Yritysidentiteettiin kohdistuvat uhat kehittyvät jatkuvasti, ja kun hyökkääjä murtautuu identiteettijärjestelmään, vaikutukset ovat pitkäaikaisia ja kalliita. Tässä yhteydessä Active Directoryn (AD) ja sen pilvivastineen, Entra ID/Azure AD:n, auditoinnista ja vahvistamisesta on tullut päivittäinen välttämättömyys IT- ja tietoturvatoiminnalle. Oikeiden työkalujen valitseminen ja niiden tarjoamien mahdollisuuksien ymmärtäminen Se on ensimmäinen askel aukkojen umpeen kuromiseksi ennen kuin joku käyttää niitä hyväkseen.
Tunnetuimpia ilmaisvaihtoehtoja ovat Purple Knight (Semperis) ja PingCastle (alun perin Vincent Le Touxin luoma ja tällä hetkellä osa Netwrix-ekosysteemiä). Molemmat toimivat sujuvasti ja tarjoavat arvokasta diagnostiikkaa, mutta niiden lähestymistapa, metodologia ja kohdeyleisö eroavat toisistaan. Vertaile niitä tarkasti unohtamatta niiden rajoituksia ja vahvuuksia.Sen avulla voit päättää, milloin käytät jompaakumpaa tai miksi yhdistät ne saadaksesi niistä kaiken irti.
Identiteettiturvallisuus: miksi keskittyä Active Directoryyn ja Entra ID:hen
AD ja Entra ID keskittyvät tyypillisesti tilien, käyttöoikeuksien, todennuksen ja luottamussuhteiden hallintaan; jos ne epäonnistuvat, koko yrityksen käyttöoikeuksien ydin pettää. Näihin järjestelmiin tehdyt tunkeutumiset voivat pysyä näkymättöminä kuukausien ajan.Tämä paljastaa kriittisiä resursseja ja helpottaa sivuttaissiirtoa. Siksi identiteettiturvallisuuden vahvistaminen edellyttää Active Directoryn ja sen pilvikerroksen priorisointia. Kertaluonteiset arviointityökalut auttavat saamaan selkeän kuvan riskistä, kun taas jatkuvan valvonnan työkalut mahdollistavat oikea-aikaisen puuttumisen poikkeamiin.
PingCastle: Kypsyysperusteinen tilannekuva AD-ympäristöstä
PingCastle syntyi Vincent Le Toux'n kehittämänä Active Directoryn arviointityökaluna C#:lla ja vakiinnutti asemansa markkinoilla ilmaisella perusversiolla vuodesta 2017 lähtien. Sen tarkoituksena on mitata Active Directoryn riskiä ja tietoturvakypsyyttä mallien ja sääntöjen perusteella.käytännön päätöksiin keskittyvän terveys- ja riskiraportin laatiminen.
Mitä PingCastle tekee hyvin
Yksi sen vahvuuksista on teknisen datan muuntaminen kontekstuaaliseksi tiedoksi: se analysoi muun muassa Active Directory -aliprosesseja, luottamussuhteita, etuoikeutettuja tilejä ja vanhentuneita objekteja. Tuloksena on riskiluokitus ja yksityiskohtainen raportti, joka voidaan yhdistää muihin, mikä helpottaa vertailuja ajan kuluessa. Lisäksi se sisältää Active Directory -kartan hierarkioiden ja trustien visualisoimiseksi.Tämä nopeuttaa monimutkaisten ympäristöjen ymmärtämistä ja paljastaa unohdettuja alueita.
- Riskien ja terveyden arviointi sisäisten mallien ja sääntöjen perusteella, pisteytyksellä ja riskiraportoinnilla.
- Oikeuksien näkyvyys ja mahdolliset reitit kriittisiin kohteisiin, keskittyen korkean käyttöoikeuden omaaviin tileihin.
- Verkkotunnus- ja luottamuskartoitus visualisoida suhteita, mukaan lukien luottamusnäkökohdat Azure AD/Entra ID:n avulla.
- Raporttien yhdistäminen vertailuanalyysejä, KPI-mittareita ja johdon koontinäyttöjä varten (korkeampissa versioissa).
PingCastle menee hakemiston ulkopuolelle ja suorittaa työasemien tarkistuksia vaarallisten käytäntöjen varalta. Tunnistaa liiallinen paikallisten ylläpitäjienhuonosti suojatut jaetut resurssit, haavoittuvuudet kuten WannaCry ja jopa epäsäännöllisyyksiä aloitusajassa, mikä auttaa paljastamaan takaportteja ja delegoinnin heikkouksia, jotka voisivat helpottaa sivuttaisliikettä.
Miten se toimii ja mitä se tarjoaa
PingCastlen moottori kerää tietoja käyttämällä etuoikeuttamattomia LDAP-kyselyitä ja WMI:tä, ja se voidaan integroida seuraaviin: powershell-skriptit, ja käyttää luokkiin ryhmiteltyä riskimallia: vanhentuneet objektit, etuoikeutetut tilit, trustit ja poikkeamat. Tuloksena oleva raportti tuo esiin kriittisiä ongelmia (esimerkiksi vanhentuneet luottamusprotokollat, hauraat delegoinnit, heikot Kerberos-määritykset tai suojaamattomat hallintapolut) ja määrittää AD-terveyspistemäärän: mitä alhaisempi, sitä parempi.
Hybridi-ympäristöissä PingCastle voi raportoida, onko luottamussuhde Azure AD:hen hyvin suojattu. Karttanäkymä ja tulosten yhdistäminen Ne ovat erityisen hyödyllisiä organisaatioille, joilla on useita verkkotunnuksia tai useita luottamussuhteita, joissa yhteyden menettäminen on helppoa.
Versiot, lisenssi ja laajuus
Perusversio on ilmainen oman ympäristön auditointiin, kun taas Auditor/Standard- ja Professional-versiot lisäävät edistyneitä ominaisuuksia ja kaupallista tukea. Markkinoilla on tilauksia, kuten Auditor (noin 3 449 dollaria/vuosi) ja Professional. (noin 10 347 dollaria verkkotunnusta kohden vuodessa) sekä Enterprise-versio, jossa on konsolidointiominaisuuksia ja globaali näkökulma suurille yrityksille. Projekti allekirjoittaa binääritiedostonsa ja julkaisee koodin OSL 3.0 (Non-Profit) -lisenssillä, johon liittyy rajoituksia luvattomaan kaupalliseen käyttöön.
PingCastlen tunnetut rajoitukset
Useita toimialueita sisältävissä käyttöönotoissa raportit voivat olla tiheitä ja joissakin määrin vaikeasti navigoitavia, jos konsolidointiprosesseja ja näkymiä ei ole määritetty. Ilmaisversio ei sisällä edistyneitä raportteja tai yksityiskohtaisia korjausoppaita.ja keskitytään altistumisen ja riskin indikaattoreihin, ei jo toteutuneisiin kompromissin merkkeihin.
Purple Knight: Näkyvyys- ja sitoutumisindikaattorit yhdellä napsautuksella
Semperis julkaisi Purple Knightin vuonna 2021 ilmaisena tietoturva-arviointityökaluna Active Directorylle ja hybridiympäristöille. Sittemmin siitä on tullut suosikki, koska se keskittyy altistumisindikaattoreihin (IOE) ja vaarantumisindikaattoreihin (IOC). Sen tavoitteena on paljastaa riskialttiita kokoonpanoja ja todisteita tunkeutumisesta. Kirjoita AD:hen ID/Azure AD ja jopa Okta.
Indikaattorit, kategoriat ja viitekehykset
Purple Knight ryhmittelee tulokset viiteen pääalueeseen: AD-delegointi, AD-infrastruktuurin suojaus, tilin suojaus Ryhmäkäytäntöjen suojaus (ryhmäkäytäntöobjekti) ja Kerberos-suojaus. Raportissa käytetään "tiedotetta", jossa on luokitus luokittain ja kokonaisprosenttiosuus., tarjoamalla priorisoituja korjaustoimenpiteitä, vakavuusastetta (informatiivinen, varoitus tai kriittinen) ja vastaavuuksia kehyksiin, kuten MITRE ATT&CK ja ANSSI, sekä viittauksia MITRE D3FEND -malliin.
- Yli sata indikaattoria (ja uudemmat versiot ylittävät tuon luvun helposti) kattaen yleisiä hyökkäysvektoreita.
- IOE:n ja IOC:n välinen ero erottaakseen mahdolliset määritysvirheet aktiivisen tietomurron todisteista.
- Määräävät korjausohjeet ja priorisoituna riskin ja hyväksikäytön todennäköisyyden mukaan.
- Hybridikattavuus paikallisella AD:llä, Enter ID:llä/Azure AD:llä ja Okta-tuella.
Käyttäjäkokemus ja raportointi
Työkalu on kannettava ja siinä on graafinen käyttöliittymä. Lataat ZIP-tiedoston, purat sen ja suoritat binääritiedoston. Käynnistyksen yhteydessä se tunnistaa metsät ja verkkotunnukset ja antaa sinun valita, mitä IOE/IOC:tä suoritetaan – sekä siniset että punaiset tiimit arvostavat tätä tarkkuutta. Skannaus on yleensä valmis muutamassa minuutissa ja luo HTML-raportin, joka sisältää kriittisten IOE-tietojen tarkistuslistan sekä selkeät selitykset linkkeineen dokumentaatioon.
"Arviointilomakkeen" muoto on kätevä: kirjain ja prosenttiosuus, joilla on eri painoarvot kullekin kategorialle. Kuvaukset sisältävät syyn, vaikutuksen, sopivuuden tietoturvakehyksiin ja korjaavat toimenpiteet.Purple Knight toimii lukutilassa, ei tee muutoksia Active Directoryyn eikä "soita kotiin"; se voidaan toistaa säännöllisesti ilman, että tuotantoympäristölle aiheutuu vaaraa.
Rekisteröinti, yhteisöversio ja kehitys
Työkalun lataaminen edellyttää rekisteröitymistä ja Semperis tarjoaa linkin; se myös ilmoittaa käyttäjille uusista versioista ja jatkuvista parannuksista. Yhteisöversiota päivitetään usein Ja se on säilyttänyt huomattavan kiillon nuoruudestaan huolimatta, ja parannuksia on tehty yhteisön palautteen perusteella.
Rajoitukset ja miten niitä täydennetään
Purple Knight suorittaa kertaluonteisia arviointeja; se ei ole jatkuva valvontaratkaisu eikä automatisoi itsessään riskien lieventämistä. Tämän kerroksen tarjoaa Semperisin Directory Services Protector (DSP).joka on maksullinen palvelu ja suunnattu reaaliaikaiseen identiteettiuhkien havaitsemiseen ja niihin reagoimiseen (ITDR), hälytyksillä ja haitallisten muutosten kumoamisella.
Purple Knight vs. PingCastle: mitä niillä on yhteistä ja miten ne eroavat toisistaan
Vaikka molempia työkaluja voidaan käyttää Active Directory -tietoturvan arviointiin ja hybridiympäristöjen tukemiseen Entra ID:n/Azure AD:n avulla, niiden painopiste ei ole sama. PingCastle priorisoi kypsyysmenetelmä ja ”terveystarkastus”-raportin riskipisteineen; Purple Knight keskittyy IOE/IOC-tasoihin ja erittäin toimintasuositusten mukaisten korjaavien toimenpiteiden oppaan tarjoamiseen. Ensimmäinen tarkastelee lähemmin "mallia" ja AD-ekosysteemin tilaa., kun taas toinen tarjoaa erittäin monipuolisen tilannekuvan, joka voidaan korjata nopeasti.
Käytön helppouden suhteen Purple Knight erottuu edukseen käyttöliittymänsä ja yksityiskohtaisen testivalikoimansa ansiosta; PingCastlen verkkotunnuskartta ja raporttien yhdistäminen loistaa organisaatioissa, joissa on useita metsä- ja trustihallintoalueita. Raportoinnissa Purple Knight arvioi kategorioittain pisteillä ja prosenttiosuuksilla.Ja PingCastle tarjoaa yleisen terveyspistemäärän, jossa pienempi luku on parempi.
Purple Knight kattaa AD:n, Entra ID:n/Azure AD:n ja Oktan ja kartoittaa löydökset MITRE ATT&CK:lle ja ANSSI:lle priorisoiden korjaavia toimenpiteitä. PingCastle puolestaan tarjoaa analyysin delegoinneista, vanhentuneista objekteista, paikallisista oikeuksista ja päätepisteiden haavoittuvuuksista.Ja se voi arvioida luottamuksen turvallisuutta Azure AD:n avulla. Mahdollisuus löytää unohdettuja toimialueita ja yhdistää tulokset on etu, kun raja on hämärtynyt.
Lisensoinnin osalta Purple Knight tarjotaan ilmaisena työkaluna (rekisteröinnin jälkeen); jatkuvat ja korjaavat ominaisuudet löytyvät kaupallisesta Semperis DSP:stä. PingCastle tarjoaa ilmaisen perusversion henkilökohtaiseen käyttöön. ja maksulliset versiot (Auditor/Standard, Professional, Enterprise) laajennetuilla toiminnoilla, tuella ja skaalautuvuudella.
Kumman valita? Jos etsit nopeaa ja selkeää arviota priorisoiduilla korjausohjeilla, Purple Knight on täydellinen valinta. Jos tarvitset kypsyysmenetelmän, jossa on toimialuekartoitus ja riskien konsolidointi Satojen tai tuhansien segmenttien kohdalla PingCastle saattaa sopia paremmin, etenkin maksullisten versioidensa ansiosta. Käytännössä monet organisaatiot käyttävät molempia: yhdistelmä tarjoaa ristivalidoinnin ja syvemmän kattavuuden.
Toteutuksen ja tulosten käytännön yksityiskohdat
Molemmat työkalut ovat kannettavia ja niitä voidaan käyttää useimmissa yhteyksissä tavallisilla käyttäjätunnuksilla, ja tiedot kerätään pääasiassa lukemalla. Tämä helpottaa omaksumista tiimeille, joilla on rajalliset resurssit. ja välttää kitkaa tuotantojärjestelmien kanssa, koska ne eivät tee muutoksia.
Purple Knight tallentaa tuloksensa HTML-muodossa loogisella rakenteella ja linkeillä dokumentaatioon sekä tarkistuslistalla, joka korostaa kiireellisiä asioita. Vakavuusasteen mukainen jaottelu ja viittaukset kehyksiin Se tarjoaa kontekstia tietoturvajohtajille ja teknisille tiimeille. PingCastle puolestaan toimittaa raportin, joka sisältää pisteytyksen, priorisoidut löydökset ja haluttaessa konsolidoidut näkymät KPI-mittareiden ja neljännesvuosittaisen seurannan helpottamiseksi.
Varoitukset ja käyttöön liittyvät näkökohdat
PingCastlen avulla, monimetsäympäristöissä tai kymmenien verkkotunnusten kanssa raporttien navigointi ja priorisointi saattavat vaatia lisätyötä. Perusversiosta puuttuu edistyneitä ominaisuuksia ja kattavia oikolukuoppaitaNämä ominaisuudet sisältyvät maksullisiin lisensseihin. Kertaluonteisena arviointina Purple Knight ei korvaa jatkuvaa valvontajärjestelmää, eivätkä sen automaattiset riskienhallinnan ominaisuudet ole käytettävissä ilmaisversiossa.
Kumpaakaan niistä ei ole tarkoitettu Alzheimerin taudin IDS:ksi/IPS:ksi; ne ovat diagnostisia täydennyksiä, jotka tukevat korjaavia ja kypsyyssuunnitelmia. Reaaliaikaisia hälytys- ja reagointitarpeita vaativissa tilanteissaITDR-ratkaisut, kuten Semperis DSP tai jatkuvan tarkastuksen tarjoukset, tulevat kuvaan.
Muita ekosysteemiä täydentäviä työkaluja
Kun keskitytään jatkuvuuteen ja jokaisen muutoksen tallentamiseen kontekstiinsa, Netwrix Auditor tarjoaa muutostenhallintaa Active Directoryssa ja muissa järjestelmissä (Exchange, SQL Server, SharePoint, Microsoft 365, Teams jne.). Sen keskipisteenä on käyttäjien varoittaminen epäilyttävistä muutoksista. (esimerkiksi jos käyttäjä lisätään toimialueen järjestelmänvalvojat -ryhmään) ja ylläpitää määrityshistoriaa, joka sisältää hallintaan hyödyllisiä näkymiä.
Hyökkäyspolkujen ja ohjaussuhteiden ymmärtämiseksi BloodHound on klassinen avoimen lähdekoodin (GPL-3.0) työkalu, joka mallintaa objekteja, suhteita ja käyttöoikeuksia AD:ssä kääntäjillä, kuten SharpHound ja AzureHound. Se on avainasemassa sekä punaisille että sinisille joukkueille. jotka haluavat visualisoida "lyhimmän reitin" kriittisiin tavoitteisiin ja sulkea kiipeilyreittejä.
Reaaliaikaisen reagoinnin ja valvonnan alueella Semperisin Directory Services Protector (DSP) tarjoaa jatkuvaa valvontaa, hälytyksiä ja jopa automaattisen palautuksen vastauksena haitallisiin muutoksiin sekä AD:ssä että Entra ID:ssä. Se toimii puuttuvana ITDR-kerroksena pistearvioinnissa. ja nopeuttaa identiteettitapahtumien eristämistä.
Ranskalainen ANSSI (Ranskan tietoturvavirasto) tarjoaa apuohjelmia, kuten ORADAD for Active Directory ja ORADAZ for Azure/Entra, joita käytetään edistyneissä auditoinneissa. Vaikka tiedonkeruu on julkista, täydellinen käsittely vaatii julkaisemattomia työkaluja. Nämä ovat arvokkaita referenssejä tiimeille, jotka noudattavat hallituksen ohjeita. tai haluavat yhdenmukaistaa auditoinnit tunnustettujen parhaiden käytäntöjen kanssa.
Joissakin markkinavertailuissa on esitetty tarjouksia, joissa on hosting-palveluita ja erilaisia käyttöönottoja (Windows-palvelu, kannettava, paikallinen tai SaaS), korrelaatiota MITRE ATT&CK:n kanssa, vientiä CSV-tiedostoon, usean vuokralaisen tukea ja vaihtoehtoja riskien hyväksymiseen dokumentoidulla tavalla. Käytännössä valinta tiivistyy tasapainotteluun pistokoeauditoinnin, häiriöiden havaitsemisen ja jatkuvan hallinnon välillä.Ottaen huomioon budjetit, lisenssit (joissakin tapauksissa ilmainen henkilökohtaiseen käyttöön) ja kumppanituen.
Usein kysytyt kysymykset: Voinko estää käyttäjää suorittamasta näitä työkaluja?
Tämä on yleinen kysymys, kun huomaat, että kannettavia työkaluja voi käyttää ilman järjestelmänvalvojan oikeuksia. Yleensä Purple Knight ja PingCastle toimivat vain luku -tilassa, ja käyttäjällä on oikeudet tehdä kyselyitä hakemistosta. Jos tavoitteena on rajoittaa sen suorittamista, sovellusten hallinta tulee mukaan kuvaan.Käytännöt, kuten AppLocker tai Windows Defender Application Control (WDAC), tai ohjelmistorajoitussäännöt auttavat rajoittamaan luvattomia binääritiedostoja. Lisäksi Active Directoryn käyttöoikeuksien vahvistaminen vähentää arkaluonteisten tietojen altistumista vakiokäyttäjille.
AD-tietoturvamalli kuitenkin olettaa, että todennetut käyttäjät voivat lukea tiettyjä tietoja, koska monet sovellukset ovat siitä riippuvaisia. Tehokkaaseen lieventämiseen kuuluu delegointien vahvistaminen, valvontareittien auditointi ja etuoikeuksien vähentäminen.Näiden työkalujen avulla voidaan havaita ja korjata asioita, joiden ei pitäisi olla näkyvissä tai käytössä. Ennaltaehkäisyn ei pitäisi perustua pelkästään suoritettavien tiedostojen estämiseen, vaan pikemminkin hyökkäyspinnan poistamiseen kokoonpanotasolla.
Yleisiä käyttötapauksia ja älykkäitä yhdistelmiä
Pieni IT-tiimi, joka tarvitsee nopean diagnoosin ja selkeän vianmääritysoppaan, arvostaa Purple Knightia. Vakavuusasteen mukainen priorisointi ja sen yhdistäminen mahdollistaviin viitekehyksiin Sen avulla käyttäjät voivat valmistella penetraatiotestejä, osoittaa edistymistä ja viestiä riskeistä johdolle. Samaan aikaan toistuvat sisäiset tarkastukset ja useita toimialoja palvelevat konsulttiyritykset hyötyvät PingCastlen kypsyysmallista, toimialueiden kartoituksesta ja konsolidointiominaisuuksista.
Monet organisaatiot käyttävät molempia työkaluja eri sykleissä saadakseen täydentävää tietoa: ensin "tilannekuvan" IOE/IOC:n kanssa, jota seuraa prosessien ja kypsyyden tarkastelu yhdistettyjen terveystarkastusten avulla. Ristivalidointi vähentää vääriä negatiivisia tuloksia ja parantaa korjaavien toimenpiteiden priorisointia.kriittisten aukkojen sulkemisen nopeuttaminen ja identiteettihygienian parantaminen keskipitkällä aikavälillä.
Hopealuotia ei ole. Hyvä valinta edellyttää tarpeiden ja kyvykkyyksien yhteensovittamista: tilannekuva ohjaavine ohjeineen vai kypsyysmalleineen ja -karttoineen? Kertaluonteinen arviointi vai jatkuva seuranta ITDR:n avulla? Vastaus on yleensä "kyllä ja..." eikä yksiselitteinen "tai".Yhdistämällä ilmaisen arvioinnin riski- ja budjettikohtaisesti räätälöityihin valvontaratkaisuihin.
Jos tavoitteena on parantaa identiteettiturvallisuutta kestävästi, on suositeltavaa ajoittaa säännöllisiä arviointeja, tarkastella delegointeja ja luottoja sekä ylläpitää tilihygieniaa, ryhmäkäytäntöjä (ja ADMX-tiedostot) ja Kerberos. Purple Knightin ja PingCastlen yhdistetty käyttö sekä muutostarkastuskerros ja/tai ITDRSe tarjoaa oikean tasapainon varhaisen havaitsemisen, priorisoidun korjauksen ja AD:n ja Entra ID:n tilan jatkuvan seurannan välillä.