Al wat 'n aanvaller nodig het, is tyd en motivering om by jou netwerk in te breek. Maar ons taak is om hom te verhoed om dit te doen, of ten minste om hierdie taak so moeilik moontlik te maak. Jy moet begin deur swakhede in Active Directory (hierna na verwys as AD) te identifiseer wat 'n aanvaller kan gebruik om toegang te verkry en deur die netwerk te beweeg sonder om opgespoor te word. Vandag in hierdie artikel sal ons kyk na risiko-aanwysers wat bestaande kwesbaarhede in u organisasie se kuberverdediging weerspieël, met die AD Varonis-kontroleskerm as voorbeeld.
Aanvallers gebruik sekere konfigurasies in die domein
Aanvallers gebruik 'n verskeidenheid slim tegnieke en kwesbaarhede om korporatiewe netwerke binne te dring en voorregte te eskaleer. Sommige van hierdie kwesbaarhede is domeinkonfigurasie-instellings wat maklik verander kan word sodra hulle geïdentifiseer is.
Die AD-kontroleskerm sal jou onmiddellik waarsku as jy (of jou stelseladministrateurs) nie die KRBTGT-wagwoord in die afgelope maand verander het nie, of as iemand geverifieer het met die verstek ingeboude administrateurrekening. Hierdie twee rekeninge bied onbeperkte toegang tot jou netwerk: aanvallers sal probeer om toegang daartoe te verkry om enige beperkings in voorregte en toegangstoestemmings maklik te omseil. En gevolglik kry hulle toegang tot enige data wat hulle interesseer.
Natuurlik kan jy self hierdie kwesbaarhede ontdek: stel byvoorbeeld 'n kalenderherinnering om na te gaan of 'n PowerShell-skrip uit te voer om hierdie inligting in te samel.
Varonis-kontroleskerm word tans opgedateer outomaties om vinnige sigbaarheid en ontleding van sleutelmaatstawwe te verskaf wat potensiële kwesbaarhede uitlig sodat jy onmiddellik kan optree om dit aan te spreek.
3 Sleuteldomeinvlakrisiko-aanwysers
Hieronder is 'n aantal widgets beskikbaar op die Varonis-dashboard, waarvan die gebruik die beskerming van die korporatiewe netwerk en IT-infrastruktuur as geheel aansienlik sal verbeter.
1. Aantal domeine waarvoor die Kerberos-rekeningwagwoord vir 'n aansienlike tydperk nie verander is nie
Die KRBTGT-rekening is 'n spesiale rekening in AD wat alles teken . Aanvallers wat toegang tot 'n domeinbeheerder (DC) kry, kan hierdie rekening gebruik om te skep , wat hulle onbeperkte toegang tot byna enige stelsel op die korporatiewe netwerk sal gee. Ons het 'n situasie teëgekom waar 'n aanvaller, nadat hy 'n Goue Kaartjie suksesvol verkry het, vir twee jaar toegang tot die organisasie se netwerk gehad het. As die KRBTGT-rekeningwagwoord in jou maatskappy nie die afgelope veertig dae verander is nie, sal die widget jou hieroor in kennis stel.
Veertig dae is meer as genoeg tyd vir 'n aanvaller om toegang tot die netwerk te kry. As jy egter die proses om hierdie wagwoord gereeld te verander afdwing en standaardiseer, sal dit dit baie moeiliker maak vir 'n aanvaller om by jou korporatiewe netwerk in te breek.
Onthou dat jy volgens Microsoft se implementering van die Kerberos-protokol moet KRBTGT.
In die toekoms sal hierdie AD-legstuk jou herinner wanneer dit tyd is om die KRBTGT-wagwoord weer vir alle domeine op jou netwerk te verander.
2. Aantal domeine waar die ingeboude administrateurrekening onlangs gebruik is
Volgens — stelseladministrateurs word van twee rekeninge voorsien: die eerste is 'n rekening vir alledaagse gebruik, en die tweede is vir beplande administratiewe werk. Dit beteken dat niemand die verstek administrateur rekening moet gebruik nie.
Die ingeboude administrateurrekening word dikwels gebruik om die stelseladministrasieproses te vereenvoudig. Dit kan 'n slegte gewoonte word, wat lei tot inbraak. As dit in jou organisasie gebeur, sal jy sukkel om te onderskei tussen behoorlike gebruik van hierdie rekening en potensieel kwaadwillige toegang.
As die legstuk enigiets anders as nul wys, dan werk iemand nie korrek met administratiewe rekeninge nie. In hierdie geval moet jy stappe doen om die toegang tot die ingeboude administrateurrekening reg te stel en te beperk.
Sodra jy 'n legstukwaarde van nul bereik het en stelseladministrateurs nie meer hierdie rekening vir hul werk gebruik nie, sal enige verandering daaraan in die toekoms 'n potensiële kuberaanval aandui.
3. Aantal domeine wat nie 'n groep beskermde gebruikers het nie
Ouer weergawes van AD het 'n swak enkripsietipe ondersteun - RC4. Kuberkrakers het RC4 baie jare gelede gekap, en nou is dit 'n baie onbenullige taak vir 'n aanvaller om 'n rekening te hack wat steeds RC4 gebruik. Die weergawe van Active Directory wat in Windows Server 2012 bekendgestel is, het 'n nuwe tipe gebruikersgroep bekendgestel genaamd die Protected Users Group. Dit bied bykomende sekuriteitsinstrumente en verhoed gebruikersverifikasie deur RC4-enkripsie te gebruik.
Hierdie legstuk sal demonstreer of enige domein in die organisasie so 'n groep ontbreek sodat jy dit kan regmaak, m.a.w. stel 'n groep beskermde gebruikers in staat en gebruik dit om die infrastruktuur te beskerm.
Maklike teikens vir aanvallers
Gebruikersrekeninge is die nommer een teiken vir aanvallers, van aanvanklike inbraakpogings tot voortgesette eskalasie van voorregte en verberging van hul aktiwiteite. Aanvallers soek eenvoudige teikens op jou netwerk deur basiese PowerShell-opdragte te gebruik wat dikwels moeilik is om op te spoor. Verwyder soveel as moontlik van hierdie maklike teikens uit AD.
Aanvallers soek gebruikers met wagwoorde wat nooit verval nie (of wat nie wagwoorde benodig nie), tegnologierekeninge wat administrateurs is en rekeninge wat verouderde RC4-enkripsie gebruik.
Enige van hierdie rekeninge is óf onbenullig om toegang te verkry óf oor die algemeen nie gemonitor nie. Aanvallers kan hierdie rekeninge oorneem en vrylik binne jou infrastruktuur beweeg.
Sodra aanvallers die sekuriteitsomtrek binnedring, sal hulle waarskynlik toegang tot ten minste een rekening kry. Kan jy keer dat hulle toegang tot sensitiewe data kry voordat die aanval opgespoor en in bedwang gehou word?
Die Varonis AD-kontroleskerm sal kwesbare gebruikersrekeninge uitwys sodat u probleme proaktief kan oplos. Hoe moeiliker dit is om jou netwerk binne te dring, hoe groter is jou kanse om 'n aanvaller te neutraliseer voordat hulle ernstige skade aanrig.
4 Sleutelrisiko-aanwysers vir gebruikersrekeninge
Hieronder is voorbeelde van Varonis AD-dashboard-legstukke wat die kwesbaarste gebruikersrekeninge uitlig.
1. Aantal aktiewe gebruikers met wagwoorde wat nooit verval nie
Vir enige aanvaller om toegang tot so 'n rekening te kry, is altyd 'n groot sukses. Aangesien die wagwoord nooit verval nie, het die aanvaller 'n permanente vastrapplek binne die netwerk, wat dan gebruik kan word of bewegings binne die infrastruktuur.
Aanvallers het lyste van miljoene gebruiker-wagwoordkombinasies wat hulle in geloofsaanvalle gebruik, en die waarskynlikheid is dat
dat die kombinasie vir die gebruiker met die "ewige" wagwoord in een van hierdie lyste is, veel groter as nul.
Rekeninge met wagwoorde wat nie verval nie, is maklik om te bestuur, maar hulle is nie veilig nie. Gebruik hierdie legstuk om alle rekeninge te vind wat sulke wagwoorde het. Verander hierdie instelling en werk jou wagwoord op.
Sodra die waarde van hierdie legstuk op nul gestel is, sal enige nuwe rekeninge wat met daardie wagwoord geskep is, in die kontroleskerm verskyn.
2. Aantal administratiewe rekeninge by SPN
SPN (Service Principal Name) is 'n unieke identifiseerder van 'n diensgeval. Hierdie legstuk wys hoeveel diensrekeninge volle administrateurregte het. Die waarde op die legstuk moet nul wees. SPN met administratiewe regte vind plaas omdat die toestaan van sulke regte gerieflik is vir sagtewareverkopers en toepassingsadministrateurs, maar dit hou 'n sekuriteitsrisiko in.
Deur die diensrekening administratiewe regte te gee, kan 'n aanvaller volle toegang verkry tot 'n rekening wat nie in gebruik is nie. Dit beteken dat aanvallers met toegang tot SPN-rekeninge vrylik binne die infrastruktuur kan werk sonder dat hul aktiwiteite gemonitor word.
Jy kan hierdie probleem oplos deur die toestemmings op diensrekeninge te verander. Sulke rekeninge moet onderhewig wees aan die beginsel van minste bevoorregting en slegs die toegang hê wat eintlik nodig is vir hul werking.
Deur hierdie legstuk te gebruik, kan jy alle SPN'e opspoor wat administratiewe regte het, sulke voorregte verwyder en dan SPN'e monitor deur dieselfde beginsel van minsbevoorregte toegang te gebruik.
Die nuwe SPN sal op die dashboard vertoon word, en jy sal hierdie proses kan monitor.
3. Aantal gebruikers wat nie Kerberos-voorafverifikasie benodig nie
Ideaal gesproke enkripteer Kerberos die verifikasiekaartjie met AES-256-enkripsie, wat tot vandag toe onbreekbaar bly.
Ouer weergawes van Kerberos het egter RC4-enkripsie gebruik, wat nou binne minute verbreek kan word. Hierdie legstuk wys watter gebruikerrekeninge nog steeds RC4 gebruik. Microsoft ondersteun steeds RC4 vir terugwaartse versoenbaarheid, maar dit beteken nie dat jy dit in jou AD moet gebruik nie.
Sodra jy sulke rekeninge geïdentifiseer het, moet jy die "benodig nie Kerberos-voorafmagtiging nie"-merkblokkie in AD ontmerk om die rekeninge te dwing om meer gesofistikeerde enkripsie te gebruik.
Om hierdie rekeninge op jou eie te ontdek, sonder die Varonis AD-kontroleskerm, neem baie tyd. In werklikheid is dit 'n nog moeiliker taak om bewus te wees van alle rekeninge wat geredigeer word om RC4-enkripsie te gebruik.
As die waarde op die legstuk verander, kan dit onwettige aktiwiteit aandui.
4. Aantal gebruikers sonder wagwoord
Aanvallers gebruik basiese PowerShell-opdragte om die "PASSWD_NOTREQD"-vlag van AD in rekeningeienskappe te lees. Gebruik van hierdie vlag dui aan dat daar geen wagwoordvereistes of kompleksiteitvereistes is nie.
Hoe maklik is dit om 'n rekening met 'n eenvoudige of leë wagwoord te steel? Stel jou nou voor dat een van hierdie rekeninge 'n administrateur is.
Wat as een van die duisende vertroulike lêers wat vir almal oop is 'n komende finansiële verslag is?
Om die verpligte wagwoordvereiste te ignoreer, is nog 'n stelseladministrasie-kortpad wat dikwels in die verlede gebruik is, maar vandag nie aanvaarbaar of veilig is nie.
Los hierdie probleem op deur die wagwoorde vir hierdie rekeninge op te dateer.
Om hierdie legstuk in die toekoms te moniteer, sal jou help om rekeninge sonder 'n wagwoord te vermy.
Varonis maak die kanse gelyk
In die verlede het die werk van die insameling en ontleding van die maatstawwe wat in hierdie artikel beskryf word, baie ure geneem en diep kennis van PowerShell vereis, wat vereis het dat sekuriteitspanne elke week of maand hulpbronne aan sulke take toewys. Maar handmatige versameling en verwerking van hierdie inligting gee aanvallers 'n voorsprong om data te infiltreer en te steel.
С Jy sal een dag spandeer om die AD-kontroleskerm en bykomende komponente te ontplooi, al die kwesbaarhede wat bespreek is, te versamel en nog vele meer. In die toekoms, tydens werking, sal die moniteringspaneel outomaties opgedateer word soos die toestand van die infrastruktuur verander.
Om kuberaanvalle uit te voer is altyd 'n wedloop tussen aanvallers en verdedigers, die aanvaller se begeerte om data te steel voordat sekuriteitspesialiste toegang daartoe kan blokkeer. Vroeë opsporing van aanvallers en hul onwettige aktiwiteite, tesame met sterk kuberverdediging, is die sleutel om jou data veilig te hou.
Bron: will.com