在全球市場累積了眾多成功案例的 SentinelOne Singularity Identity Posture Management 和 Singularity Identity for Identity Providers,透過即時漏洞檢查機制,全面掌握 AD、Entra ID(舊稱 Azure AD) 等服務的安全狀態,是保護 AD 服務安全的最佳方案。
問世多年的 Microsoft Active Directory Domain Services (以下簡稱 AD 服務),是一種適用於 Windows 網路環境的工具,協助資訊人員管理企業網路內的身份、授權、驗證,以及資料存取權限等功能,吸引了全球前 1000 大企業中 90% 的採用。儘管 AD 服務功能強大,但也隱藏著容易被忽略的資安風險,如錯誤設定、漏洞及內建功能,這些風險早已成為駭客鎖定的攻擊目標。一旦駭客利用這些漏洞入侵企業網路,便能在網路環境中橫向及縱向移動,進而在未經授權的情況下存取各項重要資源,甚至散播各種惡意程式、加密勒索,成為資安防護上的重大威脅。
AD 服務的風險不僅存在於企業網路中,還延伸至 Azure 雲端環境,因為該服務使用的 Entra ID 帳號經常源自於 AD 的同步。當資訊人員給予員工帳號不適當的權限設定時,駭客同樣可以輕鬆存取雲端環境中的各種資源。事實上,現今全球各地發生的雲端資料外洩事件,主要都源自於雲端儲存的存取權限錯誤,這也凸顯了保護 AD 服務安全的重要性。
SentinelOne 推出的 Singularity Identity Posture Management(SIPM)和 Singularity Identity for Identity Providers(SIDP)方案,已在全球市場累積眾多成功案例,被譽為保護 AD 服務安全的最佳方案。
AD 服務風險高,成資安防護未爆彈
根據 Microsoft 公布的 2023 年雲端權限風險狀況報告指出,隨著企業對雲端服務的依賴日漸加深,現今工作負載帳號數量與員工身份的比例為 10:1,約是 2021 年的 2 倍以上。常見的雲端權限風險種類繁多,包括可存取雲端基礎架構的工作帳號設定錯誤、超級管理員帳號,以及長時間未使用的殭屍帳號等,這些都容易被忽略的資安風險。特別是當駭客獲得超級管理員存取權限後,他們將具備接管整個雲端環境的能力,對企業帶來的衝擊難以估量。即便是允許外部使用者存取雲端環境或安裝應用程式等簡單操作,亦屬於高風險行為,容易被駭客利用。
企業要減少使用 Microsoft AD 服務的資安風險,主要有兩種解決方案。第一種是透過外部資安專家的協助,定期針對 AD 服務架構進行檢查,如 AD 設定、使用者群組、策略和其他配置,找出可能影響營運的漏洞和錯誤設定,並提供完整的調查報告,作為企業解決資安風險的參考。一般來說,外部資安專家在資安團隊完成修補工作後,會再度協助企業進行評估工作,確認是否順利完成漏洞修補,或透過其他補償性方案緩解潛在的資安風險。但在全球資安人才短缺的情況下,尤其是缺乏 AD 專業的教育訓練,企業不一定能進行修補工作,或者因優先順序不夠高而未及時修復,這些都可能成為資安防護中的不定時炸彈。
第二種方法則是利用專屬資安工具,評估 AD 和 Entra ID 資料庫中是否存在安全漏洞和錯誤配置。Gartner 將此類工具稱為持續威脅暴露管理(Continuous Threat Exposure Management,CTEM)。企業可以透過這類工具,定期針對 AD、Entra ID 基礎架構進行掃描,確認是否存在漏洞,並識別和解決發現的問題。資安人員可依據該工具產生的報告,持續改善漏洞,且成本通常低於聘請外部顧問,某些解決方案甚至提供符合法規的補救能力。
在眾多持續威脅暴露管理工具中,SentinelOne 推出的 Singularity Identity Posture Management 和 Singularity Identity for Identity Providers 等解決方案,能夠妥善消除 AD 和 Entra ID 資料庫的漏洞問題,成為許多企業的首選工具。
即時解決 AD 與 Entra ID 漏洞,保護數位資產安全
在眾多企業環境中,AD 服務扮演著驗證員工或應用程式身份的重要角色。駭客深知只要利用該機制的漏洞,即可獲得極高的管理存取權限,進而快速識別高價值目標、橫向移動、提升權限,甚至發送惡意軟體。因此,在大多數紅隊或滲透測試練習中,保護、偵測與阻擋 AD 攻擊已成為資安團隊的首要任務。
SentinelOne Singularity Identity Posture Management 是一套雲端服務的 CTEM 工具,旨在讓安全團隊透過數百個即時漏洞檢查機制,了解目前使用的 AD 服務和 Entra ID 等的安全狀態。SIPM 的最大特色在於通過 AD 物件分析、特權帳戶評估、過時帳戶識別,以及共享憑證使用等機制,及時揭示各種漏洞,如薄弱的策略、憑證收集和 Kerberos 漏洞。該軟體具備易於部署的特性,且在完成第一次掃描後立即提供結果,資安團隊可以藉此了解各種 AD 攻擊手法的路徑,如惡意網域控制站、作業系統問題和其他漏洞,並能快速修復發現的問題,確保高優先級問題得到應有的關注。
至於 Singularity Identity for Identity Providers 則提供與 SIPM 相同的身分攻擊面防護功能,同時新增 AD 攻擊偵測和條件存取功能,以此保護本機企業的身分基礎架構。當 SIDP 安裝在 AD 網域控制站上後,能夠提供對攻擊指標的全面可見性,並偵測針對網域控制站的攻擊流量,依照企業需求持續偵測 AD 攻擊行為。一旦發現可疑攻擊行為,SIDP 會立即通知管理員處理並提供相關資訊,達到持續偵測和防止進階威脅入侵的目標。
透過 SentinelOne 的 Singularity Identity Posture Management 和 Singularity Identity for Identity Providers 等方案的搭配,企業可以有效強化整體資安防護能力,透過強大的偵測和回應功能減少身分攻擊的風險,確保 Active Directory、Entra ID 的安全,進而妥善保護企業的數位資產安全。
SentinelOne 專業服務團隊:威雲科技股份有限公司
台北市內湖區瑞光路335號5樓 電話: 02-7721-8168
台中市西區忠明南路62號6樓之2 電話: 04-2328-5588
熱門新聞
2024-09-16
2024-09-17
2024-09-16
2024-09-13
2024-09-16
2024-09-17
2024-09-16
2024-09-16