האיומים על זהות תאגידית מתפתחים ללא הרף, וכאשר תוקף פורץ למערכת הזהויות, ההשפעה ארוכת טווח ויקרה. בהקשר זה, ביקורת וחיזוק של Active Directory (AD) ומקבילו בענן, Entra ID/Azure AD, הפכו לצורך יומיומי עבור IT ואבטחה. בחירת הכלים הנכונים והבנת מה כל אחד מהם מציע זהו הצעד הראשון לסגירת פערים לפני שמישהו ינצל אותם.
בין האפשרויות החינמיות הידועות ביותר נמצאות Purple Knight (Semperis) ו-PingCastle (שנוצרה במקור על ידי וינסנט לה טו וכיום היא חלק ממערכת האקולוגית של Netwrix). שתיהן פועלות בצורה חלקה ומספקות אבחון בעל ערך, אך הגישה, המתודולוגיה וקהל היעד שלהן שונות. השוו ביניהם מקרוב, מבלי להתעלם ממגבלותיהם ומהיתרונות שלהם.זה מאפשר לך להחליט מתי להשתמש באחד או באחר, או מדוע לשלב ביניהם כדי להפיק מהם את המרב.
אבטחת זהות: למה להתמקד ב-Active Directory ו-Entra ID
AD ו-Entra ID בדרך כלל מרכזים שליטה בחשבונות, הרשאות, אימות ויחסי אמון; אם הם נכשלים, לב הגישה הארגונית נכשל. חדירות למערכות אלה יכולות להישאר בלתי נראות במשך חודשים.זה חושף נכסים קריטיים ומקל על תנועה רוחבית. לכן, חיזוק אבטחת הזהויות דורש מתן עדיפות ל-Active Directory ולשכבת הענן שלו. כלי הערכה חד-פעמיים עוזרים לקבל תמונה ברורה של הסיכון, בעוד שכלי ניטור מתמשכים מאפשרים התערבות בזמן כדי לטפל בחריגות.
PingCastle: תמונת מצב מבוססת בגרות של סביבת AD
PingCastle נולד ככלי הערכה של Active Directory שפותח ב-C# על ידי וינסנט לה טו, והתגבש בשוק עם מהדורה בסיסית חינמית מאז 2017. מטרתו היא למדוד את הסיכון ובשלות האבטחה של Active Directory על סמך מודלים וכללים.יצירת דוח בריאות וסיכונים המתמקד מאוד בהחלטות מעשיות.
מה ש-PingCastle עושה טוב
אחת מיתרונותיה היא תרגום נתונים טכניים למידע הקשרי: היא מנתחת תת-תהליכים של Active Directory, יחסי אמון, חשבונות פריבילגיים ואובייקטים מיושנים, בין היתר. התוצאה היא ציון סיכון ודוח מפורט שניתן לאחד עם אחרים כדי להקל על השוואות לאורך זמן. בנוסף, הוא משלב מפת Active Directory כדי להציג היררכיות ויחסי אמון.זה מאיץ את ההבנה של סביבות מורכבות וחושף תחומים נשכחים.
- הערכת סיכונים ובריאות בהתבסס על מודלים וכללים פנימיים, עם ניקוד ודיווח סיכונים.
- נראות של הרשאות ונתיבים פוטנציאליים לאובייקטים קריטיים, עם דגש על חשבונות בעלי גישה גבוהה.
- מיפוי דומיינים ואמינות כדי להמחיש קשרים, כולל שיקולי אמון עם Azure AD/Entra ID.
- איחוד דוחות עבור ביצועי בנצ'מרקציה, מדדי ביצועים (KPI) ולוחות מחוונים לניהול (במהדורות מתקדמות יותר).
PingCastle גם חורג מהספרייה ומבצע סריקות של תחנות עבודה לאיתור שיטות עבודה לא בטוחות. מגלה מנהלים מקומיים מוגזמיםמשאבים משותפים המוגנים בצורה גרועה, פגיעויות כמו WannaCry ואפילו אי סדרים בזמן ההפעלה, מה שעוזר לחשוף דלתות אחוריות וחולשות של האצלת סמכויות שעלולות להקל על תנועה רוחבית.
איך זה עובד ומה זה מספק
המנוע של PingCastle אוסף נתונים באמצעות שאילתות LDAP לא מורשות ו-WMI, וניתן לשלב אותו עם סקריפטים של PowerShell, ומיישם מודל סיכונים המקובץ לפי קטגוריות: אובייקטים מיושנים, חשבונות פריבילגיים, נאמנויות ואנומליות. הדו"ח שנוצר מדגיש בעיות קריטיות (לדוגמה, פרוטוקולי אמון מיושנים, האצלות שבריריות, תצורות Kerberos חלשות או נתיבי בקרה לא מאובטחים) ומקצה ציון תקינות AD: ככל שהוא נמוך יותר, כך ייטב.
בסביבות היברידיות, PingCastle יכול לדווח האם יחסי האמון עם Azure AD מאובטחים היטב. תצוגת המפה ואיחוד התוצאות הם שימושיים במיוחד עבור ארגונים עם תחומים רבים או יחסי אמון מרובים, שבהם קל לאבד את המעקב.
מהדורות, רישיון והיקף
המהדורה הבסיסית היא חינמית לביקורת הסביבה שלך, בעוד שמהדורות Auditor/Standard ו-Professional מוסיפות יכולות מתקדמות ותמיכה מסחרית. משווקים מנויים כגון Auditor (בסביבות 3.449 דולר לשנה) ו-Professional. (כ-10.347 דולר לדומיין לשנה), בנוסף למהדורת Enterprise עם תכונות איחוד ופרספקטיבה גלובלית לחברות גדולות. הפרויקט חותם על הקבצים הבינאריים שלו ומשחרר את הקוד תחת רישיון OSL 3.0 (ללא כוונת רווח), עם הגבלות על שימוש מסחרי ללא רישיון.
מגבלות ידועות של PingCastle
בפריסות עם תחומים רבים, דוחות יכולים להיות צפופים וקשים למדי לניווט אם לא קיימים תהליכי איחוד ותצוגות. הגרסה החינמית אינה כוללת דוחות מתקדמים או מדריכי תיקון מפורטים.והמוקד הוא על אינדיקטורים של חשיפה וסיכון, לא על סימני פשרה שכבר התממשו.
אביר סגול: אינדיקטורים של חשיפה ומעורבות בלחיצת כפתור
Semperis השיקה את Purple Knight בשנת 2021 ככלי חינמי להערכת אבטחה עבור סביבות Active Directory והיברידיות. מאז, הוא הפך למועדף בשל התמקדותו ב-Indikators of Exposure (IOE) וב-Indikators of Compromise (IOC). מטרתה היא לחשוף תצורות מסוכנות וראיות לפריצה. ב-AD, הזינו ID/Azure AD ואפילו Okta.
אינדיקטורים, קטגוריות ומסגרות ייחוס
האביר הסגול מקבץ תוצאות לחמישה תחומים עיקריים: האצלת AD, אבטחת תשתית AD, אבטחת חשבון, אבטחת מדיניות קבוצתית (GPO) ואבטחת Kerberos. הדוח משתמש ב"עלון" עם דירוג לפי קטגוריה ואחוז כולל., המציע פתרונות לפי סדר עדיפויות, חומרה (אינפורמטיבי, אזהרה או קריטי) ומיפויים למסגרות כגון MITRE ATT&CK ו-ANSSI, בנוסף להפניות למודל MITRE D3FEND.
- יותר ממאה אינדיקטורים (וגרסאות עדכניות עולות בקלות על נתון זה) המכסות וקטורי תקיפה נפוצים.
- ההבדל בין IOE ל-IOC כדי להפריד בין תצורה שגויה פוטנציאלית לבין ראיות לפשרה פעילה.
- הנחיות לתיקון מרשם ותעדפו לפי סיכון והסתברות לניצול.
- כיסוי היברידי עם AD מקומי, תמיכה ב-Enter ID/Azure AD ו-Okta.
חוויית משתמש ודיווח
הכלי נייד ובעל ממשק גרפי. מורידים קובץ ZIP, מחלצים אותו ומריצים את הקובץ הבינארי; עם ההפעלה, הוא מזהה יערות ודומיינים ומאפשר לך לבחור איזה IOE/IOC להריץ - פירוט שגם הצוותים הכחולים וגם הצוותים האדומים מעריכים. הסריקה מסתיימת בדרך כלל תוך דקות ומייצר דוח HTML הכולל רשימת בדיקה של פעולות ביחס לביצועים (IOE) קריטיים והסברים ברורים עם קישורים לתיעוד.
פורמט ה"דו"ח" נוח: אות ואחוז, עם משקלים שונים לכל קטגוריה. התיאורים כוללים את הסיבה, ההשפעה, ההתאמה למסגרות האבטחה וצעדי תיקון.Purple Knight פועל במצב קריאה, אינו מבצע שינויים ב-Active Directory ואינו "מתקשר הביתה"; ניתן לחזור עליו מעת לעת ללא סיכון לתפקוד.
רישום, גרסת קהילה ופיתוח
כדי להוריד את הכלי, Semperis דורשת רישום ומספקת את הקישור; הוא גם מודיע למשתמשים על גרסאות חדשות ושיפורים מתמשכים. מהדורת הקהילה מתעדכנת לעתים קרובות והוא שומר על ליטוש יוצא דופן למרות גילו הצעיר, עם שיפורים המבוססים על משוב מהקהילה.
מגבלות וכיצד הן משלימות
Purple Knight מבצע הערכות חד פעמיות; זהו אינו פתרון ניטור רציף וגם אינו מאפשר אוטומציה של הפחתות בפני עצמו. שכבה זו מסופקת על ידי Directory Services Protector (DSP) של Semperis.שהוא שירות בתשלום המיועד לגילוי ותגובה לאיומי זהות בזמן אמת (ITDR), עם התראות והיפוך של שינויים זדוניים.
סגול נייט נגד פינגטאסל: מה משותף ביניהם ומה ההבדל ביניהם
למרות שניתן להשתמש בשני הכלים כדי להעריך את אבטחת Active Directory ולתמוך בסביבות היברידיות עם Entra ID/Azure AD, המיקוד שלהם אינו זהה. PingCastle נותן עדיפות ל... מתודולוגיית בגרות ודוח "בדיקת בריאות" עם ניקוד סיכונים; Purple Knight מתמקד ב-IOE/IOC ובמתן מדריך תיקונים בר-ישים מעשיים. הראשון בוחן מקרוב את ה"מודל" ואת מצב המערכת האקולוגית של AD, בעוד שהשני מספק תמונת מצב עשירה מאוד לתיקון מהיר.
מבחינת קלות שימוש, Purple Knight בולט בזכות הממשק שלו ובחירת הבדיקות המפורטת שלו; ב-PingCastle, מפת הדומיינים ואיחוד הדוחות זורחים בארגונים עם יערות ונאמנויות רבים. בדיווח, Purple Knight מדרג לפי קטגוריה עם ציון ואחוז.ו-PingCastle מציע ציון בריאות כללי שבו מספר נמוך יותר עדיף.
לצורך כיסוי, Purple Knight כולל את AD, Entra ID/Azure AD ו-Okta וממפה ממצאים ל-MITRE ATT&CK ו-ANSSI, תוך מתן עדיפות לתיקון. PingCastle, מצידה, מציעה ניתוח של משלחות, אובייקטים ישנים, הרשאות מקומיות ופגיעויות בנקודות קצה.והוא יכול להעריך את אבטחת האמון עם Azure AD. היכולת לגלות דומיינים נשכחים ולאחד תוצאות היא יתרון כאשר ההיקף מטושטש.
מבחינת רישוי, Purple Knight מוצע ככלי חינמי (לאחר הרשמה); יכולות מתמשכות ותיקון נמצאות ב-Semperis DSP, שהוא מסחרי. PingCastle מציעה מהדורה בסיסית בחינם לשימוש אישי. ומהדורות בתשלום (Auditor/Standard, Professional, Enterprise) עם פונקציונליות מורחבת, תמיכה ויכולת הרחבה.
איזה מהם לבחור? אם אתם מחפשים הערכה מהירה וברורה עם הוראות תיקון מסודרות, Purple Knight הוא הבחירה המושלמת. אם מה שאתם צריכים זו שיטת בגרות עם מיפוי תחומים ואיחוד סיכונים עבור מאות או אלפי פלחים, PingCastle עשוי להתאים יותר, במיוחד עם המהדורות בתשלום שלה. בפועל, ארגונים רבים משתמשים בשניהם: השילוב מציע אימות צולב וכיסוי מעמיק יותר.
פרטים מעשיים של יישום ותוצאות
שני הכלים ניידים וניתנים להפעלה עם אישורי משתמש סטנדרטיים ברוב ההקשרים, תוך איסוף נתונים בעיקר על ידי קריאה. זה מקל על צוותים עם משאבים מוגבלים לאמץ את הגישה. ומונע חיכוכים עם מערכות ייצור, מכיוון שהן אינן מבצעות שינויים.
Purple Knight מאחסן את תוצאותיו בפורמט HTML עם מבנה לוגי וקישורים לתיעוד, כמו גם רשימת תיוג שמדגישה את מה שדחוף. הפירוט לפי חומרה וההתייחסות למסגרות זה מספק הקשר למנהלי מערכות מידע ולצוותים טכניים. PingCastle, מצידה, מספקת דוח עם ציונים, ממצאים בעדיפות גבוהה, ואם רוצים, תצוגות מאוחדות כדי להקל על מדדי ביצועים (KPIs) וניטור רבעוני.
אזהרות ושיקולים תפעוליים
עם PingCastle, בסביבות מרובות יערות או עם עשרות דומיינים, ייתכן שידרשו עבודה נוספת לניווט ולתעדף דוחות. המהדורה הבסיסית חסרה תכונות מתקדמות ומדריכי הגהה מקיפיםתכונות אלו כלולות ברישיונות בתשלום. Purple Knight, בהיותו הערכה חד פעמית, אינו מחליף מערכת ניטור רציפה, ויכולות ההפחתה האוטומטיות שלו אינן זמינות בגרסה החינמית.
אף אחד מהם אינו מיועד לשמש כ-IDS/IPS עבור AD; הם משלימים אבחנתיים הנכנסים לתוכניות שיקום והבשלה. בתרחישים עם צורך בהתרעה ותגובה בזמן אמתפתרונות ITDR כגון Semperis DSP או הצעות ביקורת רציפה נכנסים לתמונה.
כלים נוספים המשלימים את המערכת האקולוגית
כאשר המוקד הוא על המשכיות ורישום כל שינוי בהקשר, Netwrix Auditor מספק בקרת שינויים ב-Active Directory ובמערכות אחרות (Exchange, SQL Server, SharePoint, Microsoft 365, Teams וכו'). המטרה היא להתריע בפני משתמשים על שינויים חשודים. (לדוגמה, אם משתמש נוסף לקבוצת מנהלי הדומיין) ולתחזק היסטוריית תצורה עם תצוגות שימושיות לממשל.
כדי להבין נתיבי תקיפה ויחסי בקרה, BloodHound הוא כלי קוד פתוח קלאסי (GPL-3.0) שמדמה אובייקטים, קשרים והרשאות ב-AD, בעזרת מהדרים כמו SharpHound ו-AzureHound. זה המפתח לקבוצות אדומות וגם לקבוצות כחולות שרוצים לדמיין את "הדרך הקצרה ביותר" ליעדים קריטיים ולסגור נתיבי טיפוס.
בתחום התגובה והניטור בזמן אמת, מנגנון ה-DSP (Directory Services Protector) של Semperis מציע ניטור רציף, התראות ואפילו החזרה אוטומטית למצב אחר בתגובה לשינויים זדוניים, הן ב-AD והן ב-Entra ID. היא משמשת כשכבת ה-ITDR החסרה בהערכת נקודה. ומאיץ את בלימת אירועי זהות.
הסוכנות הצרפתית לאבטחת נתונים (ANSSI) מספקת כלים כגון ORADAD עבור Active Directory ו-ORADAZ עבור Azure/Entra, המשמשים בביקורות מתקדמות. למרות שאיסוף הנתונים הוא ציבורי, העיבוד המלא דורש כלים שלא פורסמו. אלו הן מקורות חשובים עבור צוותים הפועלים לפי הנחיות הממשלה. או רוצים להתאים ביקורות לשיטות עבודה מומלצות מוכרות.
חלק מהשוואות השוק מציגות הצעות הכוללות אירוח ופריסות מגוונות (שירות Windows, נייד, מקומי או SaaS), מתאם עם MITRE ATT&CK, ייצוא ל-CSV, יכולת ריבוי דיירים ואפשרויות לקבלת סיכונים בצורה מתועדת. בפועל, הבחירה מסתכמת באיזון בין ביקורת נקודתית, זיהוי אירועים וממשל שוטף.תוך התחשבות בתקציבים, רישוי (בחינם לשימוש אישי במקרים מסוימים) ותמיכה של שותפים.
שאלות נפוצות: האם ניתן למנוע ממשתמש להפעיל כלים אלה?
זוהי שאלה נפוצה כאשר מגלים שכלים ניידים יכולים לפעול ללא הרשאות מנהל. באופן כללי, Purple Knight ו-PingCastle פועלים במצב קריאה בלבד עם הרשאות משתמש לבצע שאילתות בספרייה. אם המטרה שלך היא להגביל את הביצוע שלו, אז בקרת יישומים נכנסת לתמונה.מדיניות כגון AppLocker או בקרת יישומים של Windows Defender (WDAC), או כללי הגבלת תוכנה, מסייעים להגביל קבצים בינאריים לא מורשים. בנוסף, הקשחת הרשאות ב-Active Directory מפחיתה את החשיפה של נתונים רגישים למשתמשים רגילים.
עם זאת, מודל האבטחה של AD מניח שמידע מסוים קריא על ידי משתמשים מאומתים מכיוון שיישומים רבים תלויים בו. אמצעי הפחתה יעילים כרוכים בחיזוק האצלות, ביקורת נתיבי בקרה וצמצום הרשאות.שימוש בכלים אלה כדי לזהות ולתקן את מה שלא אמור להיות גלוי או מופעל. מניעה לא צריכה להסתמך אך ורק על חסימת קבצים ניתנים להרצה, אלא על ביטול משטח התקיפה ברמת התצורה.
מקרי שימוש נפוצים ושילוב חכם
צוות IT קטן הזקוק לאבחון מהיר ומדריך ברור לפתרון בעיות יעריך את Purple Knight. קביעת סדרי עדיפויות לפי חומרה ומיפוים למסגרות מאפשרות זה מאפשר למשתמשים להכין מבחני חדירה, להדגים התקדמות ולתקשר סיכונים להנהלה. בינתיים, ביקורות פנימיות חוזרות וחברות ייעוץ המשרתות תחומים מרובים נהנות ממודל הבשלות, מיפוי התחומים ויכולות האיחוד של PingCastle.
ארגונים רבים מפעילים את שני הכלים במחזורים שונים כדי לקבל תובנות משלימות: תחילה "תמונת מצב" עם IOE/IOC, ולאחר מכן סקירת תהליכים ובשלות עם בדיקות תקינות מאוחדות. אימות צולב מפחית תוצאות שליליות שגויות ומשפר את קביעת סדרי העדיפויות לתיקון.האצת סגירת פערים קריטיים והעלאת היגיינת הזהויות בטווח הבינוני.
אין פתרון קסם. בחירה נבונה כרוכה בהתאמה בין צרכים ליכולות: תמונת מצב עם הנחיות מרשם או מודלים ומפות של בגרות? הערכה חד פעמית או ניטור מתמשך עם ITDR? התשובה היא בדרך כלל "כן, וגם..." ולא "או" מהדהד.שילוב של הערכה חינמית עם פתרונות ניטור המותאמים לסיכון ולתקציב.
אם המטרה היא לשפר באופן בר-קיימא את אבטחת הזהויות, מומלץ לתזמן הערכות סדירות, לסקור את האצלות הסמכויות והנאמנויות, ולשמור על היגיינת חשבונות, אובייקטי מדיניות ציבורית (ו...). קבצי ADMX) וקרברוס. השימוש המשולב ב-Purple Knight ו-PingCastle, בתוספת שכבת ביקורת שינויים ו/או ITDRהוא מציע את האיזון הנכון בין גילוי מוקדם, תיקון בעדיפות עליונה וניטור מתמשך של מצב AD ו-Entra ID.