Den amerikanske ekspert i identitetsstyring, Semperis, har netop udgivet en rapport, der kortlægger it- og sikkerhedslederes viden om Active Directory-sikkerhed i både små og store virksomheder. Undersøgelsen er foretaget blandt brugere af Semperis’ Purple Knight-software, som er et gratis scannings- og vurderingsværktøj, der afdækker potentielle sikkerhedshuller i Active Directory (AD).

Rapporten Purple Knight 2023 blotlægger blandt andet, at den gennemsnitlige score for virksomheders AD-sikkerhed ligger på 72 ud af 100, hvilket er en stigning fra 61 året før, som eksperter kalder for en såkaldt ’low C’-karakter. Det betyder, at selvom fokus på identitetsstyring og brugerrettigheder er øget det seneste år, er der stadig et stykke vej til, at virksomhederne kan kalde deres AD for cyberrobust.

- Selvom den gennemsnitlige score i år er bedre end sidste år, viser resultaterne, at organisationer stadig kæmper med at identificere og adressere sikkerhedssårbarheder, der efterlader deres identitetsmiljøer åbne for cyberangreb, siger Guido Grillenmeier, der er Principal Technologist hos Semperis.

Ni ud af ti virksomheder anvender AD hver dag

Microsoft Active Directory (AD) var ved dets lancering en revolutionerende teknologi – oprindeligt lanceret med Windows 2000 Server-operativsystemet. Microsoft Active Directory fik succes af én bestemt årsag: det var åbent. Det er også denne åbenhed, der har gjort, at 90 pct. af alle virksomheder i dag har AD som en grundlæggende del af deres it-infrastruktur.

Men den åbne tilgang til AD viser sig i dag at være en nem indgang for cyberkriminelle. Således viser Microsofts Digital Defense Report 2022, at 88 pct. af deres kunder har været ramt af cyberangreb pga. utilstrækkelig AD-konfiguration og derfor manglende sikkerhed.

- Hvis man tager i betragtning, at Active Directory beskytter virksomhedernes mest dyrebare eje – deres data, vil de fleste virksomheder tænke over at beskytte dem med alt, hvad de har. Ved at have en sårbarhed i AD giver man hackere adgang til alle attributter og objekter i AD, inklusivt tilladelser, så de kan finde computerkonti i ethvert domæne i deres AD-miljø. Derfor er det også uhyre vigtigt for it-ledere at prioritere AD-sikkerhed, så de ikke bliver væltet bagover af angreb gennem AD, siger Guido Grillenmeier.

Blinde vinkler, når man skal sikre sit Active Directory

Selvom den store stigning i cyberangreb mod Active Directory har fået flere virksomheder til at investere mere i AD-sikkerhed, viser rapporten, at it-ledere stadig er påvirket af en række "blinde vinkler", når det kommer til beskyttelse af deres AD. De største udfordringer er:

1. Manglende synlighed i AD-sårbarheder

2. Mangel på tid og ressourcer til at imødegå det stigende antal sårbarheder

3. Manglende opmærksomhed på AD-sikkerhedsproblemer fra virksomhedsledere og andre teams

4. Komplikationer fra legacy-systemer eller en ældre AD-infrastruktur

5. Manglende tredjepartsrevision for at identificere sikkerhedssårbarheder

Desuden kortlægger rapporten de mest almindelige sårbarheder i virksomheders AD:

• Ikke-standard principaler med DC Sync-rettigheder på domænet

• Højt privilegerede brugere med svage adgangskoder

• Anonym adgang til Active Directory aktiveret

• Ubeskyttede konti med administratorrettigheder

• Brugerkonti med gamle adgangskoder

• Administratorkonti med gamle adgangskoder

• Azure AD-privilegerede brugere, der også er privilegerede i AD

Rapporten viser også, at brugere rapporterer op til 64 pct. højere sikkerhed, efter de har været i kontakt med en ekspert fra Semperis til at guide dem.