Schützen Sie Ihr Azure Active Directory
Aktie
Wenn wir über Cybersicherheit sprechen, denken wir an die Server, die wir in unserem Unternehmen gehostet haben, und wir machen uns Sorgen über deren Gefährdung durch die Außenwelt und die Auswirkungen, die die Gefährdung einer Ressource in unserem Netzwerk haben könnte. Allerdings gibt es bereits viele Unternehmen, die Cloud-Dienste oder Hybridsysteme zur Bereitstellung ihrer Infrastruktur nutzen.
Heute werden wir über Azure sprechen und welche Einstiegspunkte einige Angreifer ausnutzen, um ein Unternehmen zu kompromittieren, und wir werden auch einige grundlegende Sicherheitsempfehlungen geben.
Einstiegsvektoren für Azure AD
Anfällige Anwendungen + verwaltete Identitäten:
Azure wird oft verwendet, um alte Anwendungen offenzulegen und eine Sicherheitsebene hinzuzufügen. Eine Anwendung mit Schwachstellen weist diese jedoch immer noch auf, nur weil sie in die Cloud hochgeladen wird. In diesem Fall wird bei der Bereitstellung einer Anwendung in Azure eine verwaltete Identität zugeordnet, d. h. ein Azure-Konto, das von der Anwendung verwendet wird und dem die erforderlichen Berechtigungen für den Zugriff auf verschiedene Ressourcen wie Datenbanken usw. zugewiesen werden Schlüsseltresore innerhalb der Organisation.
Sollte es einem Angreifer gelingen, eine Schwachstelle vom Typ RCE oder SSRF in der Anwendung auszunutzen, könnte er in der Lage sein, das Zugriffstoken der verwalteten Identität zu erhalten und sich so als dieses Konto auszugeben und damit auf die Organisation und ihre Ressourcen zuzugreifen , und da diese Kontotypen nicht für die Nutzung durch eine einzelne Person gedacht sind, verfügen sie nicht über MFA.
- Analysieren und entschärfen Sie Schwachstellen in exponierten Anwendungen.
- Beschränken Sie die Berechtigungen für verwaltete Identitäten so weit wie möglich.
- Überwachen Sie die Aktionen verwalteter Identitäten, um Aktionen zu erkennen, die von der erwarteten Verwendung abweichen.
Offengelegte Azure-Blobs:
- Informieren Sie Ihre Mitarbeiter darüber, dass sie keine vertraulichen Informationen in diesen Ressourcen speichern und Berechtigungen korrekt verwalten.
- Überprüfen Sie öffentliche Blobs regelmäßig, um sicherzustellen, dass keines öffentlich ist.
- Begrenzen Sie die Dauer von Links zu Blobs.
Fehlen von MFA + Leaks:
- Untersuchen Sie kontinuierlich offengelegte Informationen der Organisation, um kompromittierte Anmeldeinformationen zu erkennen, damit diese geändert werden können.
- Legen Sie eine obligatorische MFA für alle Konten fest.
- Implementieren Sie Kontrollen in der Richtlinie für bedingten Zugriff, um den Zugriff auf die Azure-Domäne nur von zugelassenen Standorten aus einzuschränken.
Phishing:
- Sensibilisieren Sie Ihre Mitarbeiter für diese und andere Phishing-Techniken, damit sie lernen, diese zu erkennen und zu vermeiden.
- Beschränken Sie die Benutzerberechtigungen in der Azure-Domäne so weit wie möglich.