Sve što napadaču treba je vrijeme i motivacija da provali u vašu mrežu. Ali naš posao je da ga spriječimo u tome, ili barem da što više otežamo ovaj zadatak. Morate početi tako što ćete identifikovati slabosti u Active Directory-u (u daljem tekstu AD) koje napadač može koristiti za pristup i kretanje po mreži bez otkrivanja. Danas ćemo u ovom članku pogledati indikatore rizika koji odražavaju postojeće ranjivosti u sajber odbrani vaše organizacije, koristeći AD Varonis kontrolnu ploču kao primjer.
Napadači koriste određene konfiguracije u domeni
Napadači koriste razne pametne tehnike i ranjivosti da prodru u korporativne mreže i eskaliraju privilegije. Neke od ovih ranjivosti su postavke konfiguracije domena koje se mogu lako promijeniti nakon što se identifikuju.
AD kontrolna tabla će vas odmah upozoriti ako vi (ili vaši sistemski administratori) niste promijenili KRBTGT lozinku u posljednjih mjesec dana, ili ako se neko autentifikovao sa zadanim ugrađenim administratorskim računom. Ova dva naloga pružaju neograničen pristup vašoj mreži: napadači će pokušati da dobiju pristup njima kako bi lako zaobišli sva ograničenja u privilegijama i dozvolama za pristup. I, kao rezultat, dobijaju pristup svim podacima koji ih zanimaju.
Naravno, ove ranjivosti možete otkriti sami: na primjer, postavite podsjetnik u kalendaru za provjeru ili pokrenite PowerShell skriptu za prikupljanje ovih informacija.
Varonis kontrolna tabla se ažurira automatski kako biste omogućili brzu vidljivost i analizu ključnih metrika koje ističu potencijalne ranjivosti kako biste mogli odmah poduzeti radnje za njihovo rješavanje.
3 Ključni indikatori rizika na nivou domene
Ispod je niz widgeta dostupnih na Varonis kontrolnoj tabli, čija će upotreba značajno poboljšati zaštitu korporativne mreže i IT infrastrukture u cjelini.
1. Broj domena za koje lozinka Kerberos naloga nije promijenjena u značajnom vremenskom periodu
KRBTGT račun je poseban račun u AD koji potpisuje sve . Napadači koji dobiju pristup kontroleru domene (DC) mogu koristiti ovaj račun za kreiranje , što će im omogućiti neograničen pristup gotovo svakom sistemu na korporativnoj mreži. Naišli smo na situaciju u kojoj je napadač nakon uspješnog dobijanja Zlatne karte imao pristup mreži organizacije dvije godine. Ako lozinka KRBTGT računa u vašoj kompaniji nije promijenjena u posljednjih četrdeset dana, widget će vas o tome obavijestiti.
Četrdeset dana je više nego dovoljno vremena da napadač dobije pristup mreži. Međutim, ako nametnete i standardizirate proces promjene ove lozinke na redovnoj osnovi, napadaču će biti mnogo teže da upadne u vašu korporativnu mrežu.
Zapamtite da, prema Microsoftovoj implementaciji Kerberos protokola, morate KRBTGT.
U budućnosti će vas ovaj AD widget podsjetiti kada je vrijeme da ponovo promijenite KRBTGT lozinku za sve domene na vašoj mreži.
2. Broj domena na kojima je nedavno korišten ugrađeni administratorski račun
Prema — administratori sistema imaju dva naloga: prvi je nalog za svakodnevnu upotrebu, a drugi je za planirane administrativne poslove. To znači da niko ne treba da koristi podrazumevani administratorski nalog.
Ugrađeni administratorski nalog se često koristi za pojednostavljenje procesa administracije sistema. Ovo može postati loša navika, što rezultira hakiranjem. Ako se to dogodi u vašoj organizaciji, imat ćete poteškoća u razlikovanju pravilnog korištenja ovog računa i potencijalno zlonamjernog pristupa.
Ako widget pokazuje bilo šta osim nule, onda neko ne radi ispravno sa administrativnim nalozima. U tom slučaju morate poduzeti korake da ispravite i ograničite pristup ugrađenom administratorskom računu.
Kada postignete nultu vrijednost vidžeta i sistemski administratori više ne koriste ovaj račun za svoj rad, u budućnosti će svaka promjena ukazivati na potencijalni sajber napad.
3. Broj domena koji nemaju grupu Zaštićenih korisnika
Starije verzije AD podržavale su slab tip šifriranja - RC4. Hakeri su hakovali RC4 prije mnogo godina, a sada je vrlo trivijalan zadatak za napadača da hakuje nalog koji još uvijek koristi RC4. Verzija Active Directory uvedena u Windows Server 2012 uvela je novi tip korisničke grupe pod nazivom Grupa zaštićenih korisnika. Pruža dodatne sigurnosne alate i sprječava autentifikaciju korisnika pomoću RC4 enkripcije.
Ovaj widget će pokazati da li nekoj domeni u organizaciji nedostaje takva grupa tako da je možete popraviti, tj. omogućiti grupu zaštićenih korisnika i koristiti je za zaštitu infrastrukture.
Lake mete za napadače
Korisnički nalozi su meta broj jedan za napadače, od početnih pokušaja upada do kontinuirane eskalacije privilegija i prikrivanja njihovih aktivnosti. Napadači traže jednostavne mete na vašoj mreži koristeći osnovne PowerShell komande koje je često teško otkriti. Uklonite što je moguće više ovih lakih meta iz AD-a.
Napadači traže korisnike sa lozinkama koje nikad ne isteknu (ili kojima nisu potrebne lozinke), tehnološke naloge koji su administratori i naloge koji koriste zastarelu RC4 enkripciju.
Bilo koji od ovih naloga je ili trivijalan za pristup ili se generalno ne nadgleda. Napadači mogu preuzeti ove račune i slobodno se kretati unutar vaše infrastrukture.
Jednom kada napadači prodru u sigurnosni perimetar, vjerovatno će dobiti pristup barem jednom računu. Možete li ih spriječiti da dobiju pristup osjetljivim podacima prije nego što napad bude otkriven i zadržan?
Varonis AD kontrolna tabla će ukazati na ranjive korisničke naloge tako da možete proaktivno rešavati probleme. Što je teže prodrijeti u vašu mrežu, veće su vam šanse da neutralizirate napadača prije nego što izazove ozbiljnu štetu.
4 Ključni indikatori rizika za korisničke račune
Ispod su primjeri widgeta Varonis AD nadzorne ploče koji ističu najranjivije korisničke račune.
1. Broj aktivnih korisnika sa lozinkama koje nikada ne istječu
Za svakog napadača pristup takvom računu je uvijek veliki uspjeh. Pošto lozinka nikada ne ističe, napadač ima stalno uporište unutar mreže, na koje se onda može koristiti ili kretanja unutar infrastrukture.
Napadači imaju liste miliona kombinacija korisničkih i lozinki koje koriste u napadima punjenja vjerodajnica, a vjerovatno je da
da je kombinacija za korisnika sa „vječnom“ lozinkom na jednoj od ovih lista, mnogo veća od nule.
Nalozima sa lozinkama koje ne ističu je lako upravljati, ali nisu sigurni. Koristite ovaj vidžet da pronađete sve naloge koji imaju takve lozinke. Promijenite ovu postavku i ažurirajte svoju lozinku.
Kada se vrijednost ovog vidžeta postavi na nulu, svi novi nalozi kreirani s tom lozinkom će se pojaviti na kontrolnoj tabli.
2. Broj administrativnih računa sa SPN-om
SPN (Service Principal Name) je jedinstveni identifikator instance usluge. Ovaj vidžet pokazuje koliko servisnih naloga ima puna administratorska prava. Vrijednost na widgetu mora biti nula. SPN sa administrativnim pravima nastaje zato što je dodeljivanje takvih prava zgodno za prodavce softvera i administratore aplikacija, ali predstavlja bezbednosni rizik.
Davanje administrativnih prava na nalog usluge omogućava napadaču da dobije potpuni pristup nalogu koji nije u upotrebi. To znači da napadači s pristupom SPN nalozima mogu slobodno raditi unutar infrastrukture bez praćenja njihovih aktivnosti.
Ovaj problem možete riješiti promjenom dozvola na uslužnim računima. Takvi nalozi treba da podležu principu najmanje privilegija i da imaju samo pristup koji je zaista neophodan za njihovo funkcionisanje.
Koristeći ovaj widget, možete otkriti sve SPN-ove koji imaju administrativna prava, ukloniti takve privilegije, a zatim nadgledati SPN-ove koristeći isti princip pristupa najmanje privilegije.
Novopojavili SPN će biti prikazan na kontrolnoj tabli i moći ćete pratiti ovaj proces.
3. Broj korisnika koji ne zahtijevaju Kerberos pre-autentifikaciju
U idealnom slučaju, Kerberos šifrira kartu za autentifikaciju koristeći AES-256 enkripciju, koja je do danas neraskidiva.
Međutim, starije verzije Kerberosa koristile su RC4 enkripciju, koja se sada može razbiti za nekoliko minuta. Ovaj widget pokazuje koji korisnički nalozi još uvijek koriste RC4. Microsoft i dalje podržava RC4 za kompatibilnost unatrag, ali to ne znači da biste ga trebali koristiti u svom oglasu.
Kada identifikujete takve naloge, morate da poništite izbor u polju za potvrdu "ne zahteva Kerberos pre-autorizaciju" u AD da biste naterali naloge da koriste sofisticiraniju enkripciju.
Samostalno otkrivanje ovih naloga, bez kontrolne table Varonis AD, oduzima dosta vremena. U stvarnosti, biti svjestan svih naloga koji su uređeni da koriste RC4 enkripciju je još teži zadatak.
Ako se vrijednost na widgetu promijeni, to može ukazivati na nezakonitu aktivnost.
4. Broj korisnika bez lozinke
Napadači koriste osnovne PowerShell komande da pročitaju oznaku “PASSWD_NOTREQD” iz AD u svojstvima naloga. Upotreba ove zastavice ukazuje da ne postoje zahtjevi za lozinkom ili zahtjevi za složenošću.
Koliko je lako ukrasti nalog sa jednostavnom ili praznom lozinkom? Sada zamislite da je jedan od ovih naloga administrator.
Šta ako je jedan od hiljada povjerljivih fajlova otvorenih za sve nadolazeći finansijski izvještaj?
Zanemarivanje obavezne lozinke je još jedna prečica sistemske administracije koja se često koristila u prošlosti, ali danas nije ni prihvatljiva ni sigurna.
Riješite ovaj problem ažuriranjem lozinki za ove račune.
Praćenje ovog vidžeta u budućnosti će vam pomoći da izbegnete naloge bez lozinke.
Varonis izjednačava šanse
U prošlosti je posao prikupljanja i analize metrika opisanih u ovom članku trajao mnogo sati i zahtijevao je duboko poznavanje PowerShell-a, zahtijevajući od sigurnosnih timova da dodjeljuju resurse za takve zadatke svake sedmice ili mjeseca. Ali ručno prikupljanje i obrada ovih informacija napadačima daje prednost za infiltriranje i krađu podataka.
С Provest ćete jedan dan da postavite AD kontrolnu ploču i dodatne komponente, prikupite sve ranjivosti o kojima se raspravlja i još mnogo toga. U budućnosti, tokom rada, nadzorni panel će se automatski ažurirati kako se stanje infrastrukture mijenja.
Izvođenje sajber napada je uvijek trka između napadača i branitelja, želja napadača da ukrade podatke prije nego što stručnjaci za sigurnost mogu blokirati pristup njima. Rano otkrivanje napadača i njihovih nezakonitih aktivnosti, zajedno sa jakom sajber odbranom, ključ je za sigurnost vaših podataka.
izvor: www.habr.com