Jediné, co útočník potřebuje, je čas a motivace k proniknutí do vaší sítě. Ale naším úkolem je mu v tom zabránit, nebo mu tento úkol alespoň co nejvíce ztížit. Musíte začít identifikací slabin v Active Directory (dále jen AD), které může útočník využít k získání přístupu a pohybu po síti, aniž by byl odhalen. Dnes se v tomto článku podíváme na indikátory rizik, které odrážejí stávající zranitelnosti v kybernetické obraně vaší organizace, jako příklad použijeme řídicí panel AD Varonis.
Útočníci používají určité konfigurace v doméně
Útočníci používají různé chytré techniky a zranitelnosti k pronikání do podnikových sítí a eskalaci privilegií. Některé z těchto zranitelností jsou nastavení konfigurace domény, která lze po identifikaci snadno změnit.
Panel AD vás okamžitě upozorní, pokud jste vy (nebo vaši správci systému) nezměnili heslo KRBTGT za poslední měsíc nebo pokud se někdo ověřil pomocí výchozího vestavěného účtu správce. Tyto dva účty poskytují neomezený přístup k vaší síti: útočníci se k nim pokusí získat přístup, aby snadno obešli veškerá omezení oprávnění a přístupových oprávnění. A díky tomu získají přístup ke všem datům, která je zajímají.
Tyto chyby zabezpečení můžete samozřejmě objevit sami: například nastavit připomenutí kalendáře ke kontrole nebo spustit skript prostředí PowerShell ke shromažďování těchto informací.
Dashboard Varonis se aktualizuje automaticky poskytnout rychlou viditelnost a analýzu klíčových metrik, které zdůrazňují potenciální zranitelnosti, abyste mohli okamžitě podniknout kroky k jejich odstranění.
3 klíčové indikátory rizika na úrovni domény
Níže je uvedena řada widgetů dostupných na řídicím panelu Varonis, jejichž použití výrazně posílí ochranu podnikové sítě a IT infrastruktury jako celku.
1. Počet domén, pro které nebylo po významnou dobu změněno heslo účtu Kerberos
Účet KRBTGT je speciální účet v AD, který vše podepisuje . Útočníci, kteří získají přístup k řadiči domény (DC), mohou tento účet použít k vytvoření , což jim umožní neomezený přístup k téměř libovolnému systému v podnikové síti. Narazili jsme na situaci, kdy po úspěšném získání Zlatého lístku měl útočník dva roky přístup do sítě organizace. Pokud heslo účtu KRBTGT ve vaší společnosti nebylo změněno za posledních čtyřicet dní, widget vás na to upozorní.
Čtyřicet dní je více než dostatečná doba na to, aby útočník získal přístup k síti. Pokud však budete proces změny tohoto hesla pravidelně vynucovat a standardizovat, bude pro útočníka mnohem obtížnější proniknout do vaší podnikové sítě.
Pamatujte, že podle implementace protokolu Kerberos společností Microsoft musíte KRBTGT.
V budoucnu vám tento widget AD připomene, kdy je čas znovu změnit heslo KRBTGT pro všechny domény ve vaší síti.
2. Počet domén, ve kterých byl nedávno použit vestavěný účet správce
Podle — správci systému mají k dispozici dva účty: první je účet pro každodenní použití a druhý je určen pro plánovanou administrativní práci. To znamená, že by nikdo neměl používat výchozí účet správce.
Vestavěný účet správce se často používá ke zjednodušení procesu správy systému. To se může stát špatným zvykem, který má za následek hackování. Pokud se to stane ve vaší organizaci, budete mít potíže s rozlišením mezi správným používáním tohoto účtu a potenciálně škodlivým přístupem.
Pokud widget zobrazuje něco jiného než nulu, pak někdo nepracuje správně s administrativními účty. V takovém případě musíte podniknout kroky k nápravě a omezení přístupu k vestavěnému účtu správce.
Jakmile dosáhnete hodnoty widgetu nula a správci systému již nebudou tento účet používat ke své práci, bude v budoucnu jakákoli jeho změna znamenat potenciální kybernetický útok.
3. Počet domén, které nemají skupinu chráněných uživatelů
Starší verze AD podporovaly slabý typ šifrování - RC4. Hackeři hackli RC4 před mnoha lety a nyní je pro útočníka velmi triviální úkol hacknout účet, který stále používá RC4. Verze Active Directory představená v systému Windows Server 2012 zavedla nový typ skupiny uživatelů nazvanou Protected Users Group. Poskytuje další bezpečnostní nástroje a zabraňuje ověření uživatele pomocí šifrování RC4.
Tento widget předvede, zda v nějaké doméně v organizaci taková skupina chybí, abyste to mohli opravit, tzn. povolit skupinu chráněných uživatelů a použít ji k ochraně infrastruktury.
Snadné cíle pro útočníky
Uživatelské účty jsou pro útočníky cílem číslo jedna, od počátečních pokusů o narušení až po pokračující eskalaci oprávnění a utajování jejich aktivit. Útočníci hledají jednoduché cíle ve vaší síti pomocí základních příkazů PowerShellu, které je často obtížné odhalit. Odstraňte z AD co nejvíce těchto snadných cílů.
Útočníci hledají uživatele s hesly, jejichž platnost nikdy nevyprší (nebo kteří hesla nevyžadují), technologické účty, které jsou správci, a účty, které používají starší šifrování RC4.
Přístup ke kterémukoli z těchto účtů je buď triviální, nebo obecně není monitorován. Útočníci mohou tyto účty převzít a volně se pohybovat v rámci vaší infrastruktury.
Jakmile útočníci proniknou do bezpečnostního perimetru, pravděpodobně získají přístup alespoň k jednomu účtu. Můžete jim zabránit v přístupu k citlivým datům, než bude útok detekován a zadržen?
Řídicí panel Varonis AD vás upozorní na zranitelné uživatelské účty, abyste mohli proaktivně řešit problémy. Čím obtížnější je proniknout do vaší sítě, tím větší je vaše šance na zneškodnění útočníka dříve, než způsobí vážné poškození.
4 Klíčové indikátory rizik pro uživatelské účty
Níže jsou uvedeny příklady widgetů řídicího panelu Varonis AD, které zvýrazňují nejzranitelnější uživatelské účty.
1. Počet aktivních uživatelů s hesly, jejichž platnost nikdy nevyprší
Pro každého útočníka je získání přístupu k takovému účtu vždy velkým úspěchem. Vzhledem k tomu, že platnost hesla nikdy nevyprší, má útočník trvalou oporu v síti, kterou pak lze použít nebo pohyby v rámci infrastruktury.
Útočníci mají seznamy milionů kombinací uživatelských hesel, které používají při útocích na plnění pověření, a je pravděpodobné, že
že kombinace pro uživatele s „věčným“ heslem je v jednom z těchto seznamů mnohem větší než nula.
Účty s hesly bez expirace se snadno spravují, ale nejsou bezpečné. Použijte tento widget k nalezení všech účtů, které mají taková hesla. Změňte toto nastavení a aktualizujte své heslo.
Jakmile je hodnota tohoto widgetu nastavena na nulu, na řídicím panelu se objeví všechny nové účty vytvořené s tímto heslem.
2. Počet administrativních účtů s SPN
SPN (Service Principal Name) je jedinečný identifikátor instance služby. Tento widget ukazuje, kolik servisních účtů má plná administrátorská práva. Hodnota na widgetu musí být nula. SPN s právy správce se vyskytuje, protože udělení takových práv je výhodné pro dodavatele softwaru a správce aplikací, ale představuje bezpečnostní riziko.
Udělení práv správce účtu služby umožňuje útočníkovi získat úplný přístup k účtu, který se nepoužívá. To znamená, že útočníci s přístupem k SPN účtům mohou volně operovat v rámci infrastruktury, aniž by jejich aktivity byly monitorovány.
Tento problém můžete vyřešit změnou oprávnění u servisních účtů. Takové účty by měly podléhat zásadě nejmenšího privilegia a měly by mít pouze přístup, který je skutečně nezbytný pro jejich provoz.
Pomocí tohoto widgetu můžete zjistit všechny hlavní názvy služeb, které mají práva správce, odebrat tato oprávnění a poté sledovat hlavní názvy služeb pomocí stejného principu nejméně privilegovaného přístupu.
Nově se objevující SPN se zobrazí na řídicím panelu a vy budete moci tento proces sledovat.
3. Počet uživatelů, kteří nevyžadují předběžné ověření Kerberos
V ideálním případě Kerberos zašifruje ověřovací lístek pomocí šifrování AES-256, které je dodnes neprolomitelné.
Starší verze Kerberos však používaly šifrování RC4, které lze nyní prolomit během několika minut. Tento widget ukazuje, které uživatelské účty stále používají RC4. Microsoft stále podporuje RC4 kvůli zpětné kompatibilitě, ale to neznamená, že byste ho měli používat ve svém AD.
Jakmile takové účty identifikujete, musíte zrušit zaškrtnutí políčka „nevyžaduje předautorizaci Kerberos“ v AD, abyste účty přinutili používat složitější šifrování.
Objevování těchto účtů na vlastní pěst, bez řídicího panelu Varonis AD, zabere spoustu času. Ve skutečnosti je vědět o všech účtech, které jsou upraveny pro použití šifrování RC4, ještě obtížnější úkol.
Pokud se hodnota na widgetu změní, může to znamenat nelegální aktivitu.
4. Počet uživatelů bez hesla
Útočníci používají základní příkazy PowerShellu ke čtení příznaku „PASSWD_NOTREQD“ z AD ve vlastnostech účtu. Použití tohoto příznaku znamená, že neexistují žádné požadavky na heslo nebo požadavky na složitost.
Jak snadné je ukrást účet pomocí jednoduchého nebo prázdného hesla? Nyní si představte, že jeden z těchto účtů je správce.
Co když jeden z tisíců důvěrných souborů otevřených všem je připravovaná finanční zpráva?
Ignorování povinného požadavku na heslo je další zkratka pro správu systému, která se v minulosti často používala, ale dnes není ani přijatelná, ani bezpečná.
Opravte tento problém aktualizací hesel pro tyto účty.
Sledování tohoto widgetu v budoucnu vám pomůže vyhnout se účtům bez hesla.
Varonis vyrovnává šance
V minulosti trvala práce na shromažďování a analýze metrik popsaných v tomto článku mnoho hodin a vyžadovala hluboké znalosti prostředí PowerShell, což vyžadovalo, aby bezpečnostní týmy přidělovaly prostředky na takové úkoly každý týden nebo měsíc. Ruční sběr a zpracování těchto informací však dává útočníkům náskok při infiltraci a krádeži dat.
С Jeden den strávíte nasazením řídicího panelu AD a dalších komponent, shromažďováním všech diskutovaných zranitelností a mnoha dalších. V budoucnu bude monitorovací panel během provozu automaticky aktualizován podle změn stavu infrastruktury.
Provádění kybernetických útoků je vždy závod mezi útočníky a obránci, touha útočníka ukrást data dříve, než k nim bezpečnostní specialisté mohou zablokovat přístup. Včasné odhalení útočníků a jejich nelegálních aktivit ve spojení se silnou kybernetickou obranou je klíčem k udržení vašich dat v bezpečí.
Zdroj: www.habr.com