Təcavüzkarın ehtiyac duyduğu yeganə şey şəbəkənizə daxil olmaq üçün vaxt və motivasiyadır. Amma bizim işimiz onun bunu etməsinə mane olmaq və ya ən azından bu işi mümkün qədər çətinləşdirməkdir. Siz təcavüzkarın aşkarlanmadan şəbəkəyə daxil olmaq və hərəkət etmək üçün istifadə edə biləcəyi Active Directory-də (bundan sonra AD adlandırılacaq) zəif cəhətləri müəyyən etməklə başlamalısınız. Bu gün bu məqalədə AD Varonis tablosundan nümunə olaraq istifadə edərək, təşkilatınızın kibermüdafiəsindəki mövcud zəiflikləri əks etdirən risk göstəricilərinə baxacağıq.
Təcavüzkarlar domendə müəyyən konfiqurasiyalardan istifadə edirlər
Hücumçular korporativ şəbəkələrə nüfuz etmək və imtiyazları artırmaq üçün müxtəlif ağıllı üsullardan və zəifliklərdən istifadə edirlər. Bu zəifliklərdən bəziləri müəyyən edildikdən sonra asanlıqla dəyişdirilə bilən domen konfiqurasiya parametrləridir.
Əgər siz (və ya sistem administratorlarınız) son bir ay ərzində KRBTGT parolunu dəyişməmisinizsə və ya kimsə standart daxili Administrator hesabı ilə autentifikasiya edibsə, AD idarə paneli dərhal sizi xəbərdar edəcək. Bu iki hesab şəbəkənizə məhdudiyyətsiz girişi təmin edir: təcavüzkarlar imtiyazlar və giriş icazələrindəki hər hansı məhdudiyyəti asanlıqla keçmək üçün onlara giriş əldə etməyə çalışacaqlar. Və nəticədə onları maraqlandıran istənilən məlumatı əldə etmək imkanı əldə edirlər.
Əlbəttə ki, siz bu zəiflikləri özünüz aşkar edə bilərsiniz: məsələn, bu məlumatı toplamaq üçün PowerShell skriptini yoxlamaq və ya işə salmaq üçün təqvim xatırladıcısı qurun.
Varonis idarə paneli yenilənir avtomatik olaraq potensial zəiflikləri vurğulayan əsas ölçülərin tez görünməsini və təhlilini təmin etmək, beləliklə onları aradan qaldırmaq üçün dərhal tədbirlər görmək.
3 Əsas Domen Səviyyəsi Risk Göstəriciləri
Aşağıda Varonis tablosunda mövcud olan bir sıra vidjetlər var ki, onlardan istifadə korporativ şəbəkənin və bütövlükdə İT infrastrukturunun mühafizəsini əhəmiyyətli dərəcədə artıracaq.
1. Kerberos hesab parolunun əhəmiyyətli müddət ərzində dəyişdirilmədiyi domenlərin sayı
KRBTGT hesabı AD-də hər şeyi imzalayan xüsusi hesabdır . Domen nəzarətçisinə (DC) giriş əldə edən hücumçular yaratmaq üçün bu hesabdan istifadə edə bilərlər , bu onlara korporativ şəbəkədəki demək olar ki, istənilən sistemə məhdudiyyətsiz giriş imkanı verəcək. Biz elə bir vəziyyətlə qarşılaşdıq ki, Qızıl Bileti uğurla əldə etdikdən sonra təcavüzkar iki il ərzində təşkilatın şəbəkəsinə daxil ola bildi. Şirkətinizdəki KRBTGT hesab parolu son qırx gündə dəyişdirilməyibsə, widget bu barədə sizə məlumat verəcəkdir.
Qırx gün təcavüzkarın şəbəkəyə daxil olması üçün kifayət qədər vaxtdır. Bununla belə, bu parolun dəyişdirilməsi prosesini müntəzəm olaraq tətbiq etsəniz və standartlaşdırsanız, bu, təcavüzkarın korporativ şəbəkənizi sındırmasını xeyli çətinləşdirəcək.
Unutmayın ki, Microsoft-un Kerberos protokolunun tətbiqinə uyğun olaraq, etməlisiniz KRBTGT.
Gələcəkdə bu AD vidceti sizə şəbəkənizdəki bütün domenlər üçün KRBTGT parolunu yenidən dəyişməyin vaxtı gəldiyini xatırladacaq.
2. Daxili Administrator hesabının bu yaxınlarda istifadə edildiyi domenlərin sayı
Uyğun olaraq — sistem inzibatçılarına iki hesab verilir: birincisi gündəlik istifadə üçün hesab, ikincisi isə planlaşdırılmış inzibati işlər üçün. Bu o deməkdir ki, heç kim standart administrator hesabından istifadə etməməlidir.
Daxili administrator hesabı tez-tez sistemin idarəetmə prosesini sadələşdirmək üçün istifadə olunur. Bu, pis bir vərdişə çevrilə bilər, nəticədə hakerlik olur. Bu, təşkilatınızda baş verərsə, siz bu hesabdan düzgün istifadə ilə potensial zərərli girişi ayırmaqda çətinlik çəkəcəksiniz.
Əgər widget sıfırdan başqa bir şey göstərirsə, deməli kimsə inzibati hesablarla düzgün işləmir. Bu halda, daxili administrator hesabına girişi düzəltmək və məhdudlaşdırmaq üçün addımlar atmalısınız.
Siz sıfır widget dəyərinə nail olduqdan və sistem administratorları artıq bu hesabı öz işləri üçün istifadə etmədikdən sonra, gələcəkdə ona edilən hər hansı dəyişiklik potensial kiberhücumun olduğunu göstərəcək.
3. Qorunan İstifadəçilər qrupu olmayan domenlərin sayı
AD-nin köhnə versiyaları zəif şifrələmə növünü dəstəkləyirdi - RC4. Hakerlər illər əvvəl RC4-ü sındırdılar və indi təcavüzkarın hələ də RC4-dən istifadə edən hesabı sındırması çox mənasız bir işdir. Windows Server 2012-də təqdim edilən Active Directory versiyası Qorunan İstifadəçilər Qrupu adlı yeni istifadəçi qrupunu təqdim etdi. O, əlavə təhlükəsizlik vasitələri təqdim edir və RC4 şifrələməsindən istifadə edərək istifadəçinin autentifikasiyasının qarşısını alır.
Bu vidcet təşkilatdakı hər hansı bir domendə belə bir qrupun olmadığını göstərəcək ki, siz onu düzəldə biləsiniz, yəni. qorunan istifadəçilər qrupunu aktivləşdirin və ondan infrastrukturu qorumaq üçün istifadə edin.
Hücum edənlər üçün asan hədəflər
İstifadəçi hesabları təcavüzkarlar üçün ilkin müdaxilə cəhdlərindən tutmuş imtiyazların davamlı artırılmasına və fəaliyyətlərinin gizlədilməsinə qədər bir nömrəli hədəfdir. Təcavüzkarlar, aşkarlanması çox vaxt çətin olan əsas PowerShell əmrlərindən istifadə edərək şəbəkənizdə sadə hədəflər axtarırlar. Bu asan hədəflərin çoxunu AD-dən mümkün qədər çıxarın.
Təcavüzkarlar heç vaxt müddəti bitməyən parolları olan (və ya parol tələb etməyən), idarəçi olan texnologiya hesabları və köhnə RC4 şifrələməsindən istifadə edən hesabları olan istifadəçiləri axtarır.
Bu hesablardan hər hansı biri ya giriş üçün əhəmiyyətsizdir, ya da ümumiyyətlə nəzarət edilmir. Təcavüzkarlar bu hesabları ələ keçirə və infrastrukturunuz daxilində sərbəst hərəkət edə bilərlər.
Təcavüzkarlar təhlükəsizlik perimetrinə daxil olduqdan sonra ən azı bir hesaba giriş əldə edəcəklər. Hücum aşkarlanmadan və əksini tapmazdan əvvəl onların həssas məlumatlara girişini dayandıra bilərsinizmi?
Varonis AD idarə paneli həssas istifadəçi hesablarını göstərəcək ki, siz problemləri proaktiv şəkildə həll edə biləsiniz. Şəbəkənizə nüfuz etmək nə qədər çətin olsa, təcavüzkarı ciddi ziyan vurmazdan əvvəl zərərsizləşdirmək şansınız bir o qədər yüksəkdir.
İstifadəçi Hesabları üçün 4 Əsas Risk Göstəriciləri
Aşağıda ən həssas istifadəçi hesablarını vurğulayan Varonis AD idarə paneli vidjetlərinin nümunələri verilmişdir.
1. Heç vaxt müddəti bitməyən parolları olan aktiv istifadəçilərin sayı
Hər hansı bir təcavüzkarın belə hesaba giriş əldə etməsi həmişə böyük uğurdur. Parolun müddəti heç vaxt bitmədiyi üçün təcavüzkarın şəbəkə daxilində daimi yeri var və bundan sonra istifadə oluna bilər və ya infrastruktur daxilində hərəkətlər.
Təcavüzkarların etimadnamə doldurma hücumlarında istifadə etdikləri milyonlarla istifadəçi parol birləşmələrinin siyahısı var və ehtimal ki,
“əbədi” parolu olan istifadəçi üçün kombinasiya bu siyahılardan birində sıfırdan çox böyükdür.
Müddəti bitməyən parolları olan hesabları idarə etmək asandır, lakin onlar təhlükəsiz deyil. Belə parolları olan bütün hesabları tapmaq üçün bu vidcetdən istifadə edin. Bu parametri dəyişdirin və parolunuzu yeniləyin.
Bu vidcetin dəyəri sıfıra təyin edildikdən sonra həmin parol ilə yaradılmış istənilən yeni hesablar tablosunda görünəcək.
2. SPN ilə inzibati hesabların sayı
SPN (Xidmət Əsas Adı) xidmət nümunəsinin unikal identifikatorudur. Bu vidcet neçə xidmət hesabının tam administrator hüquqlarına malik olduğunu göstərir. Vidcetdəki dəyər sıfır olmalıdır. İnzibati hüquqlara malik SPN ona görə baş verir ki, bu cür hüquqların verilməsi proqram təminatçıları və tətbiq inzibatçıları üçün əlverişlidir, lakin bu, təhlükəsizlik riski yaradır.
Xidmət hesabına inzibati hüquqların verilməsi təcavüzkarın istifadə olunmayan hesaba tam giriş əldə etməsinə imkan verir. Bu o deməkdir ki, SPN hesablarına girişi olan təcavüzkarlar fəaliyyətlərinə nəzarət etmədən infrastruktur daxilində sərbəst fəaliyyət göstərə bilərlər.
Xidmət hesablarında icazələri dəyişdirərək bu problemi həll edə bilərsiniz. Bu cür hesablar ən az imtiyaz prinsipinə tabe olmalı və yalnız onların fəaliyyəti üçün həqiqətən zəruri olan girişə malik olmalıdır.
Bu vidcetdən istifadə edərək, siz inzibati hüquqlara malik olan bütün SPN-ləri aşkar edə, bu cür imtiyazları silə və sonra eyni ən az imtiyazlı giriş prinsipindən istifadə edərək SPN-lərə nəzarət edə bilərsiniz.
Yeni görünən SPN tablosunda göstəriləcək və siz bu prosesi izləyə biləcəksiniz.
3. Kerberosun ilkin autentifikasiyasını tələb etməyən istifadəçilərin sayı
İdeal olaraq, Kerberos identifikasiya biletini AES-256 şifrələməsindən istifadə edərək şifrləyir, bu günə qədər pozulmazdır.
Bununla belə, Kerberos-un köhnə versiyaları RC4 şifrələməsindən istifadə edirdi ki, indi onu bir neçə dəqiqə ərzində sındırmaq olar. Bu vidcet hansı istifadəçi hesablarının hələ də RC4-dən istifadə etdiyini göstərir. Microsoft geriyə uyğunluq üçün hələ də RC4-ü dəstəkləyir, lakin bu, onu AD-də istifadə etməli olduğunuz demək deyil.
Bu cür hesabları müəyyən etdikdən sonra hesabları daha mürəkkəb şifrələmədən istifadə etməyə məcbur etmək üçün AD-də "Kerberos-un əvvəlcədən avtorizasiyasını tələb etmir" qutusunun işarəsini silməlisiniz.
Varonis AD idarə paneli olmadan bu hesabları özünüz kəşf etmək çox vaxt aparır. Əslində, RC4 şifrələməsindən istifadə etmək üçün redaktə edilən bütün hesablardan xəbərdar olmaq daha çətin məsələdir.
Vidcetdəki dəyər dəyişərsə, bu, qeyri-qanuni fəaliyyət göstərə bilər.
4. Parolsuz istifadəçilərin sayı
Təcavüzkarlar hesab xüsusiyyətlərində AD-dən “PASSWD_NOTREQD” bayrağını oxumaq üçün əsas PowerShell əmrlərindən istifadə edirlər. Bu bayrağın istifadəsi heç bir parol tələblərinin və ya mürəkkəblik tələblərinin olmadığını göstərir.
Sadə və ya boş parol ilə hesabı oğurlamaq nə qədər asandır? İndi təsəvvür edin ki, bu hesablardan biri idarəçidir.
Hamı üçün açıq olan minlərlə məxfi fayldan biri qarşıdan gələn maliyyə hesabatıdırsa necə?
Məcburi parol tələbinə məhəl qoymamaq keçmişdə tez-tez istifadə edilən, lakin bu gün nə məqbul, nə də təhlükəsiz olan başqa bir sistem idarəetmə qısayoludur.
Bu hesablar üçün parolları yeniləməklə bu problemi həll edin.
Gələcəkdə bu vidcetin monitorinqi parolsuz hesablardan qaçmağa kömək edəcək.
Varonis şansları bərabərləşdirir
Keçmişdə, bu məqalədə təsvir olunan ölçülərin toplanması və təhlili işi çoxlu saatlar çəkdi və PowerShell haqqında dərin bilik tələb etdi, təhlükəsizlik qruplarından hər həftə və ya ayda bu cür tapşırıqlara resurslar ayırmağı tələb etdi. Lakin bu məlumatın əl ilə toplanması və işlənməsi təcavüzkarlara məlumatların sızması və oğurlanması üçün bir başlanğıc verir.
С Siz AD tablosunu və əlavə komponentləri yerləşdirmək, müzakirə olunan bütün zəiflikləri toplamaq və daha çox şey üçün bir gün sərf edəcəksiniz. Gələcəkdə istismar zamanı infrastrukturun vəziyyəti dəyişdikcə monitorinq paneli avtomatik olaraq yenilənəcək.
Kiberhücumların həyata keçirilməsi həmişə təcavüzkarlar və müdafiəçilər arasında bir yarışdır, təcavüzkarın təhlükəsizlik mütəxəssisləri ona girişi əngəlləməzdən əvvəl məlumatları oğurlamaq istəyi. Təcavüzkarların və onların qeyri-qanuni fəaliyyətlərinin erkən aşkarlanması, güclü kibermüdafiə vasitələri ilə birlikdə məlumatlarınızı təhlükəsiz saxlamaq üçün açardır.
Mənbə: www.habr.com