Усё, што трэба зламысніку, - гэта час і матывацыя для пранікнення ў вашу сетку. Але наша з вамі праца складаецца ў тым, каб не даць яму гэтага зрабіць ці, прынамсі, максімальна ўскладніць гэтую задачу. Трэба пачаць з вызначэння слабых месцаў у Active Directory (далей – AD), якія зламыснік можа выкарыстоўваць для атрымання доступу і перамяшчэння па сетцы, застаючыся незаўважаным. Сёння ў артыкуле мы разгледзім індыкатары рызыкі, якія адлюстроўваюць наяўныя ўразлівасці ў кіберабароне вашай арганізацыі, на прыкладзе панэлі маніторынгу AD Varonis.
Зламыснікі выкарыстоўваюць пэўныя канфігурацыі ў дамене
Зламыснікі выкарыстоўваюць мноства хітрых прыёмаў і ўразлівасцяў, каб пракрасціся ўнутр карпаратыўнай сеткі і падвысіць прывілеі. Некаторыя з гэтых уразлівасцяў з'яўляюцца параметрамі канфігурацыі дамена, якія можна лёгка змяніць пасля іх выяўлення.
Панэль маніторынгу AD адразу апавясціць, калі вы (ці вашы сістэмныя адміністратары) не змянілі пароль KRBTGT у мінулым месяцы, ці калі хтосьці аўтэнтыфікаваўся з убудаваным уліковым запісам адміністратара па змаўчанні (Administrator). Гэтыя два ўліковыя запісы даюць бязмежны доступ да вашай сеткі: зламыснікі будуць спрабаваць атрымаць да іх доступ, каб бесперашкодна абыходзіць любыя размежаванні ў прывілеях і дазволах доступу. І, як вынік, - атрымаць доступ да любых дадзеных якія іх зацікавяць.
Вядома, вы можаце выявіць гэтыя ўразлівасці самастойна: напрыклад, усталяваць напамін у календары для праверкі ці запусціць PowerShell-скрыпт, каб сабраць гэтую інфармацыю.
Панэль маніторынгу Varonis абнаўляецца аўтаматычна , Каб забяспечыць хуткі прагляд і аналіз ключавых паказчыкаў, якія падкрэсліваюць патэнцыйныя ўразлівасці, каб вы маглі неадкладна прыняць меры па іх устараненню.
3 ключавыя індыкатары рызыкі на ўзроўні дамена
Ніжэй прыведзены шэраг віджэтаў, даступных на панэлі маніторынгу Varonis, выкарыстанне якіх істотна ўзмоцніць абарону карпаратыўнай сеткі і ІТ-інфраструктуры ў цэлым.
1. Лік даменаў, для якіх пароль уліковага запісу Kerberos не змяняўся значны час
Уліковы запіс KRBTGT - гэта спецыяльны ўліковы запіс у AD, якая падпісвае ўсё . Зламыснікі, якія атрымалі доступ да кантролера дамена (DC), могуць выкарыстоўваць гэты ўліковы запіс для стварэння , Які дасць ім неабмежаваны доступ да практычна любой сістэме ў карпаратыўнай сетцы. Мы сутыкаліся з сітуацыяй, калі пасля паспяховага атрымання Golden Ticket, зламыснік меў доступ да сеткі арганізацыі на працягу двух гадоў. Калі пароль уліковага запісу KRBTGT у вашай кампаніі не мяняўся апошнія сорак дзён, віджэт апавясціць пра гэта.
Сорак дзён — гэта больш за дастатковы тэрмін для зламысніка, каб атрымаць доступ да сеткі. Аднак, калі вы забяспечыце і стандартуеце працэс змены гэтага пароля на рэгулярнай аснове, гэта моцна ўскладніць для зламысніка задачу пранікнення ў карпаратыўную сетку.
Памятайце, што ў адпаведнасці з рэалізацыяй пратаколу Kerberos кампаніяй Microsoft, вам неабходна KRBTGT.
У далейшым, гэты AD-віджэт будзе нагадваць, калі прыйдзе час зноў змяніць пароль KRBTGT для ўсіх даменаў у вашай сетцы.
2. Лік даменаў, у якіх нядаўна выкарыстоўваўся ўбудаваны ўліковы запіс адміністратара (Administrator)
Згодна з - сістэмным адміністратарам даецца два ўліковыя запісы: першы - гэта ўліковы запіс для штодзённага выкарыстання, а другі - для запланаваных адміністрацыйных работ. Гэта азначае, што ніхто не павінен выкарыстоўваць уліковы запіс адміністратара па змаўчанні.
Убудаваны ўліковы запіс адміністратара часцяком выкарыстоўваецца, каб спрасціць працэс сістэмнага адміністравання. Гэта можа стаць дрэннай звычкай, вынікам якой будзе ўзлом. Калі ў вашай арганізацыі такое адбываецца, то вам будзе цяжка адрозніць правільнае выкарыстанне гэтага ўліковага запісу ад патэнцыйна шкоднаснага доступу.
Калі віджэт паказвае штосьці адрознае ад нуля, значыць нехта некарэктна працуе з адміністрацыйнымі ўліковымі запісамі. У такім выпадку неабходна прыняць меры па выпраўленні і абмежаванні доступу да ўбудаванага ўліковага запісу адміністратара.
Пасля таго, як вы дамагліся нулявога значэння фішкі і сістэмныя адміністратары больш не выкарыстоўваюць гэты ўліковы запіс для сваёй працы, то ў далейшым, любая яго змена будзе паказваць на патэнцыйную кібератаку.
3. Колькасць даменаў, у якіх адсутнічае група абароненых Карыстальнікаў (Protected Users)
Старыя версіі AD падтрымлівалі слабы тып шыфравання – RC4. Хакеры ўзламалі RC4 шмат гадоў назад, і цяпер для зламысніка ўзламаць уліковы запіс, якая ўсё яшчэ выкарыстоўвае RC4, вельмі трывіяльная задача. У версіі Active Directory, прадстаўленай у Windows Server 2012, з'явілася група карыстачоў новага тыпу пад назовам Група Абароненых карыстачоў (Protected Users). Яна дае дадатковыя прылады абароны і прадухіляе аўтэнтыфікацыю карыстальнікаў з выкарыстаннем шыфравання RC4.
Гэты віджэт прадэманструе, калі ў які-небудзь дамене арганізацыі адсутнічае такая група, каб вы маглі выправіць гэта, г.зн. уключыць групу абароненых карыстальнікаў, і выкарыстоўваць яе для абароны інфраструктуры.
Лёгкія мэты для атакавалых
Уліковыя запісы карыстальнікаў з'яўляюцца мэтай нумар адзін для зламыснікаў - ад першых спроб пранікнення да эскалацыі прывілеяў і ўтойвання сваіх дзеянняў. Зламыснікі шукаюць простыя мэты ў вашай сетцы, выкарыстоўваючы базавыя каманды PowerShell, якія часцяком цяжка выявіць. Выдаліце з AD як мага больш такіх лёгкіх мэт.
Зламыснікі шукаюць карыстальнікаў, з неабмежаваным тэрмінам дзеяння пароляў (ці якім не патрабуюцца паролі), тэхналагічныя ўліковыя запісы, якія з'яўляюцца адміністратарамі, і ўліковыя запісы, якія выкарыстоўваюць старое шыфраванне RC4.
Любая з гэтых уліковых запісаў або трывіяльная для доступу, або, як правіла, не знаходзіцца пад маніторынгам. Зламыснікі могуць захапіць гэтыя ўліковыя запісы і бесперашкодна перамяшчацца ўнутры вашай інфраструктуры.
Як толькі зламыснікі пракрануцца праз перыметр бяспекі, яны, верагодна, атрымаюць доступ прынамсі да аднаго ўліковага запісу. Ці зможаце вы перашкодзіць ім атрымаць доступ да канфідэнцыйных дадзеных, перш чым выявіце і ліквідуеце напад?
Панэль маніторынгу Varonis AD пакажа на ўразлівыя ўліковыя запісы карыстальнікаў, каб вы маглі ўхіліць праблемы загадзя. Чым складаней будзе пракрасціся ўнутр вашай сеткі, тым вышэй вашыя шанцы абясшкодзіць атакавалага да таго, як ён нанясе сур'ёзныя страты.
4 ключавых індыкатара рызыкі для ўліковых запісаў карыстальнікаў
Ніжэй прыведзены прыклады віджэтаў на панэлі маніторынгу Varonis AD, якія паказваюць на самыя ўразлівыя карыстацкія ўліковыя запісы.
1. Колькасць актыўных карыстальнікаў з паролямі, тэрмін дзеяння якіх ніколі не мінае
Для любога зламысніка атрымаць доступ да такога ўліковага запісу - гэта заўсёды вялікі поспех. Паколькі тэрмін дзеяння пароля ніколі не мінае, зламыснік атрымлівае сталую кропку апоры ўсярэдзіне сетак, якую затым можна выкарыстоўваць для ці перасоўванняў усярэдзіне інфраструктур.
Зламыснікі размяшчаюць спісамі з мільёнамі камбінацый «карыстальнік-пароль», якія яны выкарыстоўваюць у нападах з падстаноўкай уліковых дадзеных, і верагоднасць таго,
што камбінацыя для карыстальніка з "вечным" паролем знаходзіцца ў адным з такіх спісаў, нашмат больш за нуль.
Уліковыя запісы з невыцякаюць паролямі зручныя ў кіраванні, але яны не з'яўляюцца бяспечнымі. Выкарыстоўвайце гэты віджэт, каб знайсці ўсе ўліковыя запісы, у якіх ёсць такія паролі. Змяніце гэты параметр і абнавіце пароль.
Як толькі значэнне гэтага віджэта стане роўным нулю, любыя новыя ўліковыя запісы, створаныя з такім паролем, будуць з'яўляцца на панэлі маніторынгу.
2. Колькасць адміністрацыйных уліковых запісаў з SPN
SPN (Service Principal Name) - гэта ўнікальны ідэнтыфікатар асобніка сэрвісу (службы). Гэты віджэт паказвае, колькі сэрвісных уліковых запісаў маюць поўныя правы адміністратара. Значэнне на віджэце павінна быць роўна нулю. SPN з правамі адміністратара ўзнікае, так як прадастаўленне такіх правоў зручна пастаўшчыкам праграмнага забеспячэння і адміністратарам прыкладанняў, але гэта ўяўляе пагрозу бяспецы.
Прадастаўленне сэрвіснага ўліковага запісу правоў адміністратара дазваляе зламысніку атрымаць поўны доступ да ўліковага запісу, які не выкарыстоўваецца. Гэта азначае, што зламыснікі з доступам да SPN-уліковых запісаў могуць свабодна дзейнічаць усярэдзіне інфраструктуры і пры гэтым пазбягаць маніторынгу сваіх дзеянняў.
Ухіліць гэтую праблему можна, змяніўшы дазволы для сэрвісных уліковых запісаў. Такія ўліковыя запісы павінны падпарадкоўвацца прынцыпу найменшых прывілеяў і мець толькі той доступ, які рэальна неабходны для іх працы.
З дапамогай гэтага віджэту вы зможаце выявіць усе SPN, якія маюць правы адміністратара, ухіліць такія прывілеі, а ў далейшым праводзіць кантроль SPN, кіруючыся тым жа прынцыпам доступу з найменшымі прывілеямі.
Ізноў якое з'яўляецца SPN будуць адлюстроўвацца на панэлі маніторынгу, і вы зможаце кантраляваць гэты працэс.
3. Колькасць карыстальнікаў, якім не патрабуецца папярэдняя праверка сапраўднасці Kerberos
У ідэале, Kerberos шыфруе ticket (білет) праверкі сапраўднасці з дапамогай шыфравання AES-256, які застаецца неўзламаны па цяперашні час.
Аднак больш старыя версіі Kerberos выкарыстоўвалі шыфраванне RC4, якое зараз можна ўзламаць за лічаныя хвіліны. Гэты віджэт паказвае, якія карыстацкія ўліковыя запісы да гэтага часу выкарыстоўваюць RC4. Microsoft па-ранейшаму падтрымлівае RC4 для зваротнай сумяшчальнасці, але гэта не значыць, што вы павінны выкарыстоўваць яго ў сваім AD.
Пасля таго, як вы выявілі такія ўліковыя запісы, трэба зняць сцяжок "не патрабуецца папярэдняя аўтарызацыя Kerberos" у AD, каб уліковыя запісы выкарыстоўвалі больш складанае шыфраванне.
Самастойнае выяўленне гэтых уліковых запісаў, без панэлі маніторынгу Varonis AD, займае шмат часу. У рэальнасці быць своечасова дасведчаным аб усіх уліковых запісах, якія адрэдагаваныя так, каб выкарыстоўваць шыфраванне RC4, – яшчэ больш складаная задача.
Калі значэнне на віджэце змяняецца, гэта можа сведчыць аб супрацьпраўных дзеяннях.
4. Колькасць карыстальнікаў без пароля
Зламыснікі выкарыстоўваюць базавыя каманды PowerShell для счытвання з AD сцяга "PASSWD_NOTREQD", ва ўласцівасцях уліковага запісу. Выкарыстанне гэтага сцяга азначае, што адсутнічаюць патрабаванні да наяўнасці ці складанасці пароля.
Наколькі лёгка выкрасці уліковы запіс з простым або пустым паролем? А зараз уявіце, што адзін з гэтых уліковых запісаў з'яўляецца адміністратарам.
Што, калі адзін з тысяч канфідэнцыйных файлаў, адчыненых для ўсіх, з'яўляецца будучай фінансавай справаздачай?
Ігнараванне абавязковага патрабавання ўводу пароля з'яўляецца яшчэ адным цэтлікам для сістэмнага адміністравання, які часта выкарыстоўваўся ў мінулым, але сёння гэта недапушчальна і небяспечна.
Вырашыце гэтую праблему, абнавіўшы паролі для такіх уліковых запісаў.
Маніторынг гэтага віджэту ў будучыні дапаможа вам пазбегнуць з'яўлення уліковых запісаў без пароля.
Varonis ўраўноўвае шанцы
У мінулым праца па зборы і аналізу прыведзеных у артыкуле метрык займала шмат гадзін і патрабавала глыбокіх ведаў PowerShell: спецыялістам па бяспецы даводзілася выдзяляць рэсурсы на падобныя задачы кожны тыдзень ці месяц. Але ручны збор і апрацоўка гэтай інфармацыі, дае зламыснікам фору для пранікнення і крадзяжы звестак.
С вы выдаткуеце адзін дзень, каб разгарнуць панэль маніторынгу AD і дадатковыя кампаненты, сабраць усе разгледжаныя і многія іншыя ўразлівасці. У далейшым, у працэсе эксплуатацыі, панэль маніторынгу будзе аўтаматычна абнаўляцца, па меры змены стану інфраструктуры.
Правядзенне кібератак - гэта заўсёды гонка паміж атакавалымі і якія абараняюцца, імкненне зламысніка выкрасці дадзеныя, перш чым адмыслоўцы па бяспецы змогуць зачыніць доступ да іх. Ранняе выяўленне зламыснікаў і іх супрацьпраўных дзеянняў, у спалучэнні з моцнай кіберабаронай, з'яўляецца ключом да забеспячэння бяспекі вашых дадзеных.
Крыніца: habr.com