Alt hvad en angriber behøver er tid og motivation til at bryde ind i dit netværk. Men vores opgave er at forhindre ham i at gøre dette, eller i det mindste at gøre denne opgave så vanskelig som muligt. Du skal starte med at identificere svagheder i Active Directory (herefter benævnt AD), som en angriber kan bruge til at få adgang og bevæge sig rundt på netværket uden at blive opdaget. I dag vil vi i denne artikel se på risikoindikatorer, der afspejler eksisterende sårbarheder i din organisations cyberforsvar, ved at bruge AD Varonis-dashboardet som eksempel.
Angribere bruger visse konfigurationer i domænet
Angribere bruger en række smarte teknikker og sårbarheder til at trænge ind i virksomhedens netværk og eskalere privilegier. Nogle af disse sårbarheder er domænekonfigurationsindstillinger, der nemt kan ændres, når de er identificeret.
AD-dashboardet vil straks advare dig, hvis du (eller dine systemadministratorer) ikke har ændret KRBTGT-adgangskoden inden for den sidste måned, eller hvis nogen har godkendt med den indbyggede standardadministratorkonto. Disse to konti giver ubegrænset adgang til dit netværk: Angribere vil forsøge at få adgang til dem for nemt at omgå eventuelle begrænsninger i privilegier og adgangstilladelser. Og som et resultat får de adgang til alle data, der interesserer dem.
Selvfølgelig kan du selv opdage disse sårbarheder: Indstil for eksempel en kalenderpåmindelse for at kontrollere eller køre et PowerShell-script for at indsamle disse oplysninger.
Varonis dashboard bliver opdateret automatisk for at give hurtig synlighed og analyse af nøglemålinger, der fremhæver potentielle sårbarheder, så du kan træffe øjeblikkelige handlinger for at løse dem.
3 Risikoindikatorer på nøgledomæneniveau
Nedenfor er en række widgets tilgængelige på Varonis dashboard, hvis brug vil forbedre beskyttelsen af virksomhedens netværk og IT-infrastruktur som helhed væsentligt.
1. Antal domæner, hvor adgangskoden til Kerberos-kontoen ikke er blevet ændret i en længere periode
KRBTGT-kontoen er en speciel konto i AD, der underskriver alt . Angribere, der får adgang til en domænecontroller (DC), kan bruge denne konto til at oprette , hvilket vil give dem ubegrænset adgang til næsten alle systemer på virksomhedens netværk. Vi stødte på en situation, hvor en angriber, efter at have opnået en gylden billet, havde adgang til organisationens netværk i to år. Hvis KRBTGT-kontoens adgangskode i din virksomhed ikke er blevet ændret inden for de sidste fyrre dage, vil widgetten give dig besked om dette.
Fyrre dage er mere end nok tid for en angriber at få adgang til netværket. Men hvis du håndhæver og standardiserer processen med at ændre denne adgangskode med jævne mellemrum, vil det gøre det meget sværere for en hacker at bryde ind på dit virksomhedsnetværk.
Husk at i henhold til Microsofts implementering af Kerberos-protokollen skal du KRBTGT.
I fremtiden vil denne AD-widget minde dig om, hvornår det er tid til at ændre KRBTGT-adgangskoden igen for alle domæner på dit netværk.
2. Antal domæner, hvor den indbyggede administratorkonto for nylig blev brugt
Ifølge — Systemadministratorer har to konti: den første er en konto til daglig brug, og den anden er til planlagt administrativt arbejde. Det betyder, at ingen skal bruge standardadministratorkontoen.
Den indbyggede administratorkonto bruges ofte til at forenkle systemadministrationsprocessen. Dette kan blive en dårlig vane, hvilket resulterer i hacking. Hvis dette sker i din organisation, vil du have svært ved at skelne mellem korrekt brug af denne konto og potentielt skadelig adgang.
Hvis widgetten viser andet end nul, er der nogen, der ikke fungerer korrekt med administrative konti. I dette tilfælde skal du tage skridt til at rette og begrænse adgangen til den indbyggede administratorkonto.
Når du har opnået en widgetværdi på nul, og systemadministratorer ikke længere bruger denne konto til deres arbejde, vil enhver ændring af den i fremtiden indikere et potentielt cyberangreb.
3. Antal domæner, der ikke har en gruppe af beskyttede brugere
Ældre versioner af AD understøttede en svag krypteringstype - RC4. Hackere hackede RC4 for mange år siden, og nu er det en meget triviel opgave for en hacker at hacke en konto, der stadig bruger RC4. Den version af Active Directory, der blev introduceret i Windows Server 2012, introducerede en ny type brugergruppe kaldet Protected Users Group. Det giver yderligere sikkerhedsværktøjer og forhindrer brugergodkendelse ved hjælp af RC4-kryptering.
Denne widget vil demonstrere, om et domæne i organisationen mangler en sådan gruppe, så du kan rette det, dvs. aktivere en gruppe af beskyttede brugere og bruge den til at beskytte infrastrukturen.
Lette mål for angribere
Brugerkonti er det vigtigste mål for angribere, lige fra indledende forsøg på indtrængen til fortsat eskalering af privilegier og fortielse af deres aktiviteter. Angribere leder efter simple mål på dit netværk ved hjælp af grundlæggende PowerShell-kommandoer, som ofte er svære at opdage. Fjern så mange af disse nemme mål fra AD som muligt.
Angribere leder efter brugere med aldrig udløbende adgangskoder (eller som ikke kræver adgangskoder), teknologikonti, der er administratorer, og konti, der bruger ældre RC4-kryptering.
Enhver af disse konti er enten trivielle at få adgang til eller generelt ikke overvåget. Angribere kan overtage disse konti og bevæge sig frit i din infrastruktur.
Når først angribere trænger ind i sikkerhedsområdet, vil de sandsynligvis få adgang til mindst én konto. Kan du forhindre dem i at få adgang til følsomme data, før angrebet er opdaget og indeholdt?
Varonis AD-dashboardet vil pege på sårbare brugerkonti, så du kan fejlfinde problemer proaktivt. Jo sværere det er at trænge ind i dit netværk, jo bedre er dine chancer for at neutralisere en angriber, før de forårsager alvorlig skade.
4 Nøglerisikoindikatorer for brugerkonti
Nedenfor er eksempler på Varonis AD-dashboard-widgets, der fremhæver de mest sårbare brugerkonti.
1. Antal aktive brugere med adgangskoder, der aldrig udløber
For enhver angriber at få adgang til en sådan konto er altid en stor succes. Da adgangskoden aldrig udløber, har angriberen et permanent fodfæste i netværket, som så kan bruges til eller bevægelser inden for infrastrukturen.
Angribere har lister over millioner af bruger-adgangskodekombinationer, som de bruger i legitimationsfyldningsangreb, og sandsynligheden er, at
at kombinationen for brugeren med den "evige" adgangskode er i en af disse lister, meget større end nul.
Konti med adgangskoder, der ikke udløber, er nemme at administrere, men de er ikke sikre. Brug denne widget til at finde alle konti, der har sådanne adgangskoder. Skift denne indstilling og opdater din adgangskode.
Når værdien af denne widget er sat til nul, vil alle nye konti, der er oprettet med denne adgangskode, blive vist i dashboardet.
2. Antal administrative konti hos SPN
SPN (Service Principal Name) er en unik identifikator for en tjenesteinstans. Denne widget viser, hvor mange tjenestekonti, der har fulde administratorrettigheder. Værdien på widgetten skal være nul. SPN med administrative rettigheder opstår, fordi tildeling af sådanne rettigheder er bekvemt for softwareleverandører og applikationsadministratorer, men det udgør en sikkerhedsrisiko.
At give servicekontoen administrative rettigheder giver en hacker mulighed for at få fuld adgang til en konto, der ikke er i brug. Det betyder, at angribere med adgang til SPN-konti kan operere frit i infrastrukturen uden at få deres aktiviteter overvåget.
Du kan løse dette problem ved at ændre tilladelserne på tjenestekonti. Sådanne konti bør være underlagt princippet om mindste privilegium og kun have den adgang, der faktisk er nødvendig for deres drift.
Ved at bruge denne widget kan du finde alle SPN'er, der har administrative rettigheder, fjerne sådanne privilegier og derefter overvåge SPN'er ved at bruge det samme princip om mindst privilegeret adgang.
Den nyligt dukkede SPN vil blive vist på dashboardet, og du vil være i stand til at overvåge denne proces.
3. Antal brugere, der ikke kræver Kerberos præ-godkendelse
Ideelt set krypterer Kerberos autentificeringsbilletten ved hjælp af AES-256-kryptering, som forbliver ubrydelig den dag i dag.
Ældre versioner af Kerberos brugte dog RC4-kryptering, som nu kan brydes på få minutter. Denne widget viser, hvilke brugerkonti der stadig bruger RC4. Microsoft understøtter stadig RC4 for bagudkompatibilitet, men det betyder ikke, at du skal bruge det i din AD.
Når du har identificeret sådanne konti, skal du fjerne markeringen i afkrydsningsfeltet "kræver ikke Kerberos forhåndsgodkendelse" i AD for at tvinge konti til at bruge mere sofistikeret kryptering.
Det tager meget tid at opdage disse konti på egen hånd uden Varonis AD-dashboardet. I virkeligheden er det en endnu sværere opgave at være opmærksom på alle konti, der er redigeret til at bruge RC4-kryptering.
Hvis værdien på widgetten ændres, kan dette indikere ulovlig aktivitet.
4. Antal brugere uden adgangskode
Angribere bruger grundlæggende PowerShell-kommandoer til at læse "PASSWD_NOTREQD"-flaget fra AD i kontoegenskaber. Brug af dette flag indikerer, at der ikke er krav til adgangskode eller kompleksitet.
Hvor nemt er det at stjæle en konto med en simpel eller tom adgangskode? Forestil dig nu, at en af disse konti er en administrator.
Hvad hvis en af de tusindvis af fortrolige filer, der er åbne for alle, er en kommende finansiel rapport?
At ignorere det obligatoriske adgangskodekrav er en anden systemadministrationsgenvej, der ofte blev brugt tidligere, men som hverken er acceptabel eller sikker i dag.
Løs dette problem ved at opdatere adgangskoderne til disse konti.
Overvågning af denne widget i fremtiden vil hjælpe dig med at undgå konti uden en adgangskode.
Varonis udligner oddsene
Tidligere tog arbejdet med at indsamle og analysere de metrics, der er beskrevet i denne artikel, mange timer og krævede dybt kendskab til PowerShell, hvilket krævede, at sikkerhedsteams allokerede ressourcer til sådanne opgaver hver uge eller måned. Men manuel indsamling og behandling af disse oplysninger giver angribere et forspring til at infiltrere og stjæle data.
С Du vil bruge en dag på at implementere AD-dashboardet og yderligere komponenter, samle alle de diskuterede sårbarheder og mange flere. I fremtiden, under drift, vil overvågningspanelet automatisk blive opdateret, når infrastrukturens tilstand ændres.
At udføre cyberangreb er altid et kapløb mellem angribere og forsvarere, angriberens ønske om at stjæle data, før sikkerhedsspecialister kan blokere adgangen til dem. Tidlig opdagelse af angribere og deres ulovlige aktiviteter, kombineret med stærkt cyberforsvar, er nøglen til at holde dine data sikre.
Kilde: www.habr.com