كل ما يحتاجه المهاجم هو الوقت والحافز لاقتحام شبكتك. لكن مهمتنا هي منعه من القيام بذلك، أو على الأقل جعل هذه المهمة صعبة قدر الإمكان. عليك أن تبدأ بتحديد نقاط الضعف في Active Directory (المشار إليها فيما يلي باسم AD) والتي يمكن للمهاجم استخدامها للوصول إلى الشبكة والتنقل فيها دون أن يتم اكتشافه. سننظر اليوم في هذه المقالة إلى مؤشرات المخاطر التي تعكس نقاط الضعف الموجودة في الدفاع الإلكتروني لمؤسستك، باستخدام لوحة معلومات AD Varonis كمثال.
يستخدم المهاجمون تكوينات معينة في المجال
يستخدم المهاجمون مجموعة متنوعة من التقنيات الذكية ونقاط الضعف لاختراق شبكات الشركة وتصعيد الامتيازات. بعض نقاط الضعف هذه هي إعدادات تكوين المجال التي يمكن تغييرها بسهولة بمجرد التعرف عليها.
ستنبهك لوحة معلومات AD على الفور إذا لم تقم أنت (أو مسؤولو النظام لديك) بتغيير كلمة مرور KRBTGT في الشهر الماضي، أو إذا قام شخص ما بالمصادقة باستخدام حساب المسؤول الافتراضي المدمج. يوفر هذان الحسابان وصولاً غير محدود إلى شبكتك: سيحاول المهاجمون الوصول إليهما لتجاوز أي قيود في الامتيازات وأذونات الوصول بسهولة. ونتيجة لذلك، يمكنهم الوصول إلى أي بيانات تهمهم.
بالطبع، يمكنك اكتشاف هذه الثغرات الأمنية بنفسك: على سبيل المثال، قم بتعيين تذكير تقويم للتحقق أو تشغيل برنامج PowerShell النصي لجمع هذه المعلومات.
يتم تحديث لوحة معلومات Varonis تلقائيا لتوفير رؤية سريعة وتحليل للمقاييس الرئيسية التي تسلط الضوء على نقاط الضعف المحتملة حتى تتمكن من اتخاذ إجراءات فورية لمعالجتها.
3 مؤشرات رئيسية للمخاطر على مستوى المجال
فيما يلي عدد من الأدوات المتاحة على لوحة معلومات Varonis، والتي سيؤدي استخدامها إلى تعزيز حماية شبكة الشركة والبنية التحتية لتكنولوجيا المعلومات ككل بشكل كبير.
1. عدد النطاقات التي لم يتم تغيير كلمة مرور حساب Kerberos لها لفترة زمنية طويلة
حساب KRBTGT هو حساب خاص في AD يقوم بالتوقيع على كل شيء . يمكن للمهاجمين الذين لديهم حق الوصول إلى وحدة تحكم المجال (DC) استخدام هذا الحساب للإنشاء ، مما سيمنحهم وصولاً غير محدود إلى أي نظام تقريبًا على شبكة الشركة. لقد واجهنا موقفًا، حيث تمكن أحد المهاجمين، بعد الحصول على التذكرة الذهبية بنجاح، من الوصول إلى شبكة المنظمة لمدة عامين. إذا لم يتم تغيير كلمة مرور حساب KRBTGT في شركتك خلال الأربعين يومًا الماضية، فستقوم الأداة بإعلامك بذلك.
أربعون يومًا هي أكثر من كافية للمهاجم للوصول إلى الشبكة. ومع ذلك، إذا قمت بفرض وتوحيد عملية تغيير كلمة المرور هذه بشكل منتظم، فسيزيد ذلك من صعوبة قيام المهاجم باقتحام شبكة شركتك.
تذكر أنه وفقًا لتطبيق Microsoft لبروتوكول Kerberos، يجب عليك ذلك KRBTGT.
في المستقبل، ستذكرك أداة AD هذه عندما يحين وقت تغيير كلمة مرور KRBTGT مرة أخرى لجميع النطاقات الموجودة على شبكتك.
2. عدد المجالات التي تم فيها استخدام حساب المسؤول المضمن مؤخرًا
وفق — يتم تزويد مسؤولي النظام بحسابين: الأول حساب للاستخدام اليومي، والثاني للأعمال الإدارية المخططة. وهذا يعني أنه لا ينبغي لأحد استخدام حساب المسؤول الافتراضي.
غالبًا ما يتم استخدام حساب المسؤول المدمج لتبسيط عملية إدارة النظام. يمكن أن تصبح هذه عادة سيئة، مما يؤدي إلى القرصنة. إذا حدث هذا في مؤسستك، فستواجه صعوبة في التمييز بين الاستخدام الصحيح لهذا الحساب والوصول المحتمل إلى برامج ضارة.
إذا أظهرت الأداة أي شيء آخر غير الصفر، فهذا يعني أن شخصًا ما لا يعمل بشكل صحيح مع الحسابات الإدارية. في هذه الحالة، يجب عليك اتخاذ خطوات لتصحيح وتقييد الوصول إلى حساب المسؤول المضمن.
بمجرد تحقيق قيمة عنصر واجهة المستخدم وهي صفر ولم يعد مسؤولو النظام يستخدمون هذا الحساب في عملهم، فإن أي تغيير عليه في المستقبل سيشير إلى هجوم إلكتروني محتمل.
3. عدد المجالات التي لا تحتوي على مجموعة من المستخدمين المحميين
الإصدارات الأقدم من AD تدعم نوع تشفير ضعيف - RC4. اخترق المتسللون RC4 منذ سنوات عديدة، والآن أصبح من السهل جدًا على المهاجم اختراق حساب لا يزال يستخدم RC4. قدم إصدار Active Directory الذي تم تقديمه في Windows Server 2012 نوعًا جديدًا من مجموعة المستخدمين يسمى مجموعة المستخدمين المحميين. فهو يوفر أدوات أمان إضافية ويمنع مصادقة المستخدم باستخدام تشفير RC4.
ستوضح هذه الأداة ما إذا كان أي مجال في المؤسسة يفتقد مثل هذه المجموعة حتى تتمكن من إصلاحه، على سبيل المثال. تمكين مجموعة من المستخدمين المحميين واستخدامها لحماية البنية التحتية.
أهداف سهلة للمهاجمين
تعد حسابات المستخدمين الهدف الأول للمهاجمين، بدءًا من محاولات التطفل الأولية وحتى التصعيد المستمر للامتيازات وإخفاء أنشطتهم. يبحث المهاجمون عن أهداف بسيطة على شبكتك باستخدام أوامر PowerShell الأساسية التي غالبًا ما يصعب اكتشافها. قم بإزالة أكبر عدد ممكن من هذه الأهداف السهلة من AD قدر الإمكان.
يبحث المهاجمون عن مستخدمين لديهم كلمات مرور لا تنتهي صلاحيتها أبدًا (أو لا يحتاجون إلى كلمات مرور)، وحسابات تقنية مسؤولة، وحسابات تستخدم تشفير RC4 القديم.
أي من هذه الحسابات إما أن يكون من السهل الوصول إليها أو لا تتم مراقبتها بشكل عام. يمكن للمهاجمين الاستيلاء على هذه الحسابات والتحرك بحرية داخل البنية التحتية الخاصة بك.
بمجرد اختراق المهاجمين للمحيط الأمني، فمن المرجح أن يتمكنوا من الوصول إلى حساب واحد على الأقل. هل يمكنك منعهم من الوصول إلى البيانات الحساسة قبل اكتشاف الهجوم واحتوائه؟
ستشير لوحة معلومات Varonis AD إلى حسابات المستخدمين المعرضة للخطر حتى تتمكن من استكشاف المشكلات وإصلاحها بشكل استباقي. كلما زادت صعوبة اختراق شبكتك، زادت فرصك في تحييد المهاجم قبل أن يتسبب في أضرار جسيمة.
4 مؤشرات المخاطر الرئيسية لحسابات المستخدمين
فيما يلي أمثلة على عناصر واجهة مستخدم لوحة معلومات Varonis AD التي تسلط الضوء على حسابات المستخدمين الأكثر عرضة للخطر.
1. عدد المستخدمين النشطين الذين لديهم كلمات مرور لا تنتهي صلاحيتها أبدًا
إن حصول أي مهاجم على حق الوصول إلى مثل هذا الحساب يعد دائمًا نجاحًا كبيرًا. وبما أن كلمة المرور لا تنتهي صلاحيتها أبدًا، فإن المهاجم لديه موطئ قدم دائم داخل الشبكة، والذي يمكن بعد ذلك استخدامه أو التحركات داخل البنية التحتية.
يمتلك المهاجمون قوائم بملايين مجموعات كلمات مرور المستخدم التي يستخدمونها في هجمات حشو بيانات الاعتماد، ومن المحتمل أن يكون ذلك
أن مجموعة المستخدم بكلمة المرور "الأبدية" موجودة في إحدى هذه القوائم، وهي أكبر بكثير من الصفر.
من السهل إدارة الحسابات التي تحتوي على كلمات مرور غير منتهية الصلاحية، ولكنها ليست آمنة. استخدم هذه القطعة للعثور على كافة الحسابات التي لديها كلمات المرور هذه. قم بتغيير هذا الإعداد وقم بتحديث كلمة المرور الخاصة بك.
بمجرد تعيين قيمة هذه الأداة على صفر، ستظهر أي حسابات جديدة تم إنشاؤها باستخدام كلمة المرور هذه في لوحة المعلومات.
2. عدد الحسابات الإدارية مع SPN
SPN (الاسم الرئيسي للخدمة) هو معرف فريد لمثيل الخدمة. تعرض هذه الأداة عدد حسابات الخدمة التي تتمتع بحقوق المسؤول الكاملة. يجب أن تكون القيمة الموجودة على القطعة صفراً. يحدث SPN مع الحقوق الإدارية لأن منح هذه الحقوق مناسب لموردي البرامج ومسؤولي التطبيقات، ولكنه يشكل خطرًا أمنيًا.
يتيح منح الحقوق الإدارية لحساب الخدمة للمهاجم إمكانية الوصول الكامل إلى حساب غير مستخدم. وهذا يعني أن المهاجمين الذين لديهم حق الوصول إلى حسابات SPN يمكنهم العمل بحرية داخل البنية التحتية دون مراقبة أنشطتهم.
يمكنك حل هذه المشكلة عن طريق تغيير الأذونات على حسابات الخدمة. ويجب أن تخضع هذه الحسابات لمبدأ الامتيازات الأقل وأن يكون لها فقط حق الوصول الضروري فعليًا لتشغيلها.
باستخدام عنصر واجهة المستخدم هذا، يمكنك اكتشاف جميع أسماء الخدمات الأساسية (SPN) التي تتمتع بحقوق إدارية، وإزالة هذه الامتيازات، ثم مراقبة أسماء الخدمات الأساسية (SPN) باستخدام نفس مبدأ الوصول الأقل امتيازًا.
سيتم عرض SPN الذي ظهر حديثًا على لوحة المعلومات، وستتمكن من مراقبة هذه العملية.
3. عدد المستخدمين الذين لا يحتاجون إلى مصادقة Kerberos المسبقة
من الناحية المثالية، يقوم Kerberos بتشفير تذكرة المصادقة باستخدام تشفير AES-256، والذي لا يزال غير قابل للكسر حتى يومنا هذا.
ومع ذلك، استخدمت الإصدارات الأقدم من Kerberos تشفير RC4، والذي يمكن الآن كسره في دقائق. تعرض هذه الأداة حسابات المستخدمين التي لا تزال تستخدم RC4. لا تزال Microsoft تدعم RC4 للتوافق مع الإصدارات السابقة، ولكن هذا لا يعني أنه يجب عليك استخدامه في إعلانك.
بمجرد تحديد هذه الحسابات، تحتاج إلى إلغاء تحديد خانة الاختيار "لا يتطلب تفويضًا مسبقًا من Kerberos" في AD لإجبار الحسابات على استخدام تشفير أكثر تعقيدًا.
إن اكتشاف هذه الحسابات بنفسك، بدون لوحة معلومات Varonis AD، يستغرق الكثير من الوقت. في الواقع، يعد التعرف على جميع الحسابات التي تم تحريرها لاستخدام تشفير RC4 مهمة أكثر صعوبة.
إذا تغيرت القيمة الموجودة في عنصر واجهة المستخدم، فقد يشير هذا إلى نشاط غير قانوني.
4. عدد المستخدمين بدون كلمة مرور
يستخدم المهاجمون أوامر PowerShell الأساسية لقراءة علامة "PASSWD_NOTREQD" من AD في خصائص الحساب. يشير استخدام هذه العلامة إلى عدم وجود متطلبات لكلمة المرور أو متطلبات التعقيد.
ما مدى سهولة سرقة حساب بكلمة مرور بسيطة أو فارغة؟ الآن تخيل أن أحد هذه الحسابات هو المسؤول.
ماذا لو كان أحد آلاف الملفات السرية المفتوحة للجميع هو تقرير مالي قادم؟
يعد تجاهل متطلبات كلمة المرور الإلزامية اختصارًا آخر لإدارة النظام تم استخدامه غالبًا في الماضي، ولكنه ليس مقبولًا ولا آمنًا اليوم.
قم بإصلاح هذه المشكلة عن طريق تحديث كلمات المرور لهذه الحسابات.
ستساعدك مراقبة هذه الأداة في المستقبل على تجنب الحسابات التي لا تحتوي على كلمة مرور.
Varonis уравнивает шансы
في الماضي، كان العمل على جمع وتحليل المقاييس الموضحة في هذه المقالة يستغرق عدة ساعات ويتطلب معرفة عميقة ببرنامج PowerShell، مما يتطلب من فرق الأمان تخصيص الموارد لمثل هذه المهام كل أسبوع أو شهر. لكن جمع هذه المعلومات ومعالجتها يدويًا يمنح المهاجمين السبق للتسلل إلى البيانات وسرقتها.
С ستقضي يومًا واحدًا لنشر لوحة تحكم AD والمكونات الإضافية، وجمع كل نقاط الضعف التي تمت مناقشتها وغيرها الكثير. في المستقبل، أثناء التشغيل، سيتم تحديث لوحة المراقبة تلقائيًا مع تغير حالة البنية التحتية.
دائمًا ما يكون تنفيذ الهجمات السيبرانية بمثابة سباق بين المهاجمين والمدافعين، حيث تتمثل رغبة المهاجم في سرقة البيانات قبل أن يتمكن متخصصو الأمن من منع الوصول إليها. يعد الكشف المبكر عن المهاجمين وأنشطتهم غير القانونية، إلى جانب الدفاعات السيبرانية القوية، هو المفتاح للحفاظ على بياناتك آمنة.
المصدر: www.habr.com