Загрози корпоративній ідентичності постійно змінюються, і коли зловмисник порушує систему ідентифікації, наслідки є довготривалими та дороговартісними. У цьому контексті аудит та посилення Active Directory (AD) та його хмарного аналога, Entra ID/Azure AD, стали щоденною необхідністю для ІТ та безпеки. Вибір правильних інструментів та розуміння того, що пропонує кожен з них Це перший крок до усунення прогалин, перш ніж хтось їх скористається.
Серед найвідоміших безкоштовних варіантів – Purple Knight (Semperis) та PingCastle (спочатку створений Вінсентом Ле Ту і наразі є частиною екосистеми Netwrix). Обидва працюють безперебійно та надають цінну діагностику, але їхній підхід, методологія та цільова аудиторія відрізняються. Порівняйте їх уважно, не забуваючи про їхні обмеження та сильні сторони.Це дозволяє вам вирішити, коли використовувати той чи інший, або чому їх поєднувати, щоб отримати від них максимальну користь.
Безпека ідентифікаційних даних: чому варто зосередитися на Active Directory та Entra ID
AD та Entra ID зазвичай зосереджують контроль над обліковими записами, дозволами, автентифікацією та довірчими відносинами; якщо вони виходять з ладу, то виходить з ладу і основа корпоративного доступу. Вторгнення в ці системи можуть залишатися непомітними протягом місяців.Це викриває критично важливі активи та полегшує горизонтальний рух. Тому посилення безпеки ідентифікаційних даних вимагає пріоритезації Active Directory та його хмарного рівня. Інструменти одноразової оцінки допомагають отримати чітке уявлення про ризик, тоді як інструменти постійного моніторингу дозволяють своєчасно втручатися для усунення відхилень.
PingCastle: Знімок середовища AD на основі рівня зрілості
PingCastle був розроблений на C# Вінсентом Ле Ту як інструмент оцінки Active Directory, а з 2017 року він закріпився на ринку завдяки безкоштовній базовій версії. Його метою є вимірювання ризиків та рівня безпеки Active Directory на основі моделей та правил.створення звіту про здоров'я та ризики, що зосереджений на практичних рішеннях.
Що PingCastle робить добре
Одна з його сильних сторін — перетворення технічних даних на контекстну інформацію: він аналізує підпроцеси Active Directory, довірчі відносини, привілейовані облікові записи та застарілі об'єкти, серед іншого. Результатом є оцінка ризику та детальний звіт, який можна об'єднати з іншими для полегшення порівняння з часом. Крім того, він містить карту Active Directory для візуалізації ієрархій та довір.Це пришвидшує розуміння складних середовищ та розкриває забуті області.
- Оцінка ризиків та здоров'я на основі внутрішніх моделей та правил, з оцінкою та звітністю про ризики.
- Видимість привілеїв та потенційні маршрути до критично важливих об'єктів, з акцентом на облікові записи з високим рівнем доступу.
- Зіставлення доменів та довіри візуалізувати зв'язки, зокрема питання довіри, з Azure AD/Entra ID.
- Консолідація звітів для бенчмаркінгу, ключових показників ефективності (KPI) та управлінських панелей (у вищих версіях).
PingCastle також виходить за рамки каталогу та виконує сканування робочих станцій на наявність небезпечних практик. Виявляє надмірна кількість місцевих адміністраторівпогано захищені спільні ресурси, вразливості, такі як WannaCry і навіть нерівності в часі запуску, що допомагає виявляти приховані шляхи та слабкі місця в делегуванні, які можуть сприяти горизонтальному руху.
Як це працює та що це дає
Механізм PingCastle збирає дані за допомогою непривілейованих LDAP-запитів та WMI, і може бути інтегрований з Сценарії PowerShell, та застосовує модель ризиків, згруповану за категоріями: застарілі об'єкти, привілейовані облікові записи, довіри та аномалії. У підсумковому звіті висвітлено критичні проблеми (наприклад, застарілі протоколи довіри, нестійке делегування, слабкі конфігурації Kerberos або незахищені шляхи керування) та призначає оцінку справності AD: чим нижча, тим краще.
У гібридних середовищах PingCastle може повідомляти про те, чи добре захищені довірчі відносини з Azure AD. Вигляд карти та консолідація результатів Вони особливо корисні для організацій з багатьма доменами або кількома довірчими відносинами, де легко втратити зв'язок.
Видання, ліцензія та обсяг
Базова версія безкоштовна для аудиту власного середовища, тоді як версії Auditor/Standard та Professional додають розширені можливості та комерційну підтримку. Продаються такі передплати, як Auditor (близько $3.449/рік) та Professional. (близько 10 347 доларів США за домен на рік), а також версія Enterprise з функціями консолідації та глобальною перспективою для великих компаній. Проект підписує свої бінарні файли та випускає код за ліцензією OSL 3.0 (некомерційна організація) з обмеженнями на неліцензійне комерційне використання.
Відомі обмеження PingCastle
У розгортаннях з багатьма доменами звіти можуть бути щільними та дещо складними для навігації, якщо не налагоджено процеси консолідації та подання. Безкоштовна версія не містить розширених звітів або детальних посібників з виправлення.і основна увага приділяється показникам вразливості та ризику, а не ознакам компрометації, які вже матеріалізувалися.
Фіолетовий лицар: Індикатори експозиції та залученості одним натисканням кнопки
Semperis запустила Purple Knight у 2021 році як безкоштовний інструмент оцінки безпеки для Active Directory та гібридних середовищ. Відтоді він став улюбленим завдяки своїй зосередженості на індикаторах впливу (IOE) та індикаторах компрометації (IOC). Його мета — виявити ризиковані конфігурації та докази вторгнення. У Active Directory введіть ID/Azure AD і навіть Okta.
Індикатори, категорії та референтні рамки
Фіолетовий лицар групує результати за п'ятьма основними напрямками: делегування AD, безпека інфраструктури AD, безпека облікових записів. Безпека групової політики (GPO) та безпека Kerberos. У звіті використовується «бюлетень» з рейтингом за категоріями та загальним відсотком., пропонуючи пріоритетні засоби вирішення проблем, рівень серйозності (інформативний, попереджувальний або критичний) та відповідність таким фреймворкам, як MITRE ATT&CK та ANSSI, а також посилання на модель MITRE D3FEND.
- Більше ста показників (а останні версії легко перевищують цю цифру), що охоплює поширені вектори атак.
- Різниця між IOE та IOC відокремити потенційну неправильну конфігурацію від доказів активної компрометації.
- Рекомендації щодо корекції та пріоритетні за ризиком та ймовірністю експлуатації.
- Гібридне покриття з локальною AD, підтримкою Enter ID/Azure AD та Okta.
Досвід користувача та звітність
Інструмент є портативним і має графічний інтерфейс. Ви завантажуєте ZIP-файл, розпаковуєте його та запускаєте бінарний файл; після запуску він виявляє ліси та домени й дозволяє вибрати, який IOE/IOC запускати — таку детальність цінують як сині, так і червоні команди. Сканування зазвичай завершується за лічені хвилини та генерує HTML-звіт, який містить контрольний список критичних IOE та чіткі пояснення з посиланнями на документацію.
Формат «табеля» зручний: літера та відсоток, з різною вагою для кожної категорії. Описи включають причину, вплив, відповідність системам безпеки та кроки щодо усунення недоліків.Фіолетовий найт працює в режимі читання, не вносить змін до Active Directory та не "викликає додому"; його можна періодично повторювати без ризику для продуктивності.
Реєстрація, версія для спільноти та розробка
Щоб завантажити інструмент, Semperis вимагає реєстрації та надає посилання; він також повідомляє користувачів про нові версії та постійні вдосконалення. Видання для спільноти часто оновлюється І він зберігає чудовий вигляд, незважаючи на свою молодість, з покращеннями, заснованими на відгуках спільноти.
Обмеження та як це доповнюється
Purple Knight виконує разові оцінки; це не рішення для безперервного моніторингу, а також не автоматизує самостійно заходи щодо пом'якшення наслідків. Цей рівень забезпечується Directory Services Protector (DSP) від Semperis.яка є платною послугою та орієнтована на виявлення загроз ідентифікаційним даним та реагування на них (ITDR) у режимі реального часу, з оповіщеннями та скасуванням шкідливих змін.
Фіолетовий лицар проти PingCastle: що у них спільного та чим вони відрізняються
Хоча обидва інструменти можна використовувати для оцінки безпеки Active Directory та підтримки гібридних середовищ з Entra ID/Azure AD, їхня спрямованість не однакова. PingCastle надає пріоритет... методологія зрілості та звіт про «перевірку стану» з оцінкою ризиків; Purple Knight зосереджується на IOE/IOC та на наданні дієвого посібника з усунення наслідків. У першому детально розглядається «модель» та стан екосистеми Active Directory., тоді як другий надає дуже детальний знімок для швидкого виправлення.
Що стосується простоти використання, Purple Knight вирізняється своїм інтерфейсом та детальним вибором тестів; у PingCastle карта доменів та консолідація звітів чудово працюють в організаціях з багатьма лісами та трастами. У звітності Purple Knight оцінюється за категоріями з балом та відсотком.А PingCastle пропонує загальний бал здоров'я, де менше число краще.
Щодо покриття, Purple Knight охоплює AD, Entra ID/Azure AD та Okta, а також зіставляє результати з MITRE ATT&CK та ANSSI, надаючи пріоритет усуненню наслідків. PingCastle, зі свого боку, пропонує аналіз делегування, застарілих об'єктів, локальних привілеїв та вразливостей кінцевих точок.А також він може оцінювати безпеку довіри за допомогою Azure AD. Можливість виявляти забуті домени та уніфікувати результати є плюсом, коли периметр розмивається.
Що стосується ліцензування, Purple Knight пропонується як безкоштовний інструмент (після реєстрації); можливості безперервної роботи та корекції містяться в Semperis DSP, який є комерційним. PingCastle пропонує безкоштовну базову версію для особистого користування. та платні версії (Auditor/Standard, Professional, Enterprise) з розширеним функціоналом, підтримкою та масштабованістю.
Який з них обрати? Якщо ви шукаєте швидку та чітку оцінку з пріоритетними інструкціями щодо ремонту, Purple Knight ідеально вам підійде. Якщо вам потрібен метод оцінки зрілості з відображенням доменів та консолідацією ризиків Для сотень або тисяч сегментів PingCastle може бути кращим варіантом, особливо з його платними версіями. На практиці багато організацій використовують обидва варіанти: комбінація пропонує перехресну перевірку та глибше охоплення.
Практичні деталі впровадження та результатів
Обидва інструменти є портативними та можуть бути запущені зі стандартними обліковими даними користувача в більшості контекстів, збираючи дані переважно шляхом читання. Це полегшує впровадження для команд з обмеженими ресурсами. та уникає тертя з виробничими системами, оскільки вони не вносять змін.
Purple Knight зберігає свої результати у форматі HTML з логічною структурою та посиланнями на документацію, а також контрольним списком, який виділяє термінові завдання. Розподіл за рівнем серйозності та посилання на структури Це надає контекст директорам з інформаційної безпеки та технічним командам. PingCastle, зі свого боку, надає звіт з оцінками, пріоритетними висновками та, за бажанням, консолідованими оглядами для полегшення визначення ключових показників ефективності (KPI) та щоквартального моніторингу.
Попередження та експлуатаційні міркування
З PingCastle, у середовищах з кількома лісами або з десятками доменів, звіти можуть вимагати додаткової роботи для навігації та визначення пріоритетів. Базовому виданню бракує розширених функцій та розширених посібників з коректуриЦі функції включені до платних ліцензій. Purple Knight, будучи одноразовою оцінкою, не замінює систему безперервного моніторингу, а його автоматизовані можливості зменшення наслідків недоступні у безкоштовній версії.
Жоден з них не призначений для використання як IDS/IPS для AD; вони є діагностичними доповненнями, що враховуються в планах виправлення та забезпечення зрілості. У сценаріях з потребою в оповіщенні та реагуванні в режимі реального часуНа допомогу приходять такі рішення ITDR, як Semperis DSP, або пропозиції безперервного аудиту.
Інші інструменти, що доповнюють екосистему
Коли основна увага приділяється безперервності та запису кожної зміни з урахуванням контексту, Netwrix Auditor забезпечує контроль змін в Active Directory та інших системах (Exchange, SQL Server, SharePoint, Microsoft 365, Teams тощо). Його основна увага зосереджена на попередженні користувачів про підозрілі зміни. (наприклад, якщо користувача додано до групи адміністраторів домену) та вести історію конфігурації з переглядами, корисними для управління.
Для розуміння шляхів атак та взаємозв'язків контролю, BloodHound — це класичний інструмент з відкритим кодом (GPL-3.0), який моделює об'єкти, взаємозв'язки та дозволи в AD за допомогою компіляторів, таких як SharpHound та AzureHound. Це ключово як для червоних команд, так і для синіх. які хочуть візуалізувати «найкоротший шлях» до критичних цілей та перекрити маршрути скелелазіння.
У сфері реагування та моніторингу в режимі реального часу, Semperis Directory Services Protector (DSP) пропонує безперервний моніторинг, сповіщення та навіть автоматичний відкат у відповідь на шкідливі зміни, як в AD, так і в Entra ID. Він діє як відсутній рівень ITDR у бальній оцінці. та пришвидшує стримування інцидентів, пов'язаних з ідентифікацією.
Французьке агентство з безпеки даних (ANSSI) надає такі утиліти, як ORADAD для Active Directory та ORADAZ для Azure/Entra, що використовуються в розширених аудитах. Хоча збір даних є публічним, для повної обробки потрібні неопубліковані інструменти. Це цінні довідники для команд, які дотримуються урядових рекомендацій. або бажають узгодити аудити з визнаними найкращими практиками.
Деякі порівняння ринків показують пропозиції з хостингом та різними розгортаннями (сервіс Windows, портативне, локальне або SaaS), кореляцією з MITRE ATT&CK, експортом у CSV, можливостями багатокористувацького обслуговування та опціями прийняття ризиків у документованому вигляді. На практиці вибір зводиться до балансу між спеціальним аудитом, виявленням інцидентів та безперервним управлінням.Враховуючи бюджети, ліцензування (у деяких випадках безкоштовне для особистого використання) та підтримку партнерів.
Часті запитання: Чи можна заборонити користувачеві запускати ці інструменти?
Це поширене питання, коли виявляється, що портативні інструменти можуть працювати без прав адміністратора. Зазвичай Purple Knight та PingCastle працюють у режимі лише для читання з правами користувача на запити до каталогу. Якщо ваша мета — обмежити його виконання, тоді в гру вступає контроль застосунку.Такі політики, як AppLocker або Контроль програм Захисника Windows (WDAC), або правила обмеження доступу до програмного забезпечення, допомагають обмежити доступ до несанкціонованих двійкових файлів. Крім того, посилення дозволів в Active Directory зменшує доступ до конфіденційних даних для звичайних користувачів.
Тим не менш, модель безпеки AD припускає, що певна інформація може бути прочитана автентифікованими користувачами, оскільки від неї залежить багато програм. Ефективне пом'якшення наслідків включає посилення делегування, аудит шляхів контролю та зменшення привілеїв.Використання цих інструментів для виявлення та виправлення того, що не повинно бути видимим або ввімкненим. Запобігання не повинно покладатися виключно на блокування виконуваних файлів, а радше на усунення поверхні атаки на рівні конфігурації.
Типові випадки використання та розумне поєднання
Невелика ІТ-команда, якій потрібна швидка діагностика та чіткий посібник з усунення несправностей, оцінить Purple Knight. Пріоритезація за серйозністю та її зіставлення зі сприятливими рамками Це дозволяє користувачам готувати тести на проникнення, демонструвати прогрес і повідомляти про ризики керівництву. Тим часом, періодичні внутрішні аудити та консалтингові фірми, що обслуговують кілька доменів, отримують вигоду від моделі зрілості PingCastle, зіставлення доменів та можливостей консолідації.
Багато організацій використовують обидва інструменти в різних циклах, щоб отримати додаткову аналітику: спочатку «знімок» з IOE/IOC, а потім огляд процесів та зрілості зі зведеними перевірками стану. Перехресна перевірка зменшує кількість хибнонегативних результатів та покращує пріоритезацію виправних заходів.прискорення усунення критичних прогалин та підвищення гігієни ідентичності у середньостроковій перспективі.
Немає чарівної палички. Правильний вибір передбачає узгодження потреб із можливостями: знімок із чіткими рекомендаціями чи моделями та картами зрілості? Одноразова оцінка чи постійний моніторинг за допомогою ITDR? Відповідь зазвичай «так, і…», а не гучне «або»поєднання безкоштовної оцінки з рішеннями для моніторингу, адаптованими до ризиків та бюджету.
Якщо метою є стале покращення безпеки ідентифікаційних даних, доцільно планувати регулярні оцінки, переглядати делегування та довіри, а також підтримувати гігієну облікових записів, об'єктів групової політики (та ADMX-файли) та Керберос. Комбіноване використання Purple Knight та PingCastle, а також рівень аудиту змін та/або ITDRВін пропонує правильний баланс між раннім виявленням, пріоритетною корекцією та постійним моніторингом стану AD та Entra ID.