Hrozby pre firemnú identitu sa neustále vyvíjajú a keď útočník naruší systém identity, dopad je dlhodobý a nákladný. V tejto súvislosti sa audit a posilňovanie služby Active Directory (AD) a jej cloudového náprotivku Entra ID/Azure AD stalo každodennou nevyhnutnosťou pre IT a bezpečnosť. Výber správnych nástrojov a pochopenie toho, čo každý z nich ponúka Je to prvý krok k odstráneniu medzier skôr, ako ich niekto zneužije.
Medzi najznámejšie bezplatné možnosti patria Purple Knight (Semperis) a PingCastle (pôvodne vytvorený Vincentom Le Touxom a v súčasnosti súčasťou ekosystému Netwrix). Obe fungujú hladko a poskytujú cennú diagnostiku, ale ich prístup, metodika a cieľová skupina sa líšia. Porovnajte ich dôkladne bez toho, aby ste prehliadli ich obmedzenia a silné stránky.Umožňuje vám rozhodnúť sa, kedy použiť jeden alebo druhý, alebo prečo ich kombinovať, aby ste z nich vyťažili maximum.
Zabezpečenie identity: prečo sa zamerať na Active Directory a Entra ID
AD a Entra ID sa zvyčajne sústreďujú na kontrolu nad účtami, povoleniami, autentifikáciou a vzťahmi dôvery; ak zlyhajú, zlyhá aj srdce podnikového prístupu. Narušenia týchto systémov môžu zostať neviditeľné celé mesiace.Toto odhaľuje kritické aktíva a uľahčuje laterálny pohyb. Posilnenie zabezpečenia identít si preto vyžaduje uprednostnenie služby Active Directory a jej cloudovej vrstvy. Nástroje na jednorazové hodnotenie pomáhajú získať jasný obraz o riziku, zatiaľ čo nástroje na nepretržité monitorovanie umožňujú včasný zásah na riešenie odchýlok.
PingCastle: Snímka prostredia AD založená na zrelosti
PingCastle vznikol ako nástroj na hodnotenie služby Active Directory vyvinutý v jazyku C# Vincentom Le Touxom a od roku 2017 sa na trhu upevnil s bezplatnou základnou edíciou. Jeho účelom je merať riziko a bezpečnostnú vyspelosť služby Active Directory na základe modelov a pravidiel.vytvorenie správy o zdraví a rizikách, ktorá je vysoko zameraná na praktické rozhodnutia.
V čom PingCastle dobre funguje
Jednou z jeho silných stránok je preklad technických údajov do kontextových informácií: analyzuje okrem iného podprocesy služby Active Directory, vzťahy dôveryhodnosti, privilegované účty a zastarané objekty. Výsledkom je skóre rizika a podrobná správa, ktorú je možné konsolidovať s ostatnými, aby sa uľahčilo porovnávanie v priebehu času. Okrem toho obsahuje mapu služby Active Directory na vizualizáciu hierarchií a dôveryhodností.To urýchľuje pochopenie zložitých prostredí a odhaľuje zabudnuté domény.
- Posúdenie rizika a zdravia na základe interných modelov a pravidiel, s bodovým hodnotením a reportovaním rizík.
- Viditeľnosť privilégií a potenciálne trasy ku kritickým objektom so zameraním na účty s vysokým prístupom.
- Mapovanie domén a dôveryhodnosti vizualizovať vzťahy vrátane aspektov dôveryhodnosti s Azure AD/Entra ID.
- Konsolidácia správ pre benchmarking, KPI a manažérske dashboardy (vo vyšších vydaniach).
PingCastle tiež presahuje adresár a vykonáva skenovanie pracovných staníc a vyhľadáva nebezpečné praktiky. Zistí nadmerný počet miestnych správcovslabo chránené zdieľané zdroje, zraniteľnosti ako WannaCry a dokonca aj nezrovnalosti v čase spustenia, čo pomáha odhaliť zadné vrátka a slabé miesta v delegovaní, ktoré by mohli uľahčiť laterálny pohyb.
Ako to funguje a čo to prináša
Engine PingCastle zhromažďuje dáta pomocou neprivilegovaných LDAP dotazov a WMI a je možné ho integrovať s... powershell skriptya aplikuje model rizika zoskupený podľa kategórií: zastarané objekty, privilegované účty, dôveryhodnosti a anomálie. Výsledná správa poukazuje na kritické problémy (napríklad zastarané protokoly dôveryhodnosti, krehké delegácie, slabé konfigurácie Kerberos alebo nezabezpečené riadiace cesty) a priraďuje skóre stavu služby AD: čím nižšie, tým lepšie.
V hybridných prostrediach dokáže PingCastle hlásiť, či je vzťah dôveryhodnosti so službou Azure AD dobre zabezpečený. Zobrazenie mapy a konsolidácia výsledkov Sú obzvlášť užitočné pre organizácie s mnohými doménami alebo viacerými vzťahmi dôvery, kde je ľahké stratiť prehľad.
Vydania, licencia a rozsah
Základná edícia je bezplatná na audit vlastného prostredia, zatiaľ čo edície Auditor/Standard a Professional pridávajú pokročilé funkcie a komerčnú podporu. Na trhu sa ponúkajú predplatné ako Auditor (približne 3 449 USD/rok) a Professional. (približne 10 347 USD za doménu ročne) plus edícia Enterprise s konsolidačnými funkciami a globálnou perspektívou pre veľké spoločnosti. Projekt podpisuje svoje binárne súbory a vydáva kód pod licenciou OSL 3.0 (neziskové organizácie) s obmedzeniami nelicencovaného komerčného použitia.
Známe obmedzenia PingCastle
V nasadeniach s mnohými doménami môžu byť zostavy husté a do istej miery ťažké sa v nich orientovať, ak nie sú nastavené konsolidačné procesy a zobrazenia. Bezplatná verzia neobsahuje rozšírené správy ani podrobné návody na nápravu.a dôraz sa kladie na ukazovatele expozície a rizika, nie na známky ohrozenia, ktoré sa už prejavili.
Purple Knight: Indikátory expozície a zapojenia kliknutím na tlačidlo
Spoločnosť Semperis spustila Purple Knight v roku 2021 ako bezplatný nástroj na hodnotenie bezpečnosti pre prostredie služby Active Directory a hybridné prostredia. Odvtedy sa stal obľúbeným vďaka svojmu zameraniu na indikátory expozície (IOE) a indikátory kompromitácie (IOC). Jeho cieľom je odhaliť rizikové konfigurácie a dôkazy o narušení. V službe AD zadajte ID/Azure AD a dokonca aj Okta.
Ukazovatele, kategórie a referenčné rámce
Purple Knight zoskupuje výsledky do piatich hlavných oblastí: Delegovanie AD, Zabezpečenie infraštruktúry AD, Zabezpečenie účtov, Zabezpečenie skupinových politík (GPO) a zabezpečenie Kerberos. Správa používa „bulletin“ s hodnotením podľa kategórie a celkovým percentom., ktorý ponúka prioritné nápravné opatrenia, závažnosť (informatívne, varovné alebo kritické) a mapovanie na rámce ako MITRE ATT&CK a ANSSI, okrem odkazov na model MITRE D3FEND.
- Viac ako sto ukazovateľov (a novšie verzie toto číslo ľahko prekračujú) pokrývajúce bežné vektory útoku.
- Rozdiel medzi IOE a IOC oddeliť potenciálnu nesprávnu konfiguráciu od dôkazov o aktívnom ohrození.
- Predpisové korekčné pokyny a uprednostňované podľa rizika a pravdepodobnosti zneužitia.
- Hybridné pokrytie s lokálnou AD, podporou Enter ID/Azure AD a Okta.
Používateľská skúsenosť a reportovanie
Nástroj je prenosný a má grafické rozhranie. Stiahnete si ZIP súbor, rozbalíte ho a spustíte binárny súbor. Po spustení zistí lesy a domény a umožní vám vybrať si, ktorý IOE/IOC sa má spustiť – túto granularitu oceňujú modré aj červené tímy. Skenovanie je zvyčajne dokončené v priebehu niekoľkých minút a generuje HTML správu, ktorá obsahuje kontrolný zoznam kritických IOE a jasné vysvetlenia s odkazmi na dokumentáciu.
Formát „výkazu“ je pohodlný: písmeno a percento s rôznymi váhami pre každú kategóriu. Popisy zahŕňajú dôvod, dopad, súlad s bezpečnostnými rámcami a kroky nápravy.Purple Knight beží v režime čítania, nevykonáva žiadne zmeny v Active Directory a „nevolá domov“; je možné ho pravidelne opakovať bez rizika pre produkciu.
Registrácia, komunitná verzia a vývoj
Na stiahnutie nástroja vyžaduje Semperis registráciu a poskytuje odkaz; tiež upozorňuje používateľov na nové verzie a neustále vylepšenia. Verzia pre komunitu sa často aktualizuje A napriek svojej mladosti si zachováva pozoruhodný lesk s vylepšeniami založenými na spätnej väzbe od komunity.
Obmedzenia a ako je dopĺňané
Purple Knight vykonáva jednorazové hodnotenia; nie je to riešenie na nepretržité monitorovanie ani samo o sebe neautomatizuje zmierňovanie rizík. Túto vrstvu poskytuje Directory Services Protector (DSP) od spoločnosti Semperis.čo je platená služba zameraná na detekciu a reakciu na hrozby pre identitu v reálnom čase (ITDR) s upozorneniami a zvrátením škodlivých zmien.
Purple Knight vs PingCastle: čo majú spoločné a ako sa líšia
Hoci oba nástroje možno použiť na posúdenie zabezpečenia služby Active Directory a podporu hybridných prostredí s Entra ID/Azure AD, ich zameranie nie je rovnaké. PingCastle uprednostňuje... metodika zrelosti a správu o „kontrole stavu“ s hodnotením rizika; Purple Knight sa zameriava na IOE/IOC a na poskytovanie vysoko praktickej príručky k náprave. Prvá sa podrobne zaoberá „modelom“ a stavom ekosystému AD., zatiaľ čo druhý poskytuje veľmi bohatý prehľad o stave, ktorý je možné rýchlo opraviť.
Pokiaľ ide o jednoduchosť použitia, Purple Knight vyniká svojím rozhraním a podrobným výberom testov; v PingCastle sa mapa domén a konsolidácia reportov osvedčili v organizáciách s mnohými lesmi a dôverami. V správach Purple Knight hodnotí podľa kategórie so skóre a percentom.A PingCastle ponúka celkové skóre zdravia, kde nižšie číslo je lepšie.
Pokiaľ ide o pokrytie, Purple Knight zahŕňa AD, Entra ID/Azure AD a Okta a zistenia prepojuje s MITRE ATT&CK a ANSSI, pričom prioritou je náprava. PingCastle zasa ponúka analýzu delegácií, zastaraných objektov, lokálnych privilégií a zraniteľností koncových bodov.A dokáže vyhodnotiť bezpečnosť dôveryhodnosti pomocou služby Azure AD. Schopnosť objaviť zabudnuté domény a zjednotiť výsledky je výhodou, keď sa perimetr rozmaže.
Pokiaľ ide o licencie, Purple Knight sa ponúka ako bezplatný nástroj (po registrácii); kontinuálne a korekčné funkcie sa nachádzajú v Semperis DSP, ktorý je komerčný. PingCastle ponúka bezplatnú základnú edíciu pre osobné použitie. a platené edície (Auditor/Standard, Professional, Enterprise) s rozšírenými funkciami, podporou a škálovateľnosťou.
Ktorý si vybrať? Ak hľadáte rýchle a jasné posúdenie s pokynmi na opravu podľa priorít, Purple Knight je pre vás perfektnou voľbou. Ak potrebujete metódu zrelosti s mapovaním domén a konsolidáciou rizík Pre stovky alebo tisíce segmentov by mohol byť PingCastle vhodnejší, najmä s platenými verziami. V praxi mnoho organizácií používa oboje: kombinácia ponúka krížovú validáciu a hlbšie pokrytie.
Praktické detaily implementácie a výsledkov
Oba nástroje sú prenosné a vo väčšine kontextov ich možno spúšťať so štandardnými používateľskými prihlasovacími údajmi, pričom údaje zhromažďujú predovšetkým čítaním. To uľahčuje tímom s obmedzenými zdrojmi prijatie. a vyhýba sa treniu s výrobnými systémami, pretože nevykonávajú zmeny.
Purple Knight ukladá svoje výsledky vo formáte HTML s logickou štruktúrou a odkazmi na dokumentáciu, ako aj s kontrolným zoznamom, ktorý zdôrazňuje, čo je naliehavé. Rozdelenie podľa závažnosti a odkaz na rámce Poskytuje kontext pre CISO a technické tímy. PingCastle zasa poskytuje správu s hodnotením, prioritnými zisteniami a v prípade potreby aj konsolidované pohľady na uľahčenie KPI a štvrťročného monitorovania.
Upozornenia a prevádzkové aspekty
V prostredí s viacerými lesmi alebo s desiatkami domén môžu pri používaní PingCastle vyžadovať dodatočnú prácu na navigáciu a stanovenie priorít. Základná edícia nemá pokročilé funkcie a rozsiahle príručky korektúryTieto funkcie sú zahrnuté v platených licenciách. Purple Knight, ktorý je jednorazovým hodnotením, nenahrádza systém nepretržitého monitorovania a jeho automatizované funkcie zmierňovania rizík nie sú dostupné v bezplatnej verzii.
Ani jeden z nich nie je určený ako systém IDS/IPS pre AD; sú to diagnostické doplnky, ktoré slúžia ako podklad pre plány nápravy a vyspelosti. V scenároch s potrebou upozornení a reakcie v reálnom časeDo hry vstupujú riešenia ITDR, ako napríklad Semperis DSP alebo ponuky kontinuálneho auditu.
Ďalšie nástroje, ktoré dopĺňajú ekosystém
Keď sa zameriavame na kontinuitu a zaznamenávanie každej zmeny s kontextom, Netwrix Auditor poskytuje kontrolu zmien v službe Active Directory a iných systémoch (Exchange, SQL Server, SharePoint, Microsoft 365, Teams atď.). Jeho cieľom je upozorniť používateľov na podozrivé zmeny. (napríklad, ak je používateľ pridaný do skupiny Správcovia domény) a udržiavať históriu konfigurácie so zobrazeniami užitočnými pre riadenie.
Na pochopenie ciest útokov a kontrolných vzťahov je BloodHound klasický nástroj s otvoreným zdrojovým kódom (GPL-3.0), ktorý modeluje objekty, vzťahy a povolenia v službe AD pomocou kompilátorov ako SharpHound a AzureHound. Je to kľúčové pre červené tímy, ale aj pre modré tímy. ktorí si chcú vizualizovať „najkratšiu cestu“ ku kritickým cieľom a uzavrieť lezecké trasy.
V oblasti reakcie a monitorovania v reálnom čase ponúka Semperis Directory Services Protector (DSP) nepretržité monitorovanie, upozornenia a dokonca aj automatické vrátenie zmien v reakcii na škodlivé zmeny, a to ako v AD, tak aj v Entra ID. Pôsobí ako chýbajúca vrstva ITDR v bodovom hodnotení. a urýchľuje obmedzovanie incidentov súvisiacich s identitou.
Francúzska ANSSI (Francúzska agentúra pre bezpečnosť údajov) poskytuje nástroje ako ORADAD pre Active Directory a ORADAZ pre Azure/Entra, ktoré sa používajú pri pokročilých auditoch. Hoci je zber údajov verejný, kompletné spracovanie si vyžaduje nezverejnené nástroje. Toto sú cenné referencie pre tímy, ktoré dodržiavajú vládne pokyny. alebo chcú zosúladiť audity s uznávanými osvedčenými postupmi.
Niektoré porovnania trhu ukazujú ponuky s hostingom a rôznymi nasadeniami (služba Windows, prenosné, lokálne alebo SaaS), koreláciou s MITRE ATT&CK, exportom do CSV, možnosťou viacnásobného nájomného a možnosťami akceptovania rizík zdokumentovaným spôsobom. V praxi sa výber redukuje na vyváženie medzi náhodným auditom, detekciou incidentov a priebežným riadením.Berúc do úvahy rozpočty, licencie (v niektorých prípadoch bezplatné pre osobné použitie) a podporu partnerov.
Často kladené otázky: Môžem zabrániť používateľovi v spustení týchto nástrojov?
Toto je bežná otázka, keď zistíte, že prenosné nástroje môžu bežať bez oprávnení správcu. Purple Knight a PingCastle vo všeobecnosti fungujú v režime iba na čítanie s používateľskými oprávneniami na dotazovanie adresára. Ak je vaším cieľom obmedziť jeho vykonávanie, potom prichádza na rad kontrola aplikácií.Zásady ako AppLocker alebo Windows Defender Application Control (WDAC) alebo pravidlá obmedzenia softvéru pomáhajú obmedziť neoprávnené binárne súbory. Okrem toho, sprísnenie povolení v službe Active Directory znižuje vystavenie citlivých údajov bežným používateľom.
Bezpečnostný model služby Active Directory však predpokladá, že určité informácie sú čitateľné pre overených používateľov, pretože od nich závisí mnoho aplikácií. Účinné zmierňovanie zahŕňa posilnenie delegácií, audit kontrolných trás a zníženie privilégií.Používanie týchto nástrojov na detekciu a opravu toho, čo by nemalo byť viditeľné alebo povolené. Prevencia by sa nemala spoliehať výlučne na blokovanie spustiteľných súborov, ale skôr na elimináciu povrchu útoku na úrovni konfigurácie.
Bežné prípady použitia a inteligentná kombinácia
Malý IT tím, ktorý potrebuje rýchlu diagnostiku a jasného sprievodcu riešením problémov, ocení Purple Knight. Stanovenie priorít podľa závažnosti a ich mapovanie na podporné rámce Umožňuje používateľom pripravovať penetračné testy, preukazovať pokrok a komunikovať riziká manažmentu. Zároveň opakujúce sa interné audity a konzultačné firmy, ktoré slúžia viacerým doménam, profitujú z modelu zrelosti, mapovania domén a konsolidačných funkcií PingCastle.
Mnohé organizácie používajú oba nástroje v rôznych cykloch, aby získali doplnkové poznatky: najprv „snímka“ s IOE/IOC, po ktorej nasleduje prehľad procesov a zrelosti s konsolidovanými kontrolami stavu. Krížová validácia znižuje počet falošne negatívnych výsledkov a zlepšuje prioritizáciu nápravných opatrení.urýchlenie odstraňovania kritických medzier a zvýšenie hygieny identity v strednodobom horizonte.
Neexistuje žiadne zázračné riešenie. Dobrý výber zahŕňa zosúladenie potrieb s možnosťami: momentálny stav s presnými pokynmi alebo modelmi a mapami zrelosti? Jednorazové posúdenie alebo priebežné monitorovanie s ITDR? Odpoveď je zvyčajne „áno a...“ a nie jednoznačné „alebo“.kombinácia bezplatného posúdenia s monitorovacími riešeniami prispôsobenými riziku a rozpočtu.
Ak je cieľom trvalo zlepšiť zabezpečenie identít, odporúča sa naplánovať pravidelné hodnotenia, kontrolovať delegácie a dôveryhodnosť a udržiavať hygienu účtov, objekty GPO (a Súbory ADMX) a Kerberos. Kombinované použitie Purple Knight a PingCastle plus vrstva auditu zmien a/alebo ITDRPonúka správnu rovnováhu medzi včasnou detekciou, prioritnou korekciou a nepretržitým monitorovaním stavu AD a Entra ID.