একজন আক্রমণকারীর জন্য আপনার নেটওয়ার্কে প্রবেশ করার জন্য সময় এবং প্রেরণা প্রয়োজন। কিন্তু আমাদের কাজ হল তাকে এই কাজ থেকে বিরত রাখা বা অন্তত এই কাজটিকে যতটা সম্ভব কঠিন করে তোলা। আপনাকে অ্যাক্টিভ ডিরেক্টরির দুর্বলতাগুলি সনাক্ত করে শুরু করতে হবে (এখন থেকে AD হিসাবে উল্লেখ করা হয়েছে) যা একজন আক্রমণকারী অ্যাক্সেস পেতে এবং সনাক্ত না করেই নেটওয়ার্কের চারপাশে ঘোরাফেরা করতে পারে। আজ এই নিবন্ধে আমরা একটি উদাহরণ হিসাবে AD Varonis ড্যাশবোর্ড ব্যবহার করে আপনার সংস্থার সাইবার প্রতিরক্ষায় বিদ্যমান দুর্বলতাগুলি প্রতিফলিত করে এমন ঝুঁকি সূচকগুলি দেখব।
আক্রমণকারীরা ডোমেনে নির্দিষ্ট কনফিগারেশন ব্যবহার করে
আক্রমণকারীরা কর্পোরেট নেটওয়ার্কে প্রবেশ করতে এবং সুযোগ-সুবিধা বাড়াতে বিভিন্ন ধরনের চতুর কৌশল এবং দুর্বলতা ব্যবহার করে। এই দুর্বলতাগুলির মধ্যে কয়েকটি হল ডোমেন কনফিগারেশন সেটিংস যেগুলি সনাক্ত করা হলে সহজেই পরিবর্তন করা যেতে পারে।
যদি আপনি (বা আপনার সিস্টেম অ্যাডমিনিস্ট্রেটররা) গত মাসে KRBTGT পাসওয়ার্ড পরিবর্তন না করে থাকেন, অথবা কেউ যদি ডিফল্ট বিল্ট-ইন অ্যাডমিনিস্ট্রেটর অ্যাকাউন্ট দিয়ে প্রমাণীকরণ করে থাকেন তাহলে AD ড্যাশবোর্ড আপনাকে অবিলম্বে সতর্ক করবে। এই দুটি অ্যাকাউন্ট আপনার নেটওয়ার্কে সীমাহীন অ্যাক্সেস সরবরাহ করে: আক্রমণকারীরা বিশেষ সুবিধা এবং অ্যাক্সেসের অনুমতিগুলির যেকোনো বিধিনিষেধ সহজেই বাইপাস করতে তাদের অ্যাক্সেস পাওয়ার চেষ্টা করবে। এবং, ফলস্বরূপ, তারা তাদের আগ্রহের যে কোনও ডেটাতে অ্যাক্সেস পায়।
অবশ্যই, আপনি নিজেই এই দুর্বলতাগুলি আবিষ্কার করতে পারেন: উদাহরণস্বরূপ, এই তথ্য সংগ্রহ করার জন্য একটি পাওয়ারশেল স্ক্রিপ্ট পরীক্ষা বা চালানোর জন্য একটি ক্যালেন্ডার অনুস্মারক সেট করুন৷
Varonis ড্যাশবোর্ড আপডেট করা হচ্ছে স্বয়ংক্রিয়ভাবে সম্ভাব্য দুর্বলতাগুলিকে হাইলাইট করে এমন মূল মেট্রিকগুলির দ্রুত দৃশ্যমানতা এবং বিশ্লেষণ প্রদান করতে যাতে আপনি সেগুলি মোকাবেলায় অবিলম্বে পদক্ষেপ নিতে পারেন।
3 মূল ডোমেন স্তর ঝুঁকি সূচক
নীচে Varonis ড্যাশবোর্ডে উপলব্ধ বেশ কয়েকটি উইজেট রয়েছে, যেগুলির ব্যবহার উল্লেখযোগ্যভাবে কর্পোরেট নেটওয়ার্ক এবং সামগ্রিকভাবে IT পরিকাঠামোর সুরক্ষা বৃদ্ধি করবে৷
1. ডোমেনের সংখ্যা যার জন্য Kerberos অ্যাকাউন্টের পাসওয়ার্ড উল্লেখযোগ্য সময়ের জন্য পরিবর্তন করা হয়নি
KRBTGT অ্যাকাউন্ট হল AD-তে একটি বিশেষ অ্যাকাউন্ট যা সবকিছু স্বাক্ষর করে . আক্রমণকারীরা যারা একটি ডোমেন কন্ট্রোলার (DC) অ্যাক্সেস লাভ করে তারা এই অ্যাকাউন্টটি তৈরি করতে ব্যবহার করতে পারে , যা তাদের কর্পোরেট নেটওয়ার্কের প্রায় যেকোনো সিস্টেমে সীমাহীন অ্যাক্সেস দেবে। আমরা এমন একটি পরিস্থিতির সম্মুখীন হয়েছি যেখানে, সফলভাবে একটি গোল্ডেন টিকিট পাওয়ার পরে, একজন আক্রমণকারী দুই বছরের জন্য সংস্থার নেটওয়ার্কে অ্যাক্সেস করেছিল৷ যদি আপনার কোম্পানির KRBTGT অ্যাকাউন্টের পাসওয়ার্ড গত চল্লিশ দিনে পরিবর্তন না করা হয়, উইজেট আপনাকে এই বিষয়ে অবহিত করবে।
আক্রমণকারীর নেটওয়ার্কে অ্যাক্সেস পাওয়ার জন্য চল্লিশ দিন যথেষ্ট সময়ের চেয়ে বেশি। যাইহোক, আপনি যদি নিয়মিত এই পাসওয়ার্ড পরিবর্তন করার প্রক্রিয়াটি প্রয়োগ করেন এবং মানসম্মত করেন, তাহলে এটি আক্রমণকারীর পক্ষে আপনার কর্পোরেট নেটওয়ার্কে প্রবেশ করা আরও কঠিন করে তুলবে।
মনে রাখবেন যে মাইক্রোসফ্ট এর Kerberos প্রোটোকলের বাস্তবায়ন অনুসারে, আপনাকে অবশ্যই করতে হবে KRBTGT।
ভবিষ্যতে, আপনার নেটওয়ার্কের সমস্ত ডোমেনের জন্য KRBTGT পাসওয়ার্ড আবার পরিবর্তন করার সময় হলে এই AD উইজেটটি আপনাকে স্মরণ করিয়ে দেবে।
2. বিল্ট-ইন অ্যাডমিনিস্ট্রেটর অ্যাকাউন্ট সম্প্রতি ব্যবহার করা হয়েছে এমন ডোমেনের সংখ্যা
অনুযায়ী — সিস্টেম অ্যাডমিনিস্ট্রেটরদের দুটি অ্যাকাউন্ট দেওয়া হয়: প্রথমটি দৈনন্দিন ব্যবহারের জন্য একটি অ্যাকাউন্ট, এবং দ্বিতীয়টি পরিকল্পিত প্রশাসনিক কাজের জন্য। এর মানে হল যে কেউ ডিফল্ট অ্যাডমিনিস্ট্রেটর অ্যাকাউন্ট ব্যবহার করবেন না।
বিল্ট-ইন অ্যাডমিনিস্ট্রেটর অ্যাকাউন্টটি প্রায়ই সিস্টেম অ্যাডমিনিস্ট্রেশন প্রক্রিয়াকে সহজ করার জন্য ব্যবহার করা হয়। এটি একটি খারাপ অভ্যাসে পরিণত হতে পারে, যার ফলে হ্যাকিং হতে পারে। যদি এটি আপনার প্রতিষ্ঠানে ঘটে, তাহলে এই অ্যাকাউন্টের সঠিক ব্যবহার এবং সম্ভাব্য দূষিত অ্যাক্সেসের মধ্যে পার্থক্য করতে আপনার অসুবিধা হবে৷
যদি উইজেটটি শূন্য ছাড়া অন্য কিছু দেখায়, তাহলে কেউ প্রশাসনিক অ্যাকাউন্টের সাথে সঠিকভাবে কাজ করছে না। এই ক্ষেত্রে, বিল্ট-ইন অ্যাডমিনিস্ট্রেটর অ্যাকাউন্টে অ্যাক্সেস সংশোধন এবং সীমাবদ্ধ করার জন্য আপনাকে অবশ্যই পদক্ষেপ নিতে হবে।
একবার আপনি শূন্যের একটি উইজেট মান অর্জন করলে এবং সিস্টেম অ্যাডমিনিস্ট্রেটররা তাদের কাজের জন্য এই অ্যাকাউন্টটি আর ব্যবহার করবেন না, তাহলে ভবিষ্যতে, এতে যে কোনো পরিবর্তন সম্ভাব্য সাইবার আক্রমণের ইঙ্গিত দেবে।
3. ডোমেনের সংখ্যা যাতে সুরক্ষিত ব্যবহারকারীদের একটি গ্রুপ নেই
AD এর পুরানো সংস্করণগুলি একটি দুর্বল এনক্রিপশন টাইপ সমর্থন করে - RC4। হ্যাকাররা অনেক বছর আগে RC4 হ্যাক করেছিল, এবং এখন এটি একটি আক্রমণকারীর জন্য একটি খুব তুচ্ছ কাজ যেটি এখনও RC4 ব্যবহার করছে এমন একটি অ্যাকাউন্ট হ্যাক করা। উইন্ডোজ সার্ভার 2012-এ প্রবর্তিত অ্যাক্টিভ ডিরেক্টরির সংস্করণটি সুরক্ষিত ব্যবহারকারীদের গ্রুপ নামে একটি নতুন ধরণের ব্যবহারকারী গোষ্ঠী চালু করেছে। এটি অতিরিক্ত সুরক্ষা সরঞ্জাম সরবরাহ করে এবং RC4 এনক্রিপশন ব্যবহার করে ব্যবহারকারীর প্রমাণীকরণকে বাধা দেয়।
এই উইজেটটি প্রদর্শন করবে যদি প্রতিষ্ঠানের কোনো ডোমেনে এমন একটি গ্রুপ অনুপস্থিত থাকে যাতে আপনি এটি ঠিক করতে পারেন, যেমন সুরক্ষিত ব্যবহারকারীদের একটি গ্রুপ সক্রিয় করুন এবং অবকাঠামো রক্ষা করতে এটি ব্যবহার করুন।
আক্রমণকারীদের জন্য সহজ লক্ষ্যবস্তু
ব্যবহারকারীর অ্যাকাউন্টগুলি আক্রমণকারীদের জন্য এক নম্বর টার্গেট, প্রাথমিক অনুপ্রবেশের প্রচেষ্টা থেকে অব্যাহত সুযোগ-সুবিধা বৃদ্ধি এবং তাদের ক্রিয়াকলাপগুলি গোপন করার জন্য। আক্রমণকারীরা মৌলিক PowerShell কমান্ড ব্যবহার করে আপনার নেটওয়ার্কে সহজ লক্ষ্যগুলি সন্ধান করে যেগুলি সনাক্ত করা প্রায়শই কঠিন। যতটা সম্ভব AD থেকে এই সহজ লক্ষ্যগুলির অনেকগুলি সরান৷
আক্রমণকারীরা এমন ব্যবহারকারীদের খুঁজছে যাদের কখনই মেয়াদোত্তীর্ণ পাসওয়ার্ড নেই (বা যাদের পাসওয়ার্ডের প্রয়োজন নেই), প্রযুক্তি অ্যাকাউন্টগুলি যেগুলি প্রশাসক, এবং যে অ্যাকাউন্টগুলি লিগ্যাসি RC4 এনক্রিপশন ব্যবহার করে৷
এই অ্যাকাউন্টগুলির যে কোনওটি অ্যাক্সেসের জন্য তুচ্ছ বা সাধারণত পর্যবেক্ষণ করা হয় না। আক্রমণকারীরা এই অ্যাকাউন্টগুলি দখল করতে পারে এবং আপনার পরিকাঠামোর মধ্যে অবাধে চলাচল করতে পারে।
একবার আক্রমণকারীরা নিরাপত্তা পরিধিতে প্রবেশ করলে, তারা সম্ভবত অন্তত একটি অ্যাকাউন্টে অ্যাক্সেস পাবে। আক্রমণ সনাক্ত এবং ধারণ করার আগে আপনি কি তাদের সংবেদনশীল ডেটা অ্যাক্সেস করা থেকে থামাতে পারেন?
Varonis AD ড্যাশবোর্ড দুর্বল ব্যবহারকারী অ্যাকাউন্টগুলিকে নির্দেশ করবে যাতে আপনি সক্রিয়ভাবে সমস্যার সমাধান করতে পারেন। আপনার নেটওয়ার্কে প্রবেশ করা যত বেশি কঠিন, আক্রমণকারীকে গুরুতর ক্ষতি করার আগে তাদের নিরপেক্ষ করার সম্ভাবনা তত বেশি।
ব্যবহারকারী অ্যাকাউন্টের জন্য 4 মূল ঝুঁকি নির্দেশক
নীচে Varonis AD ড্যাশবোর্ড উইজেটগুলির উদাহরণ রয়েছে যা সবচেয়ে দুর্বল ব্যবহারকারী অ্যাকাউন্টগুলিকে হাইলাইট করে৷
1. পাসওয়ার্ড সহ সক্রিয় ব্যবহারকারীর সংখ্যা যার মেয়াদ শেষ হয় না
যে কোনো আক্রমণকারীর জন্য এই ধরনের অ্যাকাউন্টে অ্যাক্সেস পাওয়া সর্বদাই একটি বড় সাফল্য। যেহেতু পাসওয়ার্ড কখনই মেয়াদোত্তীর্ণ হয় না, আক্রমণকারীর নেটওয়ার্কের মধ্যে একটি স্থায়ী পদার্পণ রয়েছে, যা ব্যবহার করা যেতে পারে বা পরিকাঠামো মধ্যে আন্দোলন.
আক্রমণকারীদের কাছে লক্ষ লক্ষ ব্যবহারকারী-পাসওয়ার্ড সংমিশ্রণের তালিকা রয়েছে যা তারা শংসাপত্র স্টাফিং আক্রমণে ব্যবহার করে এবং সম্ভাবনা
যে ব্যবহারকারীর জন্য "চিরন্তন" পাসওয়ার্ডের সংমিশ্রণটি এই তালিকাগুলির একটিতে রয়েছে, শূন্যের চেয়ে অনেক বেশি৷
মেয়াদোত্তীর্ণ পাসওয়ার্ড সহ অ্যাকাউন্টগুলি পরিচালনা করা সহজ, কিন্তু সেগুলি নিরাপদ নয়৷ এই ধরনের পাসওয়ার্ড আছে এমন সব অ্যাকাউন্ট খুঁজে পেতে এই উইজেটটি ব্যবহার করুন। এই সেটিং পরিবর্তন করুন এবং আপনার পাসওয়ার্ড আপডেট করুন.
একবার এই উইজেটের মান শূন্যে সেট করা হলে, সেই পাসওয়ার্ড দিয়ে তৈরি করা যেকোনো নতুন অ্যাকাউন্ট ড্যাশবোর্ডে প্রদর্শিত হবে।
2. SPN এর সাথে প্রশাসনিক অ্যাকাউন্টের সংখ্যা
SPN (সার্ভিস প্রিন্সিপাল নেম) হল একটি সার্ভিস ইনস্ট্যান্সের একটি অনন্য শনাক্তকারী। এই উইজেটটি দেখায় কতগুলি পরিষেবা অ্যাকাউন্টের সম্পূর্ণ প্রশাসকের অধিকার রয়েছে৷ উইজেটের মান শূন্য হতে হবে। প্রশাসনিক অধিকার সহ SPN ঘটে কারণ এই ধরনের অধিকার প্রদান করা সফটওয়্যার বিক্রেতা এবং অ্যাপ্লিকেশন প্রশাসকদের জন্য সুবিধাজনক, কিন্তু এটি একটি নিরাপত্তা ঝুঁকি তৈরি করে।
পরিষেবা অ্যাকাউন্টের প্রশাসনিক অধিকার দেওয়া একজন আক্রমণকারীকে এমন একটি অ্যাকাউন্টে সম্পূর্ণ অ্যাক্সেস পেতে দেয় যা ব্যবহারে নেই। এর মানে হল যে SPN অ্যাকাউন্টগুলিতে অ্যাক্সেস সহ আক্রমণকারীরা তাদের কার্যকলাপ পর্যবেক্ষণ না করে অবকাঠামোর মধ্যে অবাধে কাজ করতে পারে।
আপনি পরিষেবা অ্যাকাউন্টে অনুমতি পরিবর্তন করে এই সমস্যাটি সমাধান করতে পারেন। এই ধরনের অ্যাকাউন্টগুলি ন্যূনতম বিশেষাধিকারের নীতির অধীন হওয়া উচিত এবং শুধুমাত্র সেই অ্যাক্সেস থাকা উচিত যা তাদের অপারেশনের জন্য প্রকৃতপক্ষে প্রয়োজনীয়।
এই উইজেটটি ব্যবহার করে, আপনি সমস্ত SPN সনাক্ত করতে পারেন যেগুলির প্রশাসনিক অধিকার রয়েছে, এই জাতীয় বিশেষাধিকারগুলি সরিয়ে ফেলতে পারেন, এবং তারপরে ন্যূনতম সুবিধাপ্রাপ্ত অ্যাক্সেসের একই নীতি ব্যবহার করে SPNগুলি নিরীক্ষণ করতে পারেন৷
নতুন প্রদর্শিত SPN ড্যাশবোর্ডে প্রদর্শিত হবে, এবং আপনি এই প্রক্রিয়াটি নিরীক্ষণ করতে সক্ষম হবেন।
3. ব্যবহারকারীর সংখ্যা যাদের Kerberos প্রাক-প্রমাণকরণের প্রয়োজন নেই
আদর্শভাবে, Kerberos AES-256 এনক্রিপশন ব্যবহার করে প্রমাণীকরণ টিকিট এনক্রিপ্ট করে, যা আজ পর্যন্ত অটুট রয়েছে।
যাইহোক, Kerberos এর পুরানো সংস্করণে RC4 এনক্রিপশন ব্যবহার করা হয়েছে, যা এখন কয়েক মিনিটের মধ্যে ভাঙা যায়। এই উইজেটটি দেখায় কোন ব্যবহারকারীর অ্যাকাউন্টগুলি এখনও RC4 ব্যবহার করছে৷ মাইক্রোসফ্ট এখনও পিছনের সামঞ্জস্যের জন্য RC4 সমর্থন করে, তবে এর অর্থ এই নয় যে আপনার এটি আপনার AD এ ব্যবহার করা উচিত।
একবার আপনি এই জাতীয় অ্যাকাউন্টগুলি সনাক্ত করার পরে, অ্যাকাউন্টগুলিকে আরও জটিল এনক্রিপশন ব্যবহার করতে বাধ্য করার জন্য আপনাকে AD-তে "Kerberos প্রাক-অনুমোদনের প্রয়োজন নেই" চেকবক্সটি আনচেক করতে হবে।
Varonis AD ড্যাশবোর্ড ব্যতীত এই অ্যাকাউন্টগুলি নিজেরাই আবিষ্কার করতে অনেক সময় লাগে৷ বাস্তবে, RC4 এনক্রিপশন ব্যবহার করার জন্য সম্পাদিত সমস্ত অ্যাকাউন্ট সম্পর্কে সচেতন হওয়া আরও কঠিন কাজ।
উইজেটের মান পরিবর্তন হলে, এটি অবৈধ কার্যকলাপ নির্দেশ করতে পারে।
4. পাসওয়ার্ড ছাড়া ব্যবহারকারীর সংখ্যা
আক্রমণকারীরা অ্যাকাউন্টের বৈশিষ্ট্যে AD থেকে "PASSWD_NOTREQD" পতাকা পড়ার জন্য মৌলিক PowerShell কমান্ড ব্যবহার করে। এই পতাকার ব্যবহার নির্দেশ করে যে কোন পাসওয়ার্ডের প্রয়োজনীয়তা বা জটিলতার প্রয়োজনীয়তা নেই।
একটি সাধারণ বা ফাঁকা পাসওয়ার্ড দিয়ে একটি অ্যাকাউন্ট চুরি করা কতটা সহজ? এখন কল্পনা করুন যে এই অ্যাকাউন্টগুলির মধ্যে একজন প্রশাসক।
প্রত্যেকের জন্য খোলা হাজার হাজার গোপনীয় ফাইলের মধ্যে একটি আসন্ন আর্থিক প্রতিবেদন হলে কী হবে?
বাধ্যতামূলক পাসওয়ার্ডের প্রয়োজনীয়তা উপেক্ষা করা আরেকটি সিস্টেম অ্যাডমিনিস্ট্রেশন শর্টকাট যা অতীতে প্রায়শই ব্যবহৃত হত, কিন্তু আজ গ্রহণযোগ্য বা নিরাপদ নয়।
এই অ্যাকাউন্টগুলির জন্য পাসওয়ার্ড আপডেট করে এই সমস্যাটি সমাধান করুন৷
ভবিষ্যতে এই উইজেট নিরীক্ষণ করা আপনাকে পাসওয়ার্ড ছাড়া অ্যাকাউন্ট এড়াতে সাহায্য করবে।
Varonis মতভেদ সমান
অতীতে, এই নিবন্ধে বর্ণিত মেট্রিকগুলি সংগ্রহ এবং বিশ্লেষণের কাজটি অনেক ঘন্টা সময় নেয় এবং PowerShell সম্পর্কে গভীর জ্ঞানের প্রয়োজন হয়, নিরাপত্তা দলগুলিকে প্রতি সপ্তাহে বা মাসে এই জাতীয় কাজের জন্য সংস্থান বরাদ্দ করতে হয়। কিন্তু ম্যানুয়াল সংগ্রহ এবং এই তথ্যের প্রক্রিয়াকরণ আক্রমণকারীদের তথ্য চুরি এবং অনুপ্রবেশের জন্য একটি মাথা শুরু করে।
С আপনি AD ড্যাশবোর্ড এবং অতিরিক্ত উপাদান স্থাপন করতে, আলোচিত সমস্ত দুর্বলতা সংগ্রহ করতে এবং আরও অনেক কিছু করতে এক দিন ব্যয় করবেন। ভবিষ্যতে, অপারেশন চলাকালীন, পরিকাঠামোর অবস্থার পরিবর্তনের সাথে সাথে পর্যবেক্ষণ প্যানেলটি স্বয়ংক্রিয়ভাবে আপডেট হবে।
সাইবার আক্রমণ পরিচালনা করা সবসময় আক্রমণকারী এবং রক্ষকদের মধ্যে একটি প্রতিযোগিতা, নিরাপত্তা বিশেষজ্ঞরা এটিতে অ্যাক্সেস ব্লক করার আগে আক্রমণকারীর ডেটা চুরি করার ইচ্ছা। আক্রমণকারীদের প্রাথমিক সনাক্তকরণ এবং তাদের অবৈধ কার্যকলাপ, শক্তিশালী সাইবার প্রতিরক্ষার সাথে মিলিত, আপনার ডেটা সুরক্ষিত রাখার চাবিকাঠি।
উত্স: www.habr.com