1、赵阳赵阳Tenable中国区总经理确保确保AD域控安全应对域控安全应对网络高级威胁攻击网络高级威胁攻击AD是网络基础设施的核心单元是网络基础设施的核心单元Active Directory拥有进入拥有进入企业内网的钥匙企业内网的钥匙控制身份验证，保留所有密码管理着对每一项重要资产的访问权是一款已有20年历史的产品设计升级AD配置更新多年的技术债务积累了太多问题Active Directory实现干净的实现干净的AD是一个神话是一个神话黑客知道如何利用它的弱点黑客知道如何利用它的弱点USERS&CREDENTIALSICS&SCADAE-MAILAPPLICATIONSCLOUD RESOURCE

2、SCORPORATE DATA几乎每起登上头版头条的信息泄露信息泄露事件背后都与已知漏洞和不安全的不安全的 Active Directory 有关！广泛被攻击的根本原因广泛被攻击的根本原因4UNITED NATIONSJanuary 2020SINGHEALTHOctober 2018CARBANAKFebruary 2015AURORAJanuary 2010SONYNovember 2014BALTIMOREJune 2019TARGETDecember 2013NORSK HYDROMarch 2019的企业存在严重关键配置错误的的企业存在严重关键配置错误的ACTIVE DIRECTOR

3、Y问题，根据全球组织进行的评估问题，根据全球组织进行的评估80%新恶意软件包括特定代码新恶意软件包括特定代码以攻击以攻击ACTIVE DIRECTORY为目标为目标利用利用CVE-2020-14725小时内，从初始网络小时内，从初始网络钓鱼到域管理员钓鱼到域管理员RYUK企业或组织企业或组织依赖依赖ACTIVE DIRECTORY服务服务95%现代安全攻杀链框架现代安全攻杀链框架针对选定目标针对选定目标的钓鱼活动的钓鱼活动初始端点初始端点中招中招公司基础公司基础设施制图设施制图本地权限本地权限获取获取横向移动横向移动特权帐户上的特权帐户上的凭据重现凭据重现AD的特权的特权升级升级后利用（持久后

4、利用（持久性、植入后门）性、植入后门）业务资源业务资源篡改篡改使用侧通道使用侧通道渗出数据渗出数据目标识别目标识别渗透测试渗透测试合规与审计工具合规与审计工具基于基于SIEM的相关性的相关性基于基于Agent的行为检测的行为检测AD安全问题，我们安全工程师关注太安全问题，我们安全工程师关注太少少黑客关注太多黑客关注太多目前采用的常见方法目前采用的常见方法RYUK 勒索软件勒索软件案例案例7通过网络钓鱼攻击作为附件分发的恶意文档文件（Dropper）用户被邀请打开附件，然后运行恶意代码（1）下载附加代码：Trickbot或EmotetTrojan.W97M.POWLOADTrojanSpy.Wi

5、n32.TRICKBOTOrTrojanSpy.Win32.EMOTETDropper下载Trickbot（2）或Emotet（2）用于：窃取凭据Active Directory侦察使用AD执行横向移动：MS17-010漏洞（SMB攻击）网络共享（泄露帐户）PsExec当检测到AD错误配置（攻击路径）时，将下载代码（3）的最后一部分并将其部署到企业中执行后，它将执行其加密例程：本地和共享文件被加密，赎金notes被激活Ransom.Win32.RYUK等待等待AD配置错误配置错误TRICKBOTDomainGrabberAV和和EDR被停用被停用1231223DomainGrabber代码是执

6、行代码是执行Active Directory侦察的特定侦察的特定“工具工具”Active Directory安全遇到的问题安全遇到的问题8二十年二十年AD安全基础未变安全基础未变 经过多年的发展和重组，AD可能会存在数百个隐藏的弱点和攻击途径 也是横向移动的机会1.存在大量的弱点可被利用存在大量的弱点可被利用 在大型组织中，每天都会出现多种新的攻击途径 复杂的威胁参与者从最初的感染到控制域只需要短短17分钟的时间2.不断涌现新的攻击途径不断涌现新的攻击途径4.数十年无助的检测技术数十年无助的检测技术 一些最恶性的攻击（例如DCSync和DCShadow）留下零跟踪，无法被老式基于日志和代理的检

7、测策略捕获 Active Directory会创建大量的日志，并且消除这种噪声消耗会导致事件响应和威胁搜寻资源。当每一秒钟都变得很重要时，复杂性就是您的敌人3.事故响应的噩梦事故响应的噩梦80%的攻击使用的攻击使用AD执行执行横向移动和权限提升横向移动和权限提升60%的新恶意软件包含针的新恶意软件包含针对对AD错误配置的特定代码错误配置的特定代码针对大型企业的大规模勒索针对大型企业的大规模勒索感染增加感染增加AD是恶意软件的是恶意软件的主要设计攻击行为主要设计攻击行为2020年年Q1，嵌入的，嵌入的Mimikatz代码比代码比2019年年Q3/4增加增加42%如何回答有关如何回答有关ACTIV

8、E DIRECTORY这些问题这些问题目前的目前的AD基础设施安全嘛基础设施安全嘛?吗？吗？1当做出配置改变，是又创造一个新的当做出配置改变，是又创造一个新的AD攻击途径吗攻击途径吗?2如何发现及纠正如何发现及纠正AD中的错误配置中的错误配置?3有人正在攻击你的有人正在攻击你的AD吗吗?4如果你有被攻击的嫌疑，你怎么调查发生了什么如果你有被攻击的嫌疑，你怎么调查发生了什么?5如果受到攻击，是不是有人制造了如果受到攻击，是不是有人制造了“后门后门”稍后再来稍后再来?6理解对理解对AD安全来说什么是最重要的安全来说什么是最重要的?10事后事后检测与响应检测与响应在攻击期间快速检测、控制和补救在攻击

9、事后能溯源及处理事中事中防御防御被攻击时如何实时发现这些针对AD的攻击或恶意行为事前事前可视可视AD暴露风险在哪里？是否有弱点或攻击路径？Tenable.ad定位于现代威胁生态系统定位于现代威胁生态系统初始破坏初始破坏端点侵占端点侵占公司感染公司感染数据泄数据泄露露下一代下一代防病毒防病毒EDR 解决方案解决方案主机主机IPS/IDSUEBADLP解决方案解决方案蜜罐蜜罐EM AI H安全安全双因素认证双因素认证端到端加密端到端加密沙箱沙箱NAC0No existing solution bridge this gap现有的保护技术现有的保护技术现有的保护技术现有的保护技

10、术针对目标的针对目标的钓鱼活动钓鱼活动初始端点初始端点中招中招公司基础公司基础设施制图设施制图本地权限本地权限获取获取横向移动横向移动特权帐户特权帐户上的凭据上的凭据重现重现AD的特权的特权升级升级后利用后利用(持持久性、植久性、植入后门入后门)业务资业务资源篡改源篡改使用侧使用侧通道渗通道渗出数据出数据目标识别目标识别12 低风险低风险&轻量级部署轻量级部署基于虚拟化分布式部署无需安装Agent无需管理权限只利用微软标准协议 T.ad 13T.ad计算平台计算平台被选择的被选择的域控服务器域控服务器HD APUsers,computers,OUs,groupsK e roe ro sAuth

11、entication,forest-level trustsS M B/C I F SGPOs replicationD N SResources localization and topologyN e t B I O SIndex users and computersEl o oa l c a t a l o gDirectory objectsand schemaD S OU OP CReplication,trusts,objects metadata微软原生API无需Agent对DC负载无影响无需更大的网络带宽T.ad 私有化部署流程私有化部署流程14部署部署T.ad 软件包软件包

12、配置配置T.ad软件平台软件平台13在监控域内创建在监控域内创建AD用户账户用户账户2标准非特权服务帐户用于读取目录配置在Server 2016上安装T.ad软件包4选择监控域名在T.ad上为AD监督界面创建帐户连接SMTP服务器以接收电子邮件如果需要，连接到事件日志收集器微调微调T.ad 安全分析策略安全分析策略安全分析必须根据运营业务环境调整实时监控实时监控IoE暴露指标暴露指标6安全模型相关IOEKDCpasswordlastchangeProtectedusersPrivilegedaccountwithSPNLastlogondateforadminaccountsSDPropaga

13、torconsistencyReplicationpolicyObjectsaccesscontrolUnconstraineddelegationBitlockerkeyaccesscontrolDontexpireaccountsProtectedusersAdministrationattributePrivilegedgroupsmembershipReversiblepasswordstorageDisabledaccountsinpriv.groupsAnonymoususersbehaviorKerberosuseraccountsconfigFine-grainedpasswo

14、rdpolicyTrustsattributesDirectoryconfigurationBlockingOUManagedserviceaccountsObsoletesystemsTrustedcertificateauthoritiesSchemasecuritydescriptorDSRMaccountAdvancedauditpolicyRODCKDCaccountRODCmanagementaccountControlcachingpolicyonRODCRODCfilteredattributesRODCglobalrevealedgroupSensitiveGPOlinkLa

15、teralmoverestrictionEnforcedGPODisabledorunlinkedGPOS3S2S1S4S8S9S5S6S7A2A1A4A8A9A5A6A7A3C2C1C4C8C9C5C6C7C3R2R1R4R8R9R5R6R7R3账户相关IOE配置相关IOE只读DC相关IOE实时监控实时监控IoA攻击指标攻击指标6D C S y n c At t a c kD C S H AD O R At t a c kP a ssw o rd Eue ssi n gP a ssw o rd S p ra y i n gEo l d e n T i c ke t At t a c kHS

16、AS S M e mo ry At t a c kK e roe ro a st At t a c k提供提供AD基础设施的实时攻击面可视化基础设施的实时攻击面可视化17云化部署云化部署&私有化部署私有化部署 立即发现、绘制和评分现有的AD风险 遵循我们的逐步补救策略并防止攻击1.找到并修复现有找到并修复现有AD暴露风险暴露风险AD 管理员管理员蓝队蓝队&审计团队审计团队 不断发现新的漏洞和错误配置 打破攻击通道，控制你的威胁暴露2.发现新的攻击路径发现新的攻击路径AD 管理员管理员SOC 分析团队分析团队4.调查事件和回溯威胁调查事件和回溯威胁 在对象和属性级别搜索和关联AD配置更改 在你的

17、SOAR触发反应SOC 分析团队分析团队攻击溯源团队攻击溯源团队 获取有关AD攻击的警报和可操作的补救计划 帮助SOC团队在SIEM中可视化通知和警报3.实时检测正在进行的攻击实时检测正在进行的攻击事件响应事件响应攻击溯源团队攻击溯源团队无需安装无需安装Agents不需要高级权限不需要高级权限实时分析实时分析AD原生原生API对接对接提供全面的提供全面的AD安全可视能力安全可视能力事前事前 做好积极审核，让做好积极审核，让AD 管理员轻松管理管理员轻松管理AD让AD管理员轻易的管理ADAD上创建的任何新风险都将与补救建议一起即时标记高风险问题出现后立即发出警报，而不是由一般缓慢的审计举报。事中

18、事中 针对针对AD 攻击提供即时反应检测和补救建议攻击提供即时反应检测和补救建议让响应安全事件的团队能够快速检测和响应第一时间阻止AD攻击发生事后事后 提供便捷的审查功能帮助响应团队回溯提供便捷的审查功能帮助响应团队回溯AD 更改行为更改行为协助收集证据而不是浪费宝贵时间审查大量的事件日志减少非常耗时和困难程序 仪表盘实时展示仪表盘实时展示 暴露风险暴露风险IoE呈现呈现 攻击风险攻击风险IoA呈现呈现 实时追踪与回溯实时追踪与回溯AD事件事件对对典型的典型的 AD攻击报警指示攻击报警指示19选定目标后的钓鱼活动指示严重性合规趋势根域对象安全一致性敏感AD对象的危险访问权尝试异常登录的帐户域控

19、制器上的非法GPO链接原生本机管理组成员具有过期操作系统的系统CompliantCompliantCompliantCompliantCompliantModerate0感染目标计算机映射公司的基础设施123查找易受攻击的业务服务器4暴力破解收获服务器凭据5人力资源账户泄露6篡改授权模型拿下拥有GPO管理权账号78域控制器上的代码执行伪造流氓组策略对象9设置并复制用户密码Moderate检测到新的安全风险或攻击反常登录指示灯在危险状态下刚刚改变Critical检测到新的安全风险或攻击危险接入指示灯刚在危险状态下改变Critical检测到新的安全风险或攻击指标非法GPO刚刚在危险状态下发生变化C

20、ritical检测到新的安全风险或攻击指标ROOT-OBJECT-SECURITY刚刚在危险状态下更改我们带来的价值I T T e a msCIOIT ArchitectSystem AdministratorIAM specialistAD专员（如首席信息官）喜欢我们的产品：专员（如首席信息官）喜欢我们的产品：无缝及无代理部署不需要特权账号技术上它不能干扰AD运作能说他们的语言，让没有安全经验的AD从业者提高防御能力S e c uri t y T e a msCISOSecurity ArchitectSOC analystIAM specialist安全专家（如安全专家（如CISO）喜欢我们的产品：喜欢我们的产品：其广泛的范围涵盖了预测、检测和响应实践无接触式部署，短时间内覆盖他们庞大的基础设施，包括在企业并购期间能够在不干扰首席信息官团队的情况下实施AD安全无需安装无需安装 Agents无需特权账号无需特权账号全面的可视能力全面的可视能力快速见效快速见效