“Tenable Identity Exposure 讓我的工作變得非常輕鬆。它消除了人們不進行修復工作的所有藉口,並給予他們信心和保證,確保他們所做的是正確的。沒有其他產品能夠做到這一點。”——州政府安全系統工程師(SSE)
主要業務需求
這家州政府就業機構使用的是基於二十多年前最佳實踐設計的過時 AD 架構,對組織的暴露和安全風險感到擔憂,這些風險同樣影響依賴其服務的雇主和客戶。該機構正在使用 Tenable Identity Exposure(前稱 Tenable.ad)來降低風險並在攻擊者找到利用途徑之前消除攻擊路徑。
Active Directory (AD) 是組織內最關鍵業務應用和服務的核心事實來源。其複雜性和不斷變化的攻擊面使 AD 成為攻擊者提升權限並利用已知漏洞和錯誤配置進行橫向移動的首選目標。
該州就業機構使用基於二十多年前最佳實踐設計的過時 AD 架構,對組織及其依賴該服務的雇主和客戶的暴露和安全風險感到擔憂。該機構正在使用 Tenable Identity Exposure(前稱 Tenable.ad)來降低風險並在攻擊者找到利用途徑之前消除攻擊路徑。
「AD 是一個嚴重未被充分調查的攻擊向量。」該機構的安全系統工程師(SSE)說道。「我們必須掌握這些情況並進行討論。Tenable Identity Exposure 幫助我們實現了這一目標。」
每個數據洩露頭條背後都是一個不安全的 AD 部署
該大型機構致力於在困難時期幫助工人和企業取得成功,負責管理該州的失業系統。
遵循2000年代初的安全協議,該州的所有政府機構都連接到單一的 Active Directory 根域,而就業部門只是近35個子域之一。
儘管 Active Directory 使用20年甚至更長時間並不少見,但該機構認識到,AD 中服務和權限的相互依賴性可能會暴露機構、員工、客戶和企業的個人身份信息。即使是最小的疏忽、錯誤配置或權限錯誤,也可能帶來災難性後果,使用戶面臨身份盜竊、欺詐甚至勒索軟體攻擊的風險。
「我們都受到最小機構的最差安全實踐的影響。而且因為我們是公共機構,攻擊者已經贏了一半,因為他們可以在公共領域獲取我們的用戶名。」SSE 說道。「因此,該機構特別容易受到密碼攻擊、網路釣魚和密碼噴灑的攻擊。」
了解到需要改變以使 Active Directory 與最新安全實踐保持一致,但無法進行這些更改,安全團隊需要獲得幾千個資產的可見性,以便與高層管理人員進行深入討論。
SSE 表示,「人們不會意識到 Active Directory 作為跨步入其他環境的機制有多麼脆弱,直到他們陷入事件中。如果攻擊者獲得已知帳戶的憑據,很難確定該活動是正常業務操作還是有人在利用現有資源收集數據並做惡意事情。坦率地說,我的立場是我們已經被攻破了,我們一直被攻破,需要重建域。」
為了獲得所需的可見性,該機構實施了 Tenable Identity Exposure,一個持續掃描 AD 以發現新弱點和攻擊並實時向用戶發出警報的安全平台。
這種基於風險的 AD 安全主動方法提供了對 Active Directory 的完全可見性,包括所有漏洞和攻擊活動。安全團隊可以預測攻擊者可能瞄準的路徑,並採取行動實時檢測、關閉和防止攻擊。
Tenable Identity Exposure 還使該機構能夠主動發現和優先處理現有 Active Directory 域中的弱點,並按照 Tenable Identity Exposure 的分步修復指南減少暴露。通過加固 Active Directory,該機構能夠阻止攻擊者,消除其潛在行動,並確保較少的數據洩露導致權限提升、橫向移動或惡意軟件執行。
使用戰術和上下文感知的修復結果揭示 Active Directory 弱點
在部署 Tenable Identity Exposure 後不久,安全團隊發現一個域管理員正在從一個惡意補丁庫中獲取補丁來修補域控制器。與 Microsoft 的 Active Directory 支持工程師合作,團隊根據 Tenable Identity Exposure 的發現重建了域控制器並清理了 Active Directory 環境。
這包括刪除數百個組策略,這些策略由 Tenable Identity Exposure 提供的戰術和上下文感知的修復建議支持。這些努力大大改善了該州 Active Directory 的安全狀況。
對於團隊無法自行解決的安全問題,Tenable Identity Exposure 提供了風險指標的可見性和一個讓人們對工作充滿熱情的用戶友好界面。成功地向高層領導展示了這些問題後,該州現在正處於18個月過程中的第一年,致力於修復其 Active Directory 中的風險。
Tenable Identity Exposure 還使安全團隊能夠提供不良操作實踐的證據,以使行為與最佳安全實踐保持一致。例如,一個域管理員在一個運行域管理員憑據的成員服務器上設置了一個計劃任務。管理員不願做任何改變,直到團隊指出 Tenable Identity Exposure 中詳述的暴露情況,以及清晰的緩解指示。
SSE 說道:「Tenable Identity Exposure 讓我的工作變得非常輕鬆。它消除了人們不進行修復工作的所有藉口,並給予他們信心和保證,確保他們所做的是正確的。沒有其他產品能夠做到這一點。」
安全團隊對 Tenable 提供的支持和創新感到滿意。「在疫情期間,來自競爭性漏洞管理供應商的支持變得很差,」SSE 指出。「我對 Tenable 的稱讚不夠。支持人員和安全工程師都非常出色。我們有四家非常滿意的最佳產品供應商,而 Tenable 是其中之一。」