הגנה על האקטיב דיירקטורי מכיוון עמדת הקצה

מרכיב האקטיב דיירקטורי (AD) של מיקרוסופט פותח בשנות ה-90 והפך עם השנים לאחד ממרכיבי הליבה של (כמעט) כל רשת ארגונית ברחבי העולם, וככזה, גם כעקב אכילס של אותן רשתות בהיבט אבטחת מידע. מדובר במרכיב שהוא למעשה בסיס נתונים ראשי המאפשר למיקרוסופט למכור מוצר לניהול רשת ארגונית. בסיס נתונים זה מרכז מידע סביב נכסי הרשת. בין היתר, משתמשים, שרתים, פרוטוקולים ועוד. חברת ג'אבלין, היום סימנטק, פיתחה פתרון הגנה לAD, ומסבירה את הבעיה ואיך פותרים אותה.

איסוף מודיעין

בשל המרכזיות של הAD ברשת הארגונית, היא גם היעד הראשון של התוקף. ברגע שהוא השיג דריסת רגל בעמדה אחת בארגון, ולא משנה איזו, הוא יכול לבצע איסוף מודיעין רחב על הרשת. באמצעות מספר פקודות התוקף יכול לקבל דו"ח נרחב הכולל את קבוצות המחשבים, מי המנהלים של הרשת ועוד פרטים שעל פיהם ניתן לבסס תכנית תקיפה. שני שלבים נוספים בהתקפה הם תזוזה רוחבית בין מחשבים ברשת וגניבת הרשאות מנהל.

למרות מרכזיות הAD בכל שרשרת תקיפה של ארגון, המרכיב לא נבנה עם תפיסת אבטחה במקור (Security By Design). עד היום בחלק גדול מהארגונים הרכיב נתפס כטכנולוגיה של ה IT כאשר ה- CISO לא חשוף אליו. הסיבה לכך טמונה בעובדה שזהו מרכיב שפותח לצורך תקשורת וניהול רשת בשנות ה-90. מיקרוסופט רצתה להיכנס לשוק המחשוב הארגוני והמיקוד היה בבסיס נתונים שיאגד את כל המרכיבים שצריך על מנת לנהל רשת. עם השנים, התפתח עולם הסייבר ובמיקרוסופט רכשו ופיתחו פתרונות – 'טלאים' – על מנת לאבטח את הAD. העיקרי שבהם הוא Aorato, פתרון ישראלי שרכשה מיקרוסופט בשנת 2014. מדובר בפתרון מבוסס על זיהוי התנהגות חריגה.

למרות ניסיונות מיקרוסופט לספק אבטחת מידע לAD, תקיפות סייבר בעולם ממשיכות להראות כי זוהי משימה קשה. אפילו לחברה שפיתחה את המרכיב. דוגמא עדכנית לכך היא הפריצה לHydro, יצרנית אלומיניום נורבגית. באירוע, שמרביתו עדיין תחת אפלה, השתמשו הפורצים בAD על מנת לזוז רוחבית ברשת ולהדביק מפעלים של החברה בעשרות מדינות בעולם. מומחי מיקרוסופט הוקפצו לטפל באירוע. כאמור מרבית הפרטים לא ידועים, אך כן ידוע כי ניצול הAD היה מרכיב עיקרי בתקיפה. לפי דיווחים גלויים עדכניים, גם המודיעין האיראני מתבסס בחלק גדול מההתקפות שלו על הAD כמרכיב מרכזי.

ההגנה מתחילה בעמדת הקצה

לאור מציאות זו, פיתחו יוצאי יחידת המחשוב של חיל האוויר הישראלי פתרון תחת השם ג'אבלין שנמכר בשנה שעברה לחברת סימנטק. מדובר בתפיסה שונה מאלו הקיימות שפותרת את האיום על הAD מכיוון תחנת הקצה ולא מכיוון השרת. הפתרון מגובה בפטנטים, אבל במהותו הוא מבוסס על ניטור באמצעות תהליך שקוף בזיכרון העמדה, שרת מרכזי להיתוך המידע, ויצירת מצג שווא לתוקף.

ברגע שתחנה ברשת עולה, היא יוצרת בקשה לשרת הAD שמייצר אירוע שגרתי. האירוע מדליק את השרת של ג'אבלין, שמייצר קובץ ניטור קטן ייעודי לאותה עמדה. את הקובץ השרת משתיל בזיכרון העמדה על ידי היצמדות לתהליך שגרתי של 'חלונות' בזיכרון (הוקינג). אין צורך בהתקנה של קליינט או הרצת תהליכים חשופים בעמדה.

בשלב הבא, אותו קובץ ניטור שהוא למעשה תהליך שקוף שרץ בזיכרון תחנת הקצה (InMemory) מנטר כל פניה של תחנת הקצה לAD. יכולת זו מאפשרת לג'אבלין לקבל פריזמה אמיתית של התוקף על הרשת. במילים אחרות, כל מה שהתוקף עושה בעמדה, השרת של ג'אבלין יודע. מציאות זו מאפשרת לשרת לייצר לתוקף מצג שווא. אם הוא מבקש לדוגמא מהAD את רשימת שרתי הקבצים או הDB בארגון, ויש עשרה שרתים, הוא יקבל מאה. בג'אבלין פיתחו מנוע בינה מלאכותית שלומד את הרשת ויודע לייצר לתוקף מצג שווא תואם את המציאות.

ברגע שאותו תוקף מקבל מצג שווא, ומנסה לפנות לשרת דואר שלא קיים ברשת, מוקפצת התרעה שעמדה ברשת מנסה לגשת לנכס לא קיים. נכס דמיוני. השרת של ג'אבלין מקבל את ההתרעה, ויודע בוודאות שנעשה ניסיון חשוד עם וודאות גבוהה לתקיפה. הפתרון של ג'אבלין כולל עוד שני מרכיבים. אם בכל זאת התוקף הצליח לבחור בנכס קיים, ולזוז רוחבית, מנגנון זיהוי התנהגות חריגה יעצור אותו שם. ואם בכל זאת הוא הגיע לשלב גניבת הרשאות מנהל בעמדה מסוימת, אותו קובץ ניטור שמותקן בזיכרון העמדה יתפוס אותו ויחסום את הפעילות.

למרות שאין פתרון הרמטי להגנה בסייבר על AD, בג'אבלין טוענים שמדובר בפתרון ייחודי בעיקר מכיוון שהוא מגן על הAD מכיוון התחנה. "אנחנו למעשה 'תוקפים' את העמדה כדי לשמור עליה", מסביר יוסי סאסי, דירקטור בג'אבלין לשעבר. "המשתמש לא מרגיש אותנו בכלל. אין התקנה, אין תהליך רץ, אין כלום. אנחנו רוח רפאים הלכה למעשה ושומרים מכל ניסיון לבצע חיפוש מודיעין ברשת על בסיס הAD. וגם מונעים מתוקף לעבור את השלבים של התזוזה הרוחבית וגניבת ההרשאות אם הוא הצליח בכל זאת להתקדם בשלבי ההתקפה.

"ההצלחה של מיקרוסופט בשוק הארגוני כה גדולה, שאין כמעט ארגון שהרשת שלו לא מתבססת על AD. זו גם הסיבה שמרבית המתקפות מבוססות על איסוף מודיעין והשתלטות על הדומיין. מי ששולט בAD, שולט בארגון.

"צריך לזכור כי למרות שחלק ניכר מהכותרות סביב התקפות עוסקות בוקטור הכניסה (פישינג, הנדסה חברתית), אלו מספקים לתוקף גישה לעמדה אחת לרוב. היכולת שלו לתשאל את הAD בקלות ובמהירות נותנת לו תמונה של כל הארגון. במציאות, לא משנה כמה מוצרי הגנה תתקין, תוקף מיומן שירצה משהו מהארגון או ממישהו בארגון, יכנס. המטרה של הפתרון שלנו היא להקשות לו את החיים. אפילו מאד."