保護AD三部曲，企業保護AD安全的最佳方案

多數駭客能順利取得AD環境中的特權帳號，清一色是透過AD機制的漏洞或設定疏忽。而近期最知名的AD漏洞事件，莫過於編號CVE-2020-1472的Zerologon漏洞，可讓駭客輕易攻入企業Windows Active Directory（AD）網域伺服器。此漏洞被揭露之後，隨即吸引駭客藉此針對全球企業、政府組織發動攻擊，迫使微軟緊急釋出暫時緩解的修補程式。從此事件可知，企業需要一套可修正與屏蔽漏洞的工具，而Attivo Networks ADSecure正是保護AD安全的最佳工具 。再搭配BotSink使用，可揪出躲藏多時的惡意程式或間諜工具。

橙鋐科技技術副總林秉忠表示，先前提到的Attivo Networks ADAssessor，是協助資安人員挖掘AD機制漏洞的好幫手，如可能遭受駭客利用來攻擊之錯誤設定等，讓資安人員能儘速處理。但在實務上，仍然會有漏洞無法修補的狀況發生，除前述提到的軟體本身漏洞外，也有因操作因素、關鍵業務流程的依賴性等，否則會出現無法呼叫資料庫主機等問題。此時，企業即可使用ADSecure隱藏和保護AD環境，達到降低被入侵的風險。

修正與屏蔽漏洞 全方位保護AD安全

駭客要竊取AD機制環境中的帳號、密碼等資料前，必須要先了解該公司內部的網路架構，才能慢慢從各種蛛絲馬跡中找到關聯性，並透過不斷錯誤嘗試，達成取得高權限帳號的目標。而ADSecure則是在不干擾正常的業務運作下，對授權用戶之外的所有人，隱藏 AD 資料與整個 AD 基礎架構，避免給予任何可趁之機，為企業用戶的關鍵數位資產，提供最佳資安保護層。另一方面，當察覺到有未經授權的電腦或帳戶進行查詢時，ADSecure也會立即向資安人員發出告警訊息， 以便能夠在第一時間找出潛藏的問題。

橙鋐科技總經理周建全指出，引進ADSecure最大優點之一，在於無須對現有AD機制進行任何變動，完全不會影響到現行環境的運作流程。其次，這套軟體會屏蔽重要 AD 資訊，同時發現有非授權用戶進行查詢時，會主動回覆錯誤的資料。如果非授權用戶是駭客時，便可能會被假資料欺騙、被引導至誘餌環境中。此時，ADSecure還會持續提供完整可視性資料，協助資安人員進行後續的獵捕工作。

換句話說，即便AD軟體存在系統性的漏洞，而資訊人員沒有在第一時間安裝修補程式，此時若有ADSecure進行修正屏蔽，即可避免發生駭客入侵端點裝置後提權、水平移動，導致AD遭入侵的憾事。

多重誘捕機制 揪出潛藏威脅

在駭客攻擊手法多變下，傳統被動式的資安防護機制，早已無法符合現今時代需求。因為駭客只需成功入侵一次，就可能造成企業前所未有的傷害或損失，如孟加拉銀行遭入侵事件的損失金額高達8100萬美元。新一代的資安防護觀念，則是採取反守為攻的作法，只要駭客不小心犯錯，就可能陷入欺敵系統的誘餌中，而BotSink正是市面上評價最高的欺敵方案。

當駭客從ADSecure取得假AD資訊之後，BotSink會同步產生假系統與駭客互動，並提供假的帳號、密碼等資訊，藉此收集駭客的行為與使用的工具。當駭客被誘騙、觸發攻擊警示後，BotSink則會透過與公司內部資安設備聯防機制，找出惡意程式感染的範圍與躲藏位置。

林秉忠表示，BotSink不光通過眾多產業的POC測試，甚至在金融業的紅藍隊攻防演練中，成功捕捉到演練攻擊方，且攻擊方完全不知道存在哪些誘餌，足見實用性非常高。整體而言，BotSink不光可提供多重欺敵防護、中央系統嚴密控管外，也能依照不同產業、企業等需求，提供客製化防禦機制，以達到最佳的資安防護效果。

現今Active Directory 已是企業最重要的資訊基礎建設，保存最重要敏感的資訊，必須要被妥善評估並保護。Attivo Networks ADAssessor 提供完整AD安全評估，確保設定符合組織安全政策，ADSecure 透過一個簡單且有效的方式防護 AD，可降低風險達 90% 以上。BotSink則會透過誘捕機制，收集駭客的行為。此Attivo三大工具的組合，堪稱是企業保護AD安全的最佳方案。