Få styr på dine administrative rettigheder

Misbrug af administrative rettigheder med henblik på at øge eller stjæle privilegier er ofte bevæggrund for hackerangreb. Hvad angår interne angreb, er det helt op til 30% af angrebene, hvor misbrug af administrative rettigheder er årsagen. Hvad angår eksterne angreb, er dette tal helt oppe på 70%.

Misbrug af administrative rettigheder forekommer således i en stor del af alle cyberangreb og ligger på toppen af CIS-kontrollernes anbefalinger til cybersikkerhedstiltag, organisationer kan foretage for at øge deres it-sikkerhed. Men at reducere rettigheder efter princippet om ”færrest privilegier til en given opgave” rimer ikke på bekvemmelighed og drift, og derfor har mange organisationer konti med for mange rettigheder som fx servicekonti, der har Domain Admin-rettigheder, brugere der logger på deres klienter med lokale administrator rettigheder eller medlemskab af Global Admin-rollen i Azure AD-platformen. For mange rettigheder uden brug af 2-faktor-godkendelse er opskriften på en højrisikoprofil kombineret med det faktum, at det typisk tager under et døgn fra et cyberangreb starter, til de uvedkommende har fuld domæne ejerskab giver en perfect (sikkerheds)storm.

Få styr på dine konti med administrative rettigheder

Organisationer kan således sænke risikoen for cyberangreb markant, ved at rydde op i deres konti med administrative rettigheder, og sørge for, at mængde af rettigheder flugter med opgave samt at slette skygge konti, som burde være deaktiveret eller slettet. Nedenfor findes en række punkter, der kan tjene som inspiration, når du strukturerer dine administrative konti. Listen er ikke udtømmende men kun vejledende:

1. Anvend Deloittes Cybersnack om administrative rettigheder for at få en idé om problemets omfang. Henvend dig herefter til din ledelse og få opbakning og ressourcer til at få kontrol over administrative rettigheder. Deloittes cybersnacks kan fås gratis ved at henvende sig til Christian Schmidt chrschmidt@deloitte.dk. 
2. Få et eller flere gode, digitale værktøjer, som kan hjælpe dig og gøre arbejdet nemmere. Du kan fx bruge Thycoric Secret Server, ManageEngine Password Manager Pro og ManageEngine ADManager, som alle er softwareløsninger, der hjælper dig med at styre og administrere konti og passwords.
   
3. Hvis du bruger et hybridmiljø med både on-prem AD og Azure AD, er det meget vigtigt, at du sætter dig ind i alle nye funktioner og rettighedstildelinger i Azure AD (som IKKE er det samme som on-prem AD).
   
4. Hvis brugerne logger på deres klienter med lokale admin-rettigheder, bør du starte her. Brug fx Microsoft LAPS til at få unikke passwords på alle Administrator-konti på servere og klienter. Brug evt. Thycotic Privilege Access Manager til at få en mere struktureret deaktivering af lokale admin-rettigheder så din organisations service desk ikke bliver lagt ned af forespørgsler på almindelige opgaver, som ikke længere er mulige for brugerne selv, når deres lokal admin-rettigheder er fjernet.
   
5. Sørg for, at brugernes konti håndteres i en automatiseret livscyklus, således at de oprettes med et kontrolleret sæt af rettigheder, der følger medarbejderens rolle/funktion og ikke medarbejderen selv. Det inkluderer naturligvis også en kontrolleret proces for at deaktivere og senere måske slette en brugerkonto, når medarbejderen ikke længere er ansat. Dernæst skal alle eksisterende brugerkonti gennemgås for rettigheder, navngivning, dokumentation og krav til passwords som minimum (også kaldet projektoprydning).
   
6. Sørg for at midlertidige konsulent- og admin-konti gennemgås på samme måde som brugerkonti, og etabler derefter en robust livscyklushåndtering for disse kontotyper. Her kan du fx få hjælpe fra Thycotic Life Cycle Manager.
   
7. Gennemgå alle servicekonti for rettigheder, navngivning og dokumentation af funktion, berørte system og en ejer. Du kan bruge en softwareløsning som nævnt tidligere til at lave en discovery af, hvor servicekonti bruges mest. Brug dernæst de samme softwareværktøjer til at indføre automatiseret skift af passwords på servicekonti. Generelt må ingen konti have passwords, der ikke er sat til at udløbe.
   
8. Indfør et system, som rapporterer på alle oprettelser af konti og konti, der tilføjes og fjernes fra AD-grupper (som fx ManageEngine ADAudit), og byg et sæt af robuste kontroller, der sikrer, at den forventede tilstand på rettigheder og konti i AD svarer overens med den faktiske.
   
9. Vær særligt opmærksom på konti, som har rettigheder på tværs af domænet, som bruges til scanninger eller installation. Skift til lokale admin-konti og brug just-in-time-privilegier fra PAM systemet, hvor det er muligt. Husk, at al administrativt arbejde bør udføres fra dedikerede klienter, som ikke bruges til surfing på internettet eller e-mail. Søg evt. på Google efter ”Mimikatz” for at se hvor nemt, det er at overtage credentials i en privilegeret session (blot til information og inspiration, naturligvis ikke til misbrug).
   
10. Vær opmærksom på andre systemer og konti, som ikke er bundet direkte til konti i AD. Det kan fx være lokale brugere på Microsoft SQL eller konti/passwords, som står i klar tekst i scripts og batch jobs.
    
11. Implementer eventuelt User and Entity Behaviour Analytics (UEBA), som via AI genkender anormaliteter i brugen af administrative rettigheder og kan fungere som Indicator of Compromise (IOC), der skal sendes til SIEM-systemet eller bare bruges til lokale alarmer. Sørg for, at der rent faktisk bliver reageret på disse alarmer i service desken, og test alle alarmerne, før de sættes i drift og løbende for at vurdere, om de fungerer efter hensigten.
    
12. Modne organisationer kan bruge MITTRE ATT&CK rammeværket for at gennemgå mulige angrebsscenarier og vurdere, om disse vil blive mitigeret af de indførte tiltag på administrative rettigheder.