Y cyfan sydd ei angen ar ymosodwr yw amser a chymhelliant i dorri i mewn i'ch rhwydwaith. Ond ein gwaith ni yw ei atal rhag gwneud hyn, neu o leiaf gwneud y dasg hon mor anodd â phosibl. Mae angen i chi ddechrau trwy nodi gwendidau yn Active Directory (y cyfeirir ati o hyn ymlaen fel AD) y gall ymosodwr eu defnyddio i gael mynediad a symud o gwmpas y rhwydwaith heb gael eu canfod. Heddiw yn yr erthygl hon byddwn yn edrych ar ddangosyddion risg sy'n adlewyrchu gwendidau presennol yn amddiffyniad seiber eich sefydliad, gan ddefnyddio dangosfwrdd AD Varonis fel enghraifft.
Mae ymosodwyr yn defnyddio rhai ffurfweddiadau yn y parth
Mae ymosodwyr yn defnyddio amrywiaeth o dechnegau clyfar a gwendidau i dreiddio i rwydweithiau corfforaethol a chynyddu breintiau. Mae rhai o'r gwendidau hyn yn osodiadau cyfluniad parth y gellir eu newid yn hawdd unwaith y cânt eu hadnabod.
Bydd y dangosfwrdd AD yn eich rhybuddio ar unwaith os nad ydych chi (neu weinyddwyr eich system) wedi newid y cyfrinair KRBBTT yn ystod y mis diwethaf, neu os yw rhywun wedi dilysu gyda'r cyfrif Gweinyddwr adeiledig rhagosodedig. Mae'r ddau gyfrif hyn yn darparu mynediad diderfyn i'ch rhwydwaith: bydd ymosodwyr yn ceisio cael mynediad atynt i osgoi unrhyw gyfyngiadau mewn breintiau a chaniatâd mynediad yn hawdd. Ac, o ganlyniad, maent yn cael mynediad i unrhyw ddata sydd o ddiddordeb iddynt.
Wrth gwrs, gallwch chi ddarganfod y gwendidau hyn eich hun: er enghraifft, gosodwch nodyn atgoffa calendr i wirio neu redeg sgript PowerShell i gasglu'r wybodaeth hon.
Mae dangosfwrdd Varonis yn cael ei ddiweddaru yn awtomatig i ddarparu gwelededd cyflym a dadansoddiad o fetrigau allweddol sy'n amlygu gwendidau posibl fel y gallwch gymryd camau ar unwaith i fynd i'r afael â nhw.
3 Dangosydd Risg Lefel Parth Allweddol
Isod mae nifer o widgets sydd ar gael ar ddangosfwrdd Varonis, y bydd eu defnyddio yn gwella amddiffyniad y rhwydwaith corfforaethol a'r seilwaith TG yn ei gyfanrwydd yn sylweddol.
1. Nifer y parthau nad yw cyfrinair cyfrif Kerberos wedi'i newid ar eu cyfer am gyfnod sylweddol o amser
Mae'r cyfrif KRBBTT yn gyfrif arbennig yn AD sy'n llofnodi popeth . Gall ymosodwyr sy'n cael mynediad at reolwr parth (DC) ddefnyddio'r cyfrif hwn i greu , a fydd yn rhoi mynediad diderfyn iddynt i bron unrhyw system ar y rhwydwaith corfforaethol. Daethom ar draws sefyllfa lle, ar ôl cael Tocyn Aur yn llwyddiannus, roedd gan ymosodwr fynediad i rwydwaith y sefydliad am ddwy flynedd. Os nad yw cyfrinair cyfrif KRBBTT yn eich cwmni wedi'i newid yn ystod y deugain diwrnod diwethaf, bydd y teclyn yn rhoi gwybod i chi am hyn.
Mae deugain diwrnod yn fwy na digon o amser i ymosodwr gael mynediad i'r rhwydwaith. Fodd bynnag, os ydych chi'n gorfodi ac yn safoni'r broses o newid y cyfrinair hwn yn rheolaidd, bydd yn ei gwneud hi'n llawer anoddach i ymosodwr dorri i mewn i'ch rhwydwaith corfforaethol.
Cofiwch, yn ôl gweithrediad Microsoft o'r protocol Kerberos, mae'n rhaid i chi KRBBTT.
Yn y dyfodol, bydd y teclyn AD hwn yn eich atgoffa pryd mae'n bryd newid y cyfrinair KRBBTT eto ar gyfer pob parth ar eich rhwydwaith.
2. Nifer y parthau lle defnyddiwyd y cyfrif Gweinyddwr adeiledig yn ddiweddar
Yn ôl — mae gweinyddwyr systemau yn cael dau gyfrif: mae'r cyntaf yn gyfrif at ddefnydd bob dydd, a'r ail ar gyfer gwaith gweinyddol wedi'i gynllunio. Mae hyn yn golygu na ddylai unrhyw un ddefnyddio'r cyfrif gweinyddwr rhagosodedig.
Defnyddir y cyfrif gweinyddwr adeiledig yn aml i symleiddio'r broses gweinyddu system. Gall hyn ddod yn arfer drwg, gan arwain at hacio. Os bydd hyn yn digwydd yn eich sefydliad, byddwch yn cael anhawster gwahaniaethu rhwng defnydd cywir o'r cyfrif hwn a mynediad maleisus o bosibl.
Os yw'r teclyn yn dangos unrhyw beth heblaw sero, yna nid yw rhywun yn gweithio'n gywir gyda chyfrifon gweinyddol. Yn yr achos hwn, rhaid i chi gymryd camau i gywiro a chyfyngu mynediad i'r cyfrif gweinyddwr adeiledig.
Unwaith y byddwch wedi cyflawni gwerth teclyn o sero ac nad yw gweinyddwyr system bellach yn defnyddio'r cyfrif hwn ar gyfer eu gwaith, yna yn y dyfodol, bydd unrhyw newid iddo yn dynodi ymosodiad seiber posibl.
3. Nifer y parthau nad oes ganddynt grŵp o Ddefnyddwyr Gwarchodedig
Roedd fersiynau hŷn o AD yn cefnogi math amgryptio gwan - RC4. Haciodd hacwyr RC4 flynyddoedd lawer yn ôl, ac erbyn hyn mae'n dasg ddibwys iawn i ymosodwr hacio cyfrif sy'n dal i ddefnyddio RC4. Cyflwynodd y fersiwn o Active Directory a gyflwynwyd yn Windows Server 2012 fath newydd o grŵp defnyddwyr o'r enw Grŵp Defnyddwyr Gwarchodedig. Mae'n darparu offer diogelwch ychwanegol ac yn atal dilysu defnyddwyr gan ddefnyddio amgryptio RC4.
Bydd y teclyn hwn yn dangos a oes grŵp o'r fath ar goll o unrhyw barth yn y sefydliad fel y gallwch ei drwsio, h.y. galluogi grŵp o ddefnyddwyr gwarchodedig a'i ddefnyddio i ddiogelu'r seilwaith.
Targedau hawdd i ymosodwyr
Cyfrifon defnyddwyr yw'r prif darged ar gyfer ymosodwyr, o ymdrechion ymyrraeth cychwynnol i gynyddu breintiau'n barhaus a chuddio eu gweithgareddau. Mae ymosodwyr yn chwilio am dargedau syml ar eich rhwydwaith gan ddefnyddio gorchmynion PowerShell sylfaenol sy'n aml yn anodd eu canfod. Tynnwch gynifer o'r targedau hawdd hyn o AD â phosibl.
Mae ymosodwyr yn chwilio am ddefnyddwyr sydd â chyfrineiriau nad ydynt yn dod i ben (neu nad oes angen cyfrineiriau arnynt), cyfrifon technoleg sy'n weinyddwyr, a chyfrifon sy'n defnyddio amgryptio RC4 etifeddol.
Mae unrhyw un o'r cyfrifon hyn naill ai'n ddibwys i'w cyrchu neu heb eu monitro'n gyffredinol. Gall ymosodwyr gymryd drosodd y cyfrifon hyn a symud yn rhydd o fewn eich seilwaith.
Unwaith y bydd ymosodwyr yn treiddio i'r perimedr diogelwch, byddant yn debygol o gael mynediad i o leiaf un cyfrif. Allwch chi eu hatal rhag cael mynediad at ddata sensitif cyn i'r ymosodiad gael ei ganfod a'i gyfyngu?
Bydd dangosfwrdd Varonis AD yn nodi cyfrifon defnyddwyr bregus fel y gallwch ddatrys problemau yn rhagweithiol. Po fwyaf anodd yw hi i dreiddio i'ch rhwydwaith, y gorau fydd eich siawns o niwtraleiddio ymosodwr cyn iddo achosi difrod difrifol.
4 Dangosydd Risg Allweddol ar gyfer Cyfrifon Defnyddwyr
Isod mae enghreifftiau o widgets dangosfwrdd Varonis AD sy'n tynnu sylw at y cyfrifon defnyddwyr mwyaf agored i niwed.
1. Nifer y defnyddwyr gweithredol gyda chyfrineiriau nad ydynt byth yn dod i ben
Mae bob amser yn llwyddiant mawr i unrhyw ymosodwr gael mynediad i gyfrif o'r fath. Gan nad yw'r cyfrinair byth yn dod i ben, mae gan yr ymosodwr droedle parhaol o fewn y rhwydwaith, y gellir ei ddefnyddio wedyn i neu symudiadau o fewn y seilwaith.
Mae gan ymosodwyr restrau o filiynau o gyfuniadau defnyddiwr-cyfrinair y maent yn eu defnyddio mewn ymosodiadau stwffio credadwy, a'r tebygolrwydd yw
bod y cyfuniad ar gyfer y defnyddiwr â'r cyfrinair “tragwyddol” yn un o'r rhestrau hyn, llawer mwy na sero.
Mae cyfrifon gyda chyfrineiriau nad ydynt yn dod i ben yn hawdd i'w rheoli, ond nid ydynt yn ddiogel. Defnyddiwch y teclyn hwn i ddod o hyd i bob cyfrif sydd â chyfrineiriau o'r fath. Newidiwch y gosodiad hwn a diweddarwch eich cyfrinair.
Unwaith y bydd gwerth y teclyn hwn wedi'i osod i sero, bydd unrhyw gyfrifon newydd a grëwyd gyda'r cyfrinair hwnnw yn ymddangos yn y dangosfwrdd.
2. Nifer y cyfrifon gweinyddol gyda SPN
Mae SPN (Prif Enw Gwasanaeth) yn ddynodwr unigryw o enghraifft gwasanaeth. Mae'r teclyn hwn yn dangos faint o gyfrifon gwasanaeth sydd â hawliau gweinyddwr llawn. Rhaid i'r gwerth ar y teclyn fod yn sero. Mae SPN gyda hawliau gweinyddol yn digwydd oherwydd bod rhoi hawliau o'r fath yn gyfleus i werthwyr meddalwedd a gweinyddwyr cymwysiadau, ond mae'n peri risg diogelwch.
Mae rhoi hawliau gweinyddol i'r cyfrif gwasanaeth yn caniatáu i ymosodwr gael mynediad llawn i gyfrif nad yw'n cael ei ddefnyddio. Mae hyn yn golygu y gall ymosodwyr sydd â mynediad at gyfrifon SPN weithredu'n rhydd o fewn y seilwaith heb i'w gweithgareddau gael eu monitro.
Gallwch ddatrys y mater hwn trwy newid y caniatâd ar gyfrifon gwasanaeth. Dylai cyfrifon o'r fath fod yn ddarostyngedig i'r egwyddor o'r fraint leiaf a dim ond y mynediad sydd ei angen mewn gwirionedd i'w gweithredu y dylent fod.
Gan ddefnyddio'r teclyn hwn, gallwch ganfod pob SPN sydd â hawliau gweinyddol, dileu breintiau o'r fath, ac yna monitro SPNs gan ddefnyddio'r un egwyddor o fynediad lleiaf breintiedig.
Bydd y SPN sydd newydd ymddangos yn cael ei arddangos ar y dangosfwrdd, a byddwch yn gallu monitro'r broses hon.
3. Nifer y defnyddwyr nad oes angen rhag-ddilysiad Kerberos arnynt
Yn ddelfrydol, mae Kerberos yn amgryptio'r tocyn dilysu gan ddefnyddio amgryptio AES-256, sy'n parhau i fod yn anorfodadwy hyd heddiw.
Fodd bynnag, defnyddiodd fersiynau hŷn o Kerberos amgryptio RC4, y gellir ei dorri bellach mewn munudau. Mae'r teclyn hwn yn dangos pa gyfrifon defnyddwyr sy'n dal i ddefnyddio RC4. Mae Microsoft yn dal i gefnogi RC4 ar gyfer cydweddoldeb yn ôl, ond nid yw hynny'n golygu y dylech ei ddefnyddio yn eich AD.
Unwaith y byddwch wedi nodi cyfrifon o'r fath, mae angen i chi ddad-diciwch y blwch ticio "nid oes angen Kerberos cyn-awdurdodi" yn AD i orfodi'r cyfrifon i ddefnyddio amgryptio mwy soffistigedig.
Mae darganfod y cyfrifon hyn ar eich pen eich hun, heb ddangosfwrdd Varonis AD, yn cymryd llawer o amser. Mewn gwirionedd, mae bod yn ymwybodol o'r holl gyfrifon sy'n cael eu golygu i ddefnyddio amgryptio RC4 yn dasg anoddach fyth.
Os bydd y gwerth ar y teclyn yn newid, gall hyn ddangos gweithgaredd anghyfreithlon.
4. Nifer y defnyddwyr heb gyfrinair
Mae ymosodwyr yn defnyddio gorchmynion PowerShell sylfaenol i ddarllen y faner “PASSWD_NOTREQD” o AD mewn priodweddau cyfrif. Mae defnyddio'r faner hon yn dangos nad oes unrhyw ofynion cyfrinair na gofynion cymhlethdod.
Pa mor hawdd yw hi i ddwyn cyfrif gyda chyfrinair syml neu wag? Nawr dychmygwch fod un o'r cyfrifon hyn yn weinyddwr.
Beth os yw un o'r miloedd o ffeiliau cyfrinachol sydd ar agor i bawb yn adroddiad ariannol sydd ar ddod?
Mae anwybyddu'r gofyniad cyfrinair gorfodol yn llwybr byr gweinyddu system arall a ddefnyddiwyd yn aml yn y gorffennol, ond nid yw'n dderbyniol nac yn ddiogel heddiw.
Trwsiwch y mater hwn trwy ddiweddaru'r cyfrineiriau ar gyfer y cyfrifon hyn.
Bydd monitro'r teclyn hwn yn y dyfodol yn eich helpu i osgoi cyfrifon heb gyfrinair.
Mae Varonis yn unioni'r siawns
Yn y gorffennol, cymerodd y gwaith o gasglu a dadansoddi'r metrigau a ddisgrifir yn yr erthygl hon lawer o oriau ac roedd angen gwybodaeth ddofn am PowerShell, gan ei gwneud yn ofynnol i dimau diogelwch ddyrannu adnoddau i dasgau o'r fath bob wythnos neu fis. Ond mae casglu a phrosesu'r wybodaeth hon â llaw yn rhoi cychwyn da i ymosodwyr ymdreiddio a dwyn data.
С Byddwch yn treulio un diwrnod i ddefnyddio'r dangosfwrdd AD a chydrannau ychwanegol, casglu'r holl wendidau a drafodwyd a llawer mwy. Yn y dyfodol, yn ystod gweithrediad, bydd y panel monitro yn cael ei ddiweddaru'n awtomatig wrth i gyflwr y seilwaith newid.
Mae cynnal ymosodiadau seiber bob amser yn ras rhwng ymosodwyr ac amddiffynwyr, awydd yr ymosodwr i ddwyn data cyn y gall arbenigwyr diogelwch rwystro mynediad iddo. Canfod ymosodwyr yn gynnar a'u gweithgareddau anghyfreithlon, ynghyd ag amddiffynfeydd seiber cryf, yw'r allwedd i gadw'ch data'n ddiogel.
Ffynhonnell: hab.com