Tuttu ciò chì un attaccante hà bisognu hè u tempu è a motivazione per entra in a vostra reta. Ma u nostru travagliu hè di impedisce ch'ellu di fà questu, o almenu di rende stu travagliu u più difficiule. Avete bisognu di principià per identificà i punti debbuli in Active Directory (in seguitu chjamatu AD) chì un attaccu pò utilizà per acquistà l'accessu è si move in a reta senza esse rilevatu. Oghje in questu articulu avemu da circà l'indicatori di risicu chì riflettenu i vulnerabili esistenti in a difesa cibernetica di a vostra urganizazione, utilizendu u dashboard AD Varonis cum'è un esempiu.
L'attaccanti utilizanu certe cunfigurazioni in u duminiu
L'attaccanti utilizanu una varietà di tecniche intelligenti è vulnerabili per penetrà in e rete corporative è escalate i privilegi. Alcune di queste vulnerabilità sò paràmetri di cunfigurazione di u duminiu chì ponu esse facilmente cambiati una volta identificati.
U dashboard di l'AD vi avviserà immediatamente se voi (o i vostri amministratori di u sistema) ùn avete micca cambiatu a password KRBTGT in l'ultimu mese, o se qualchissia hà autentificatu cù u contu Administrator integratu predeterminatu. Questi dui cunti furniscenu un accessu illimitatu à a vostra reta: l'attaccanti pruvate d'accede à elli per scaccià facilmente qualsiasi restrizioni in privileggi è permessi di accessu. È, in u risultatu, anu accessu à qualsiasi dati chì li interessanu.
Di sicuru, pudete scopre queste vulnerabilità stessu: per esempiu, stabilisce un recordatori di calendariu per verificà o eseguisce un script PowerShell per cullà sta infurmazione.
U dashboard di Varonis hè in aghjurnamentu automaticamente per furnisce una visibilità rapida è l'analisi di e metriche chjave chì mette in risaltu i vulnerabili potenziali per pudè piglià azzione immediata per affruntà.
3 Indicatori di Rischiu di Livellu di Dominiu Chjave
A sottu hè una quantità di widgets dispunibili nantu à u dashboard Varonis, l'usu di quale aumenterà significativamente a prutezzione di a reta corporativa è l'infrastruttura IT in generale.
1. Numero di domini per quale a password di u contu Kerberos ùn hè micca cambiatu per un periudu significativu di tempu
U contu KRBTGT hè un contu speciale in AD chì firma tuttu . L'attaccanti chì anu accessu à un controller di duminiu (DC) ponu utilizà stu contu per creà , chì li darà un accessu illimitatu à quasi ogni sistema in a reta corporativa. Avemu scontru una situazione induve, dopu avè ottinutu successu un Bigliettu d'Oro, un attaccu avia accessu à a reta di l'urganizazione per dui anni. Se a password di u contu KRBTGT in a vostra cumpagnia ùn hè micca stata cambiata in l'ultimi quaranta ghjorni, u widget vi avviserà di questu.
Quaranta ghjorni hè più ch'è abbastanza tempu per un attaccu per accede à a reta. In ogni casu, se infurzà è standardizà u prucessu di cambià sta password nantu à una basa regulare, farà assai più difficiuli per un attaccu per penetrà in a vostra reta corporativa.
Ricurdativi chì sicondu l'implementazione di Microsoft di u protokollu Kerberos, avete bisognu KRBTGT.
In u futuru, stu widget AD vi ricurdarà quandu hè u tempu di cambià a password KRBTGT di novu per tutti i domini in a vostra reta.
2. Numero di duminii induve u contu Amministratore integratu hè statu usatu pocu tempu
Sicondu - l'amministratori di u sistema sò furniti cù dui cunti: u primu hè un contu per l'usu di ogni ghjornu, è u sicondu hè per u travagliu amministrativu pianificatu. Questu significa chì nimu ùn deve aduprà u contu amministratore predeterminatu.
U contu amministratore integratu hè spessu usatu per simplificà u prucessu di amministrazione di u sistema. Questu pò diventà un cattivu abitudine, risultatu in pirate. Se questu succede in a vostra urganizazione, avarete difficultà à distingue l'usu propiu di stu contu è l'accessu potenziale maliziusu.
Se u widget mostra qualcosa altru chè cero, allora qualchissia ùn hè micca travagliatu bè cù i cunti amministrativi. In stu casu, vi tocca à piglià passi à currettu è limità accessu à u contu amministratore integrata.
Una volta chì avete ottinutu un valore di widget di cero è l'amministratori di u sistema ùn utilizanu più stu contu per u so travagliu, allora in u futuru, ogni cambiamentu à questu indicà un potenziale attaccu ciberneticu.
3. Numero di duminii chì ùn anu micca un gruppu di Users Protetti
E versioni più vechje di AD supportanu un tipu di criptografia debule - RC4. Hackers pirate RC4 parechji anni fà, è avà hè un compitu assai triviale per un attaccu pirate un contu chì hè sempre utilizendu RC4. A versione di Active Directory introduttu in Windows Server 2012 hà introduttu un novu tipu di gruppu d'utilizatori chjamatu Gruppu d'Utenti Protetti. Fornisce strumenti di sicurezza supplementari è impedisce l'autentificazione di l'utilizatori cù a criptografia RC4.
Stu widget dimustrarà se qualchì duminiu in l'urganizazione manca un tali gruppu in modu chì pudete riparà, i.e. attivà un gruppu di utilizatori prutetti è aduprà per prutege l'infrastruttura.
Obiettivi facili per l'attaccanti
I cunti di l'utilizatori sò l'ughjettu numeru unu per l'attaccanti, da i tentativi iniziali di intrusione à l'escalazione cuntinuata di privilegi è oculazione di e so attività. L'attaccanti cercanu mira simplici nantu à a vostra reta utilizendu cumandamenti PowerShell di basa chì sò spessu difficiuli di detectà. Eliminate quant'è di sti miri faciuli da AD pussibule.
L'attaccanti cercanu l'utilizatori cù password chì ùn anu mai scadenza (o chì ùn anu micca bisognu di password), cunti di tecnulugia chì sò amministratori, è cunti chì utilizanu a criptografia RC4 legata.
Qualchidunu di sti cunti sò o triviali per accede o generalmente micca monitoratu. L'attaccanti ponu ripiglià questi cunti è si move liberamente in a vostra infrastruttura.
Una volta chì l'attaccanti penetranu in u perimetru di sicurezza, puderanu accede à almenu un contu. Pudete impediscenu di ottene l'accessu à e dati sensibili prima chì l'attaccu hè rilevatu è cuntenutu?
U dashboard di Varonis AD indicà i cunti d'utilizatori vulnerabili per pudè risolve i prublemi in modu proattivu. U più difficiule hè di penetrà in a vostra reta, u megliu e vostre probabilità di neutralizà un attaccu prima ch'elli causanu dannu seriu.
4 Indicatori di Rischiu Chjave per i Conti d'Usuariu
Quì sottu sò esempi di widgets dashboard di Varonis AD chì mette in risaltu i cunti d'utilizatori più vulnerabili.
1. U numeru di utilizatori attivi cù password chì ùn caduca mai
Per ogni attaccu per accede à un tali contu hè sempre un grande successu. Siccomu a password ùn scade mai, l'attaccante hà un postu permanente in a reta, chì pò esse adupratu o movimenti in l'infrastruttura.
L'attaccanti anu listi di milioni di cumminazzioni d'utilizatori-password chì utilizanu in attacchi di credential stuffing, è a probabilità hè chì
chì a cumminazzioni per l'utilizatore cù a password "eterna" hè in una di queste liste, assai più grande di cero.
I cunti cù password chì ùn sò micca caduti sò faciuli di gestisce, ma ùn sò micca sicuri. Aduprate stu widget per truvà tutti i cunti chì anu tali password. Cambia sta paràmetra è aghjurnà a vostra password.
Una volta chì u valore di stu widget hè pusatu à zero, ogni novu contu creatu cù quella password appariscerà in u dashboard.
2. Numero di cunti amministrativi cù SPN
SPN (Service Principal Name) hè un identificatore unicu di una istanza di serviziu. Stu widget mostra quanti cunti di serviziu anu diritti di amministratore cumpletu. U valore nantu à u widget deve esse zero. SPN cù diritti amministrativi accade perchè cuncede tali diritti hè convenientu per i venditori di software è l'amministratori di l'applicazioni, ma ponu un risicu per a sicurità.
Dà i diritti amministrativi di u contu di serviziu permette à un attaccu di ottene un accessu sanu à un contu chì ùn hè micca in usu. Questu significa chì l'attaccanti cù accessu à i cunti SPN ponu operare liberamente in l'infrastruttura senza avè monitoratu e so attività.
Pudete risolve stu prublema cambiendu i permessi nantu à i cunti di serviziu. Tali cunti deve esse sottumessi à u principiu di u minimu privilegiu è avè solu l'accessu chì hè veramente necessariu per u so funziunamentu.
Utilizendu stu widget, pudete detectà tutti i SPN chì anu diritti amministrativi, sguassate tali privilegii, è poi monitorizà SPN cù u listessu principiu di accessu minimu privilegiatu.
U novu SPN apparsu sarà affissatu nantu à u dashboard, è puderete monitorà stu prucessu.
3. Numero di utilizatori chì ùn anu micca bisognu di pre-autentificazione Kerberos
Ideale, Kerberos cripta u bigliettu di autentificazione utilizendu a criptografia AES-256, chì ferma inviolabile finu à questu ghjornu.
In ogni casu, e versioni più vechje di Kerberos anu utilizatu a criptografia RC4, chì avà pò esse rotta in minuti. Stu widget mostra quali cunti d'utilizatori anu sempre aduprà RC4. Microsoft sustene sempre RC4 per a cumpatibilità inversa, ma questu ùn significa micca chì duvete aduprà in u vostru AD.
Una volta chì avete identificatu tali cunti, avete bisognu di desmarcate a casella "ùn hè micca bisognu di pre-autorizazione Kerberos" in AD per furzà i cunti à utilizà una criptografia più sofisticata.
Scopre sti cunti nantu à u vostru propiu, senza u varonis AD dashboard, piglia assai tempu. In realità, esse cunuscenza di tutti i cunti chì sò editati per utilizà a criptografia RC4 hè un compitu ancu più difficiule.
Se u valore nantu à u widget cambia, questu pò indicà attività illegale.
4. Numero di utilizatori senza password
L'attaccanti utilizanu cumandamenti di basa di PowerShell per leghje a bandiera "PASSWD_NOTREQD" da AD in proprietà di u contu. L'usu di sta bandiera indica chì ùn ci sò micca esigenze di password o esigenze di cumplessità.
Quantu hè faciule per arrubà un contu cù una password simplice o in biancu? Avà imaginate chì unu di sti cunti hè un amministratore.
E se unu di i millaie di schedarii cunfidenziale aperti à tutti hè un rapportu finanziariu imminente?
Ignore u requisitu di password obligatoriu hè un altru accurtatoghju di l'amministrazione di u sistema chì era spessu usatu in u passatu, ma ùn hè nè accettabile nè sicuru oghje.
Risolve stu prublema aghjurnendu e password per questi cunti.
Monitorà stu widget in u futuru vi aiuterà à evità i cunti senza password.
Varonis pareggia e probabilità
In u passatu, u travagliu di cullizzioni è analisi di e metriche descritte in questu articulu hà pigliatu parechje ore è necessitava una cunniscenza prufonda di PowerShell, chì esigeva i squadre di sicurezza per assignà risorse à tali compiti ogni settimana o mese. Ma a cullizzioni manuale è a trasfurmazioni di sta infurmazione dà à l'attaccanti un capu per infiltrà è arrubbari dati.
С Passerete un ghjornu per implementà u dashboard AD è cumpunenti supplementari, cullà tutte e vulnerabili discutite è assai di più. In u futuru, durante l'operazione, u pannellu di monitoraghju serà aghjurnatu automaticamente cum'è u statu di l'infrastruttura cambia.
A realizazione di attacchi cibernetici hè sempre una corsa trà l'attaccanti è i difensori, u desideriu di l'attaccante di arrubbari dati prima chì i specialisti di sicurezza ponu bluccà l'accessu. A rilevazione precoce di l'attaccanti è e so attività illegale, accumpagnata da una forte difesa cibernetica, hè a chjave per mantene a vostra dati sicura.
Source: www.habr.com