Tot el que necessita un atacant és temps i motivació per entrar a la vostra xarxa. Però la nostra feina és evitar que ho faci, o almenys dificultar al màxim aquesta tasca. Heu de començar identificant les debilitats a Active Directory (d'ara endavant, AD) que un atacant pot utilitzar per accedir i moure's per la xarxa sense ser detectat. Avui, en aquest article, analitzarem els indicadors de risc que reflecteixen les vulnerabilitats existents en la ciberdefensa de la vostra organització, utilitzant el tauler d'AD Varonis com a exemple.
Els atacants utilitzen determinades configuracions al domini
Els atacants utilitzen una varietat de tècniques i vulnerabilitats intel·ligents per penetrar a les xarxes corporatives i augmentar els privilegis. Algunes d'aquestes vulnerabilitats són paràmetres de configuració del domini que es poden canviar fàcilment un cop s'identifiquen.
El tauler d'AD us avisarà immediatament si vosaltres (o els vostres administradors del sistema) no heu canviat la contrasenya KRBTGT durant l'últim mes, o si algú s'ha autenticat amb el compte d'administrador integrat predeterminat. Aquests dos comptes proporcionen accés il·limitat a la vostra xarxa: els atacants intentaran accedir-hi per evitar fàcilment qualsevol restricció de privilegis i permisos d'accés. I, com a resultat, tenen accés a totes les dades que els interessin.
Per descomptat, podeu descobrir aquestes vulnerabilitats vosaltres mateixos: per exemple, configureu un recordatori de calendari per comprovar o executar un script de PowerShell per recollir aquesta informació.
El tauler de control de Varonis s'està actualitzant automàticament per proporcionar visibilitat i anàlisi ràpida de mètriques clau que destaquin les vulnerabilitats potencials perquè pugueu prendre mesures immediates per abordar-les.
3 Indicadors de risc a nivell de domini clau
A continuació es mostren diversos ginys disponibles al tauler de Varonis, l'ús dels quals millorarà significativament la protecció de la xarxa corporativa i la infraestructura informàtica en conjunt.
1. Nombre de dominis per als quals la contrasenya del compte Kerberos no s'ha canviat durant un període de temps important
El compte KRBTGT és un compte especial a AD que ho signa tot . Els atacants que accedeixen a un controlador de domini (DC) poden utilitzar aquest compte per crear-lo , que els donarà accés il·limitat a gairebé qualsevol sistema de la xarxa corporativa. Ens vam trobar amb una situació en què, després d'obtenir amb èxit un bitllet d'or, un atacant va tenir accés a la xarxa de l'organització durant dos anys. Si la contrasenya del compte KRBTGT de la vostra empresa no s'ha canviat en els darrers quaranta dies, el giny us notificarà sobre això.
Quaranta dies són més que suficients perquè un atacant accedeixi a la xarxa. Tanmateix, si apliqueu i estandarditzeu el procés de canvi d'aquesta contrasenya de manera regular, serà molt més difícil que un atacant entri a la vostra xarxa corporativa.
Recordeu que, segons la implementació de Microsoft del protocol Kerberos, heu de fer-ho KRBTGT.
En el futur, aquest giny d'AD us recordarà quan sigui el moment de tornar a canviar la contrasenya KRBTGT per a tots els dominis de la vostra xarxa.
2. Nombre de dominis on s'ha utilitzat recentment el compte d'administrador integrat
Segons — Els administradors del sistema disposen de dos comptes: el primer és un compte per a l'ús diari i el segon és per al treball administratiu planificat. Això vol dir que ningú hauria d'utilitzar el compte d'administrador predeterminat.
El compte d'administrador integrat s'utilitza sovint per simplificar el procés d'administració del sistema. Això pot convertir-se en un mal hàbit, donant lloc a pirateria. Si això passa a la vostra organització, tindreu dificultats per distingir entre l'ús adequat d'aquest compte i l'accés potencialment maliciós.
Si el giny mostra qualsevol cosa que no sigui zero, algú no està treballant correctament amb els comptes administratius. En aquest cas, heu de prendre mesures per corregir i limitar l'accés al compte d'administrador integrat.
Un cop hàgiu aconseguit un valor de widget de zero i els administradors del sistema ja no utilitzen aquest compte per a la seva feina, en el futur, qualsevol canvi indicarà un potencial ciberatac.
3. Nombre de dominis que no tenen un grup d'Usuaris Protegits
Les versions anteriors d'AD admetien un tipus de xifratge feble: RC4. Els pirates informàtics van piratejar RC4 fa molts anys, i ara és una tasca molt trivial per a un atacant piratejar un compte que encara utilitza RC4. La versió d'Active Directory introduïda a Windows Server 2012 va introduir un nou tipus de grup d'usuaris anomenat Grup d'usuaris protegits. Proporciona eines de seguretat addicionals i impedeix l'autenticació dels usuaris mitjançant el xifratge RC4.
Aquest giny mostrarà si a algun domini de l'organització li falta un grup així perquè pugueu solucionar-lo, és a dir. habilitar un grup d'usuaris protegits i utilitzar-lo per protegir la infraestructura.
Objectius fàcils per als atacants
Els comptes d'usuari són l'objectiu número u dels atacants, des dels intents d'intrusió inicials fins a l'escalada continuada de privilegis i l'ocultació de les seves activitats. Els atacants busquen objectius senzills a la vostra xarxa mitjançant ordres bàsiques de PowerShell que sovint són difícils de detectar. Elimineu tants d'aquests objectius fàcils d'AD com sigui possible.
Els atacants busquen usuaris amb contrasenyes que no caduquen mai (o que no requereixin contrasenyes), comptes de tecnologia que siguin administradors i comptes que utilitzen el xifratge RC4 heretat.
L'accés a qualsevol d'aquests comptes és trivial o, en general, no es controla. Els atacants poden fer-se càrrec d'aquests comptes i moure's lliurement dins de la vostra infraestructura.
Un cop els atacants penetrin el perímetre de seguretat, probablement tindran accés a almenys un compte. Podeu impedir que tinguin accés a dades sensibles abans que es detecti i contingui l'atac?
El tauler de control de Varonis AD assenyalarà els comptes d'usuari vulnerables perquè pugueu resoldre problemes de manera proactiva. Com més difícil sigui penetrar a la vostra xarxa, més possibilitats de neutralitzar un atacant abans que causin danys greus.
4 Indicadors clau de risc per als comptes d'usuari
A continuació es mostren exemples de widgets del tauler de control de Varonis AD que destaquen els comptes d'usuari més vulnerables.
1. Nombre d'usuaris actius amb contrasenyes que no caduquen mai
Que qualsevol atacant tingui accés a aquest compte sempre és un gran èxit. Com que la contrasenya no caduca mai, l'atacant té un punt de suport permanent a la xarxa, que després es pot utilitzar o moviments dins de la infraestructura.
Els atacants tenen llistes de milions de combinacions d'usuari i contrasenya que utilitzen en atacs d'emplenament de credencials, i és probable que
que la combinació de l'usuari amb la contrasenya “eterna” es troba en una d'aquestes llistes, molt més gran que zero.
Els comptes amb contrasenyes que no caduquen són fàcils de gestionar, però no són segurs. Utilitzeu aquest widget per trobar tots els comptes que tinguin aquestes contrasenyes. Canvieu aquesta configuració i actualitzeu la vostra contrasenya.
Un cop el valor d'aquest giny s'estableix a zero, tots els comptes nous creats amb aquesta contrasenya apareixeran al tauler.
2. Nombre de comptes administratius amb SPN
SPN (nom principal del servei) és un identificador únic d'una instància de servei. Aquest giny mostra quants comptes de servei tenen drets d'administrador complets. El valor del giny ha de ser zero. SPN amb drets administratius es produeix perquè la concessió d'aquests drets és convenient per als proveïdors de programari i administradors d'aplicacions, però suposa un risc de seguretat.
Atorgar drets administratius al compte de servei permet que un atacant tingui accés complet a un compte que no s'utilitza. Això vol dir que els atacants amb accés als comptes SPN poden operar lliurement dins de la infraestructura sense tenir les seves activitats supervisades.
Podeu resoldre aquest problema canviant els permisos dels comptes de servei. Aquests comptes haurien d'estar subjectes al principi de privilegis mínims i només tenir l'accés que realment sigui necessari per al seu funcionament.
Mitjançant aquest giny, podeu detectar tots els SPN que tenen drets administratius, eliminar aquests privilegis i, a continuació, supervisar els SPN utilitzant el mateix principi d'accés amb menys privilegis.
El SPN que apareix recentment es mostrarà al tauler i podreu supervisar aquest procés.
3. Nombre d'usuaris que no requereixen autenticació prèvia Kerberos
L'ideal és que Kerberos xifra el bitllet d'autenticació mitjançant el xifratge AES-256, que segueix sent irrompible fins avui.
Tanmateix, les versions anteriors de Kerberos utilitzaven xifratge RC4, que ara es pot trencar en qüestió de minuts. Aquest giny mostra quins comptes d'usuari encara fan servir RC4. Microsoft encara admet RC4 per a la compatibilitat enrere, però això no vol dir que l'hagueu d'utilitzar al vostre AD.
Un cop hàgiu identificat aquests comptes, heu de desmarcar la casella de selecció "no requereix preautorització Kerberos" a AD per forçar els comptes a utilitzar un xifratge més complex.
Descobrir aquests comptes pel vostre compte, sense el tauler de control de Varonis AD, requereix molt de temps. En realitat, ser conscient de tots els comptes que s'editen per utilitzar el xifratge RC4 és una tasca encara més difícil.
Si el valor del giny canvia, això pot indicar una activitat il·legal.
4. Nombre d'usuaris sense contrasenya
Els atacants utilitzen ordres bàsiques de PowerShell per llegir la marca "PASSWD_NOTREQD" d'AD a les propietats del compte. L'ús d'aquesta marca indica que no hi ha requisits de contrasenya ni de complexitat.
Què tan fàcil és robar un compte amb una contrasenya simple o en blanc? Ara imagineu que un d'aquests comptes és un administrador.
Què passa si un dels milers de fitxers confidencials oberts a tothom és un informe financer proper?
Ignorar el requisit de contrasenya obligatòria és una altra drecera d'administració del sistema que s'utilitzava sovint en el passat, però que avui dia no és ni acceptable ni segur.
Solucioneu aquest problema actualitzant les contrasenyes d'aquests comptes.
El seguiment d'aquest giny en el futur us ajudarà a evitar comptes sense contrasenya.
Varonis iguala les probabilitats
En el passat, la feina de recopilar i analitzar les mètriques descrites en aquest article va durar moltes hores i requeria un coneixement profund de PowerShell, i va requerir que els equips de seguretat assignessin recursos a aquestes tasques cada setmana o mes. Però la recollida i el processament manual d'aquesta informació ofereix als atacants una avantatge per infiltrar-se i robar dades.
С Passareu un dia per desplegar el tauler d'AD i components addicionals, recopilar totes les vulnerabilitats comentades i moltes més. En el futur, durant el funcionament, el panell de monitorització s'actualitzarà automàticament a mesura que canviï l'estat de la infraestructura.
Dur a terme ciberatacs és sempre una carrera entre atacants i defensors, el desig de l'atacant de robar dades abans que els especialistes en seguretat puguin bloquejar-hi l'accés. La detecció precoç dels atacants i les seves activitats il·legals, juntament amb unes fortes defenses cibernètiques, és la clau per mantenir les vostres dades segures.
Font: www.habr.com