7 ключови индикатора за риск на Active Directory в таблото за управление на Varonis

Всичко, от което един нападател се нуждае, е време и мотивация, за да проникне във вашата мрежа. Но нашата работа е да му попречим да направи това или поне да направим тази задача възможно най-трудна. Трябва да започнете, като идентифицирате слабостите в Active Directory (наричани по-долу AD), които атакуващият може да използва, за да получи достъп и да се движи из мрежата, без да бъде открит. Днес в тази статия ще разгледаме индикатори за риск, които отразяват съществуващите уязвимости в киберзащитата на вашата организация, използвайки таблото за управление на AD Varonis като пример.

Нападателите използват определени конфигурации в домейна

Нападателите използват различни хитри техники и уязвимости, за да проникнат в корпоративните мрежи и да повишат привилегиите. Някои от тези уязвимости са настройки за конфигурация на домейн, които могат лесно да бъдат променени, след като бъдат идентифицирани.

Таблото за управление на AD незабавно ще ви предупреди, ако вие (или вашите системни администратори) не сте променили паролата за KRBTGT през последния месец или ако някой се е удостоверил с вградения по подразбиране акаунт на администратор. Тези два акаунта предоставят неограничен достъп до вашата мрежа: нападателите ще се опитат да получат достъп до тях, за да заобиколят лесно всички ограничения в привилегиите и разрешенията за достъп. И в резултат на това те получават достъп до всички данни, които ги интересуват.

Разбира се, можете сами да откриете тези уязвимости: например, задайте напомняне в календара за проверка или изпълнете скрипт на PowerShell, за да съберете тази информация.

Таблото за управление на Varonis се актуализира автоматично за осигуряване на бърза видимост и анализ на ключови показатели, които подчертават потенциални уязвимости, така че да можете да предприемете незабавни действия за тяхното отстраняване.

3 ключови индикатора за риск на ниво домейн

По-долу са дадени редица уиджети, налични на таблото за управление на Varonis, чието използване значително ще подобри защитата на корпоративната мрежа и ИТ инфраструктурата като цяло.

1. Брой домейни, за които паролата на Kerberos акаунт не е била променяна за значителен период от време

Акаунтът KRBTGT е специален акаунт в AD, който подписва всичко Билети за Kerberos . Нападателите, които получат достъп до домейн контролер (DC), могат да използват този акаунт за създаване Златен билет, което ще им даде неограничен достъп до почти всяка система в корпоративната мрежа. Срещнахме ситуация, при която след успешно получаване на Златен билет, нападател имаше достъп до мрежата на организацията в продължение на две години. Ако паролата за KRBTGT акаунт във вашата компания не е била променяна през последните четиридесет дни, джаджата ще ви уведоми за това.

Четиридесет дни е повече от достатъчно време за нападателя да получи достъп до мрежата. Въпреки това, ако наложите и стандартизирате процеса на редовна промяна на тази парола, ще бъде много по-трудно за нападателя да проникне във вашата корпоративна мрежа.

Не забравяйте, че според внедряването на протокола Kerberos от Microsoft трябва сменете паролата два пъти KRBTGT.

В бъдеще този AD уиджет ще ви напомня, когато е време да промените отново паролата KRBTGT за всички домейни във вашата мрежа.

2. Брой домейни, където наскоро е използван вграденият администраторски акаунт

Според принцип на най-малката привилегия — на системните администратори се предоставят два акаунта: първият е акаунт за ежедневна употреба, а вторият е за планирана административна работа. Това означава, че никой не трябва да използва администраторския акаунт по подразбиране.

Вграденият администраторски акаунт често се използва за опростяване на процеса на администриране на системата. Това може да се превърне в лош навик, което да доведе до хакване. Ако това се случи във вашата организация, ще имате затруднения да разграничите правилното използване на този акаунт от потенциално злонамерен достъп.

Ако джаджата показва нещо различно от нула, тогава някой не работи правилно с административни акаунти. В този случай трябва да предприемете стъпки за коригиране и ограничаване на достъпа до вградения администраторски акаунт.
След като сте достигнали стойност на джаджа нула и системните администратори вече не използват този акаунт за своята работа, тогава в бъдеще всяка промяна в него ще показва потенциална кибератака.

3. Брой домейни, които нямат група защитени потребители

По-старите версии на AD поддържаха слаб тип криптиране - RC4. Хакерите хакнаха RC4 преди много години и сега е много тривиална задача за хакер да хакне акаунт, който все още използва RC4. Версията на Active Directory, въведена в Windows Server 2012, въведе нов тип потребителска група, наречена Protected Users Group. Той предоставя допълнителни инструменти за сигурност и предотвратява удостоверяването на потребителя чрез RC4 криптиране.

Тази джаджа ще демонстрира дали в някой домейн в организацията липсва такава група, така че да можете да го коригирате, т.е. активирайте група от защитени потребители и я използвайте за защита на инфраструктурата.

Лесни цели за нападателите

Потребителските акаунти са цел номер едно за нападателите, от първоначалните опити за проникване до продължаващата ескалация на привилегиите и укриването на техните дейности. Нападателите търсят прости цели във вашата мрежа, като използват основни команди на PowerShell, които често са трудни за откриване. Премахнете възможно най-много от тези лесни цели от AD.

Нападателите търсят потребители с никога неизтичащи пароли (или които не изискват пароли), технологични акаунти, които са администратори, и акаунти, които използват наследено RC4 криптиране.

Всеки от тези акаунти е или тривиален за достъп, или обикновено не се наблюдава. Нападателите могат да превземат тези акаунти и да се движат свободно във вашата инфраструктура.

След като нападателите проникнат в периметъра на сигурността, те вероятно ще получат достъп до поне един акаунт. Можете ли да им попречите да получат достъп до чувствителни данни, преди атаката да бъде открита и задържана?

Таблото за управление на Varonis AD ще посочи уязвими потребителски акаунти, така че да можете да отстранявате проблемите проактивно. Колкото по-трудно е да проникнете във вашата мрежа, толкова по-добри са шансовете ви да неутрализирате нападател, преди да причини сериозни щети.

4 ключови индикатора за риск за потребителски акаунти

По-долу са дадени примери за уиджети на таблото за управление на Varonis AD, които подчертават най-уязвимите потребителски акаунти.

1. Брой активни потребители с пароли, които никога не изтичат

За всеки хакер да получи достъп до такъв акаунт винаги е голям успех. Тъй като паролата никога не изтича, нападателят има постоянна опора в мрежата, която след това може да използва ескалация на привилегии или движения в рамките на инфраструктурата.
Нападателите имат списъци с милиони комбинации потребител-парола, които използват при атаки с пълнене на идентификационни данни, и вероятността е, че
че комбинацията за потребителя с „вечната“ парола е в един от тези списъци, много по-голяма от нула.

Акаунтите с неизтичащи пароли са лесни за управление, но не са защитени. Използвайте тази джаджа, за да намерите всички акаунти, които имат такива пароли. Променете тази настройка и актуализирайте паролата си.

След като стойността на тази джаджа бъде зададена на нула, всички нови акаунти, създадени с тази парола, ще се показват в таблото за управление.

2. Брой административни акаунти със SPN

SPN (Service Principal Name) е уникален идентификатор на екземпляр на услуга. Тази джаджа показва колко акаунта за услуги имат пълни администраторски права. Стойността на изпълнимия модул трябва да е нула. SPN с администраторски права възниква, защото предоставянето на такива права е удобно за доставчици на софтуер и администратори на приложения, но представлява риск за сигурността.

Предоставянето на администраторски права на акаунта на услугата позволява на атакуващия да получи пълен достъп до акаунт, който не се използва. Това означава, че нападателите с достъп до SPN акаунти могат да работят свободно в инфраструктурата, без да бъдат наблюдавани техните дейности.

Можете да разрешите този проблем, като промените разрешенията на акаунтите за услуги. Такива акаунти следва да се подчиняват на принципа на най-малките привилегии и да имат само достъпа, който действително е необходим за тяхната работа.

Използвайки тази джаджа, можете да откриете всички SPN, които имат административни права, да премахнете такива привилегии и след това да наблюдавате SPN, като използвате същия принцип на най-малко привилегирован достъп.

Новопоявилият се SPN ще се покаже на таблото и ще можете да наблюдавате този процес.

3. Брой потребители, които не изискват предварително удостоверяване на Kerberos

В идеалния случай Kerberos криптира билета за удостоверяване с помощта на криптиране AES-256, което остава неразбиваемо и до днес.

По-старите версии на Kerberos обаче използваха RC4 криптиране, което сега може да бъде разбито за минути. Тази джаджа показва кои потребителски акаунти все още използват RC4. Microsoft все още поддържа RC4 за обратна съвместимост, но това не означава, че трябва да го използвате във вашата реклама.

След като идентифицирате такива акаунти, трябва да премахнете отметката от квадратчето „не изисква предварително разрешение за Kerberos“ в AD, за да принудите акаунтите да използват по-сложно криптиране.

Самостоятелното откриване на тези акаунти, без таблото за управление на Varonis AD, отнема много време. В действителност да сте наясно с всички акаунти, които са редактирани, за да използват RC4 криптиране, е още по-трудна задача.

Ако стойността на изпълнимия модул се промени, това може да означава незаконна дейност.

4. Брой потребители без парола

Нападателите използват основни команди на PowerShell, за да прочетат флага „PASSWD_NOTREQD“ от AD в свойствата на акаунта. Използването на този флаг показва, че няма изисквания за парола или изисквания за сложност.
Колко лесно е да откраднете акаунт с проста или празна парола? Сега си представете, че един от тези акаунти е администратор.

Ами ако един от хилядите поверителни файлове, отворени за всички, е предстоящ финансов отчет?

Пренебрегването на задължителното изискване за парола е друг пряк път за системна администрация, който често се използваше в миналото, но днес не е нито приемлив, нито безопасен.

Коригирайте този проблем, като актуализирате паролите за тези акаунти.

Наблюдението на тази джаджа в бъдеще ще ви помогне да избегнете акаунти без парола.

Варонис изравнява шансовете

В миналото работата по събирането и анализирането на показателите, описани в тази статия, отнемаше много часове и изискваше задълбочено познаване на PowerShell, което изискваше екипите по сигурността да разпределят ресурси за такива задачи всяка седмица или месец. Но ръчното събиране и обработка на тази информация дава на нападателите преднина за проникване и кражба на данни.

С Варонис Ще прекарате един ден, за да внедрите таблото за управление на AD и допълнителни компоненти, да съберете всички обсъждани уязвимости и много други. В бъдеще, по време на работа, панелът за наблюдение ще се актуализира автоматично при промяна на състоянието на инфраструктурата.

Извършването на кибератаки винаги е надпревара между нападатели и защитници, желанието на нападателя да открадне данни, преди специалистите по сигурността да могат да блокират достъпа до тях. Ранното откриване на нападатели и техните незаконни дейности, съчетано със силна киберзащита, е ключът към запазването на вашите данни в безопасност.

Източник: www.habr.com