pomocą tradycyjnych technik sygnaturowych. Widząc te ograniczenia firma CrowdStrike opracowała innowacyjny moduł Falcon Identity Protection, który zdecydowanie poprawia bezpieczeństwo i znacznie rozszerza zakres podstawowej ochrony EDR. Na bieżąco analizuje on dane telemetryczne z sensorów na urządzeniach końcowych oraz ciągle monitoruje zachowanie użytkowników. Dzięki temu tworzy swego rodzaju mapę ryzyka oraz określa zdarzenia w chronionej infrastrukturze, które należy uznać za normalne. To pozwala na bardzo efektywne wykrywanie potencjalnych anomalii i znacznie szybsze reagowanie na zagrożenia.

Mechanizm ten pozwala na wykrycie podejrzanych działań już na wstępnym etapie ataku, zanim adwersarz jest w stanie wyrządzić szkody. Użytkownik ma też możliwość określenia dodatkowych reguł i wymagań, które są w stanie zwiększyć bezpieczeństwo chronionego środowiska. Dostępnych jest około 40 różnego rodzaju opcji konfiguracyjnych, które pozwalają na dopasowanie ochrony do własnych, często niestandardowych potrzeb, włącznie z możliwością dodatkowej autoryzacji wieloskładnikowej. Moduł ten jest szczególnie zalecany w dużych środowiskach AD.

Odpowiedź na atak Horde Panda

O tym jak istotna jest ochrona przed atakami na bazy tożsamości świadczy między innymi ubiegłoroczny atak grupy Horde Panda. W czerwcu 2023 r., zespół CrowdStrike OverWatch zidentyfikował podejrzaną aktywność w sieci południowoazjatyckiego dostawcy usług telekomunikacyjnych. Stała za nią chińska grupa cyberprzestępcza, która wykorzystała przejęte tożsamości by wniknąć w sieć ofiary. Przestępcy uzyskali początkowy dostęp korzystając z puli adresów VPN, gdyż korzystając z legalnych poświadczeń uniknęli wykrycia.

W lipcu 2023 r. zaobserwowano kolejne oznaki podejrzanej aktywności, która skupiała się na kontrolerze domeny (DC). Grupa próbowała przeprowadzić atak typu DCSync, aby pozyskać dane z Active Directory, w tym hasła użytkowników. Atakujący starali się przeprowadzić replikację domeny, wykorzystując w tym celu pięć różnych kont użytkowników i jednego hosta bez zainstalowanego sensora CrowdStrike. Konta te nie miały jednak wystarczających uprawnień do wykonania takich operacji, co zapobiegło kradzieży danych.

Zespół CrowdStrike OverWatch, korzystając z platformy Falcon Identity Protection, zidentyfikował hosta oraz zainstalował na nim sensor, który wykrył, że na hoście działają dwa implanty Horde Panda: LuaPlug i Keyplug – oba służące do utrzymania obecności w systemie. Dzięki szybkiej reakcji atak został zablokowany, zainfekowany host odizolowany, a hasła przejętych kont zresetowane. Mimo prób ponownego dostępu, działania adwersarzy zostały udaremnione.

Czytaj więcej na temat możliwości platformy CrowdStrike Falcon. Firma iIT Distribution Polska jest oficjalnym dystrybutorem rozwiązań CrowdStrike w Polsce i oferuje bezpłatny audyt Active Directory.

Dodatkowe informacje: Bartosz Galoch, Product Manager, iIT Distribution, tel. 662-910-762, b.galoch@iit-d.pl