Ang tanan nga gikinahanglan sa usa ka tig-atake mao ang panahon ug kadasig sa pagsulod sa imong network. Apan ang among trabaho mao ang pagpugong kaniya sa pagbuhat niini, o labing menos aron mahimo kini nga buluhaton nga lisud kutob sa mahimo. Kinahanglan ka nga magsugod pinaagi sa pag-ila sa mga kahuyang sa Active Directory (gitawag nga AD) nga magamit sa usa ka tig-atake aron maka-access ug makalihok sa palibot sa network nga wala mahibal-an. Karon niining artikuloha atong tan-awon ang mga timailhan sa risgo nga nagpakita sa kasamtangan nga mga kahuyangan sa cyber defense sa imong organisasyon, gamit ang AD Varonis dashboard isip pananglitan.
Gigamit sa mga tig-atake ang pipila ka mga pag-configure sa domain
Ang mga tig-atake naggamit ug lain-laing mga intelihenteng teknik ug mga kahuyangan aron makasulod sa mga corporate network ug makapadako sa mga pribilehiyo. Ang pipila niini nga mga kahuyangan mao ang mga setting sa pag-configure sa domain nga daling mabag-o kung kini mailhan.
Ang AD dashboard mopahibalo dayon kanimo kung ikaw (o ang imong mga administrador sa sistema) wala mag-ilis sa KRBTGT nga password sa miaging bulan, o kung adunay usa nga nagpamatuod gamit ang default built-in nga Administrator account. Kining duha ka mga account naghatag ug walay kinutuban nga pag-access sa imong network: ang mga tig-atake mosulay sa pag-access niini aron daling malaktawan ang bisan unsang mga pagdili sa mga pribilehiyo ug mga permiso sa pag-access. Ug, isip usa ka resulta, nakakuha sila og access sa bisan unsang datos nga makapainteres kanila.
Siyempre, madiskubre nimo kini nga mga kahuyangan sa imong kaugalingon: pananglitan, magbutang usa ka pahinumdom sa kalendaryo aron susihon o ipadagan ang usa ka script sa PowerShell aron makolekta kini nga kasayuran.
Ang dashboard sa Varonis gi-update awtomatiko sa paghatag og dali nga visibility ug pagtuki sa mga yawe nga metrics nga nagpasiugda sa mga potensyal nga mga kahuyangan aron makahimo ka dayon nga aksyon aron matubag kini.
3 Key Domain Level Risk Indicators
Sa ubos usa ka gidaghanon sa mga widget nga magamit sa dashboard sa Varonis, ang paggamit niini makapauswag sa pagpanalipod sa corporate network ug imprastraktura sa IT sa kinatibuk-an.
1. Gidaghanon sa mga dominyo diin ang password sa Kerberos account wala mausab sulod sa mahinungdanong yugto sa panahon
Ang KRBTGT account usa ka espesyal nga account sa AD nga nagpirma sa tanan . Ang mga tig-atake nga makakuha og access sa usa ka domain controller (DC) mahimong mogamit niini nga account sa paghimo , nga maghatag kanila og walay kinutuban nga pag-access sa halos bisan unsang sistema sa corporate network. Nakasugat mi og sitwasyon diin, human malamposong nakakuha og Golden Ticket, ang tig-atake adunay access sa network sa organisasyon sulod sa duha ka tuig. Kung ang password sa KRBTGT account sa imong kompanya wala mausab sa miaging kwarenta ka adlaw, ang widget magpahibalo kanimo bahin niini.
Ang kap-atan ka adlaw labaw pa sa igo nga panahon alang sa usa ka tig-atake nga maka-access sa network. Bisan pa, kung imong ipatuman ug i-standardize ang proseso sa pagbag-o sa kini nga password sa usa ka regular nga basehan, kini maghimo nga labi ka lisud alang sa usa ka tig-atake sa pagsulod sa imong corporate network.
Hinumdomi nga sumala sa pagpatuman sa Microsoft sa Kerberos protocol, kinahanglan nimo KRBTGT.
Sa umaabot, kini nga AD widget magpahinumdom kanimo kung panahon na nga usbon pag-usab ang KRBTGT password alang sa tanan nga mga dominyo sa imong network.
2. Gidaghanon sa mga dominyo diin bag-o lang gigamit ang built-in nga Administrator account
Sumala sa β Ang mga tagdumala sa sistema gihatagan og duha ka mga account: ang una usa ka account alang sa adlaw-adlaw nga paggamit, ug ang ikaduha alang sa giplano nga administratibo nga trabaho. Kini nagpasabot nga walay usa nga kinahanglan nga mogamit sa default administrator account.
Ang built-in nga account sa administrador kanunay nga gigamit aron pasimplehon ang proseso sa pagdumala sa sistema. Mahimo kini nga dili maayo nga batasan, nga moresulta sa pag-hack. Kung mahitabo kini sa imong organisasyon, maglisud ka sa pag-ila tali sa husto nga paggamit niini nga account ug mahimoβg makadaot nga pag-access.
Kung ang widget nagpakita bisan unsa gawas sa zero, nan adunay usa nga wala nagtrabaho sa husto sa mga account sa administratibo. Sa kini nga kaso, kinahanglan ka nga maghimo mga lakang aron matul-id ug limitahan ang pag-access sa gitukod nga account sa tagdumala.
Kung nakab-ot na nimo ang usa ka widget nga kantidad nga zero ug ang mga tagdumala sa sistema dili na mogamit niini nga account alang sa ilang trabaho, unya sa umaabot, ang bisan unsang pagbag-o niini magpakita usa ka potensyal nga pag-atake sa cyber.
3. Gidaghanon sa mga dominyo nga walay grupo sa Giprotektahan nga mga Gumagamit
Ang mga daan nga bersyon sa AD nagsuporta sa usa ka huyang nga tipo sa pag-encrypt - RC4. Gi-hack sa mga hacker ang RC4 daghang tuig na ang milabay, ug karon kini usa ka gamay kaayo nga buluhaton alang sa usa ka tig-atake sa pag-hack sa usa ka account nga naggamit gihapon sa RC4. Ang bersyon sa Active Directory nga gipaila sa Windows Server 2012 nagpaila sa usa ka bag-ong tipo sa grupo sa tiggamit nga gitawag og Protected Users Group. Naghatag kini og dugang nga mga himan sa seguridad ug gipugngan ang pag-authenticate sa gumagamit gamit ang RC4 encryption.
Kini nga widget magpakita kung adunay bisan unsang domain sa organisasyon nga kulang sa ingon nga grupo aron mahimo nimo kini ayohon, i.e. makapahimo sa usa ka grupo sa mga protektadong tiggamit ug gamiton kini sa pagpanalipod sa imprastraktura.
Sayon nga mga target alang sa mga tig-atake
Ang mga account sa gumagamit mao ang numero unong target sa mga tig-atake, gikan sa una nga pagsulay sa pagsulod hangtod sa pagpadayon sa pagdaghan sa mga pribilehiyo ug pagtago sa ilang mga kalihokan. Ang mga tig-atake nangita alang sa yano nga mga target sa imong network gamit ang sukaranan nga mga mando sa PowerShell nga kanunay lisud mahibal-an. Kuhaa ang daghan niining sayon ββββnga mga target gikan sa AD kutob sa mahimo.
Ang mga tig-atake nangita alang sa mga tiggamit nga walaβy katapusan nga mga password (o wala magkinahanglan mga password), mga account sa teknolohiya nga mga administrador, ug mga account nga naggamit sa kabilin nga RC4 encryption.
Ang bisan hain niini nga mga account gamay ra nga ma-access o sa kasagaran dili mabantayan. Mahimong kuhaon sa mga tig-atake kini nga mga account ug gawasnon nga molihok sa sulod sa imong imprastraktura.
Kung ang mga tig-atake makasulod sa perimeter sa seguridad, lagmit makakuha sila og access sa labing menos usa ka account. Mahimo ba nimo nga mapugngan sila sa pag-angkon og access sa sensitibo nga datos sa dili pa ang pag-atake mamatikdan ug adunay sulod?
Ang dashboard sa Varonis AD magtudlo sa mga huyang nga mga account sa gumagamit aron masulbad nimo ang mga problema nga aktibo. Kon mas lisud ang pagsulod sa imong network, mas maayo ang imong kahigayonan nga ma-neutralize ang usa ka tig-atake sa dili pa kini magpahinabog grabeng kadaot.
4 Panguna nga Risk Indicators para sa User Accounts
Sa ubos ang mga pananglitan sa mga widget sa dashboard sa Varonis AD nga nagpasiugda sa labing huyang nga mga account sa gumagamit.
1. Gidaghanon sa mga aktibo nga tiggamit nga adunay mga password nga dili ma-expire
Alang sa bisan kinsa nga tig-atake nga maka-access sa ingon nga account kanunay nga usa ka dako nga kalampusan. Tungod kay ang password dili gayud matapos, ang tig-atake adunay usa ka permanente nga foothold sa sulod sa network, nga mahimong magamit sa o mga lihok sulod sa imprastraktura.
Ang mga tig-atake adunay mga lista sa milyon-milyon nga mga kombinasyon sa user-password nga ilang gigamit sa mga pag-atake sa pagpuno sa kredensyal, ug ang posibilidad mao kana
nga ang kombinasyon alang sa tiggamit nga adunay "walay katapusan" nga password naa sa usa niini nga mga lista, labi pa sa zero.
Ang mga account nga adunay dili ma-expire nga mga password dali nga madumala, apan dili kini luwas. Gamita kini nga widget aron makit-an ang tanan nga mga account nga adunay ingon nga mga password. Usba kini nga setting ug i-update ang imong password.
Sa higayon nga ang bili niini nga widget mabutang sa zero, ang bisan unsang bag-ong mga account nga gihimo gamit ang maong password makita sa dashboard.
2. Gidaghanon sa mga account sa administratibo nga adunay SPN
Ang SPN (Service Principal Name) usa ka talagsaon nga identifier sa usa ka instance sa serbisyo. Kini nga widget nagpakita kung pila ang mga account sa serbisyo nga adunay hingpit nga mga katungod sa tigdumala. Ang bili sa widget kinahanglan nga zero. Ang SPN nga adunay mga katungod sa administratibo mahitabo tungod kay ang paghatag sa ingon nga mga katungod sayon ββββalang sa mga tigbaligya sa software ug mga tigdumala sa aplikasyon, apan kini adunay peligro sa seguridad.
Ang paghatag sa mga katungod sa pagdumala sa account sa serbisyo nagtugot sa usa ka tig-atake nga makakuha og hingpit nga pag-access sa usa ka account nga wala gigamit. Kini nagpasabot nga ang mga tig-atake nga adunay access sa mga SPN nga mga account mahimong gawasnon nga makalihok sulod sa imprastraktura nga walay pagmonitor sa ilang mga kalihokan.
Masulbad nimo kini nga isyu pinaagi sa pagbag-o sa mga pagtugot sa mga account sa serbisyo. Ang ingon nga mga account kinahanglan nga ipailalom sa prinsipyo nga labing gamay nga pribilehiyo ug adunay access lamang nga kinahanglan gyud alang sa ilang operasyon.
Gamit kini nga widget, imong mamatikdan ang tanang SPN nga adunay mga katungod sa administratibo, tangtangon ang maong mga pribilehiyo, ug dayon monitoron ang mga SPN gamit ang samang prinsipyo sa labing gamay nga pribilehiyo nga pag-access.
Ang bag-ong makita nga SPN ipakita sa dashboard, ug mahimo nimong mabantayan kini nga proseso.
3. Gidaghanon sa mga tiggamit nga wala magkinahanglan sa Kerberos pre-authentication
Sa tinuud, gi-encrypt ni Kerberos ang tiket sa pag-authenticate gamit ang AES-256 encryption, nga nagpabilin nga dili mabungkag hangtod karon.
Bisan pa, ang mga daan nga bersyon sa Kerberos migamit sa RC4 encryption, nga mahimo nang mabungkag sa mga minuto. Gipakita niini nga widget kung unsang mga account sa gumagamit ang naggamit gihapon sa RC4. Gisuportahan gihapon sa Microsoft ang RC4 alang sa backwards compatibility, apan wala kana magpasabot nga kinahanglan nimo kining gamiton sa imong AD.
Kung nahibal-an na nimo ang ingon nga mga account, kinahanglan nimo nga i-uncheck ang checkbox nga "wala magkinahanglan nga pre-authorization sa Kerberos" sa AD aron pugson ang mga account sa paggamit sa labi ka sopistikado nga pag-encrypt.
Ang pagdiskubre niini nga mga account sa imong kaugalingon, kung wala ang dashboard sa Varonis AD, nagkinahanglag daghang oras. Sa tinuud, ang pagkahibalo sa tanan nga mga account nga gi-edit aron magamit ang RC4 encryption usa ka labi ka lisud nga buluhaton.
Kung ang bili sa widget mausab, kini mahimong magpakita sa ilegal nga kalihokan.
4. Gidaghanon sa mga tiggamit nga walay password
Gigamit sa mga tig-atake ang batakang mga sugo sa PowerShell aron mabasa ang bandila nga "PASSWD_NOTREQD" gikan sa AD sa mga kabtangan sa account. Ang paggamit niini nga bandila nagpakita nga walay mga kinahanglanon sa password o mga kinahanglanon sa pagkakomplikado.
Unsa kadali ang pagkawat sa usa ka account nga adunay yano o blangko nga password? Karon hunahunaa nga ang usa niini nga mga account usa ka tigdumala.
Unsa kaha kung ang usa sa libu-libo nga kompidensyal nga mga file nga bukas sa tanan mao ang umaabot nga pinansyal nga taho?
Ang pagbaliwala sa gikinahanglan nga password mao ang laing shortcut sa administrasyon sa sistema nga sagad gigamit kaniadto, apan dili madawat o luwas karon.
Ayuhon kini nga isyu pinaagi sa pag-update sa mga password alang niini nga mga account.
Ang pagmonitor niini nga widget sa umaabot makatabang nimo nga malikayan ang mga account nga walay password.
Gipildi ni Varonis ang mga kalisud
Kaniadto, ang trabaho sa pagkolekta ug pag-analisar sa mga sukatan nga gihulagway sa kini nga artikulo nanginahanglan daghang oras ug nanginahanglan lawom nga kahibalo sa PowerShell, nga nanginahanglan sa mga security team nga maggahin mga kapanguhaan sa ingon nga mga buluhaton matag semana o bulan. Apan ang manwal nga pagkolekta ug pagproseso niini nga impormasyon naghatag sa mga tig-atake sa usa ka ulo sa pagsugod sa pagsulod ug pagpangawat sa datos.
Π‘ Mogugol ka ug usa ka adlaw aron i-deploy ang AD dashboard ug dugang nga mga sangkap, kolektahon ang tanan nga mga kahuyangan nga gihisgutan ug daghan pa. Sa umaabot, sa panahon sa operasyon, ang monitoring panel awtomatik nga ma-update samtang ang kahimtang sa imprastraktura mausab.
Ang paghimo sa mga pag-atake sa cyber kanunay nga usa ka lumba tali sa mga tig-atake ug mga tigdepensa, ang tinguha sa tig-atake nga mangawat og datos sa dili pa ma-block sa mga espesyalista sa seguridad ang pag-access niini. Ang sayo nga pag-ila sa mga tig-atake ug sa ilang mga ilegal nga kalihokan, inubanan sa lig-on nga mga depensa sa cyber, mao ang yawe sa pagtipig sa imong datos nga luwas.
Source: www.habr.com