Το μόνο που χρειάζεται ένας εισβολέας είναι χρόνος και κίνητρο για να εισχωρήσει στο δίκτυό σας. Αλλά η δουλειά μας είναι να τον αποτρέψουμε από το να το κάνει αυτό, ή τουλάχιστον να κάνουμε αυτό το έργο όσο το δυνατόν πιο δύσκολο. Πρέπει να ξεκινήσετε εντοπίζοντας αδυναμίες στην υπηρεσία καταλόγου Active Directory (εφεξής AD) που μπορεί να χρησιμοποιήσει ένας εισβολέας για να αποκτήσει πρόσβαση και να μετακινηθεί στο δίκτυο χωρίς να εντοπιστεί. Σήμερα σε αυτό το άρθρο θα εξετάσουμε δείκτες κινδύνου που αντικατοπτρίζουν τις υπάρχουσες ευπάθειες στην κυβερνοάμυνα του οργανισμού σας, χρησιμοποιώντας ως παράδειγμα τον πίνακα ελέγχου AD Varonis.
Οι εισβολείς χρησιμοποιούν ορισμένες διαμορφώσεις στον τομέα
Οι εισβολείς χρησιμοποιούν μια ποικιλία έξυπνων τεχνικών και τρωτών σημείων για να διεισδύσουν στα εταιρικά δίκτυα και να κλιμακώσουν τα προνόμια. Ορισμένα από αυτά τα τρωτά σημεία είναι ρυθμίσεις διαμόρφωσης τομέα που μπορούν εύκολα να αλλάξουν μόλις εντοπιστούν.
Ο πίνακας ελέγχου AD θα σας ειδοποιήσει αμέσως εάν εσείς (ή οι διαχειριστές του συστήματός σας) δεν έχετε αλλάξει τον κωδικό πρόσβασης KRBTGT τον τελευταίο μήνα ή εάν κάποιος έχει πραγματοποιήσει έλεγχο ταυτότητας με τον προεπιλεγμένο ενσωματωμένο λογαριασμό διαχειριστή. Αυτοί οι δύο λογαριασμοί παρέχουν απεριόριστη πρόσβαση στο δίκτυό σας: οι εισβολείς θα προσπαθήσουν να αποκτήσουν πρόσβαση σε αυτούς για να παρακάμψουν εύκολα τυχόν περιορισμούς σε προνόμια και δικαιώματα πρόσβασης. Και, ως αποτέλεσμα, έχουν πρόσβαση σε οποιαδήποτε δεδομένα τους ενδιαφέρουν.
Φυσικά, μπορείτε να ανακαλύψετε μόνοι σας αυτά τα τρωτά σημεία: για παράδειγμα, ορίστε μια υπενθύμιση ημερολογίου για να ελέγξετε ή να εκτελέσετε ένα σενάριο PowerShell για τη συλλογή αυτών των πληροφοριών.
Ο πίνακας ελέγχου Varonis ενημερώνεται αυτόματα να παρέχει γρήγορη ορατότητα και ανάλυση βασικών μετρήσεων που υπογραμμίζουν πιθανές ευπάθειες, ώστε να μπορείτε να λάβετε άμεσα μέτρα για την αντιμετώπισή τους.
3 Βασικοί δείκτες κινδύνου σε επίπεδο τομέα
Ακολουθεί μια σειρά από widgets που είναι διαθέσιμα στο ταμπλό Varonis, η χρήση των οποίων θα ενισχύσει σημαντικά την προστασία του εταιρικού δικτύου και της υποδομής πληροφορικής στο σύνολό της.
1. Αριθμός τομέων για τους οποίους ο κωδικός πρόσβασης του λογαριασμού Kerberos δεν έχει αλλάξει για σημαντικό χρονικό διάστημα
Ο λογαριασμός KRBTGT είναι ένας ειδικός λογαριασμός στο AD που υπογράφει τα πάντα . Οι εισβολείς που αποκτούν πρόσβαση σε έναν ελεγκτή τομέα (DC) μπορούν να χρησιμοποιήσουν αυτόν τον λογαριασμό για να δημιουργήσουν , που θα τους δώσει απεριόριστη πρόσβαση σε σχεδόν οποιοδήποτε σύστημα στο εταιρικό δίκτυο. Συναντήσαμε μια κατάσταση όπου, μετά την επιτυχή απόκτηση ενός Χρυσού Εισιτηρίου, ένας εισβολέας είχε πρόσβαση στο δίκτυο του οργανισμού για δύο χρόνια. Εάν ο κωδικός πρόσβασης του λογαριασμού KRBTGT στην εταιρεία σας δεν έχει αλλάξει τις τελευταίες σαράντα ημέρες, το γραφικό στοιχείο θα σας ειδοποιήσει σχετικά.
Σαράντα ημέρες είναι περισσότερο από αρκετός χρόνος για έναν εισβολέα να αποκτήσει πρόσβαση στο δίκτυο. Ωστόσο, εάν επιβάλλετε και τυποποιείτε τη διαδικασία αλλαγής αυτού του κωδικού πρόσβασης σε τακτική βάση, θα είναι πολύ πιο δύσκολο για έναν εισβολέα να εισβάλει στο εταιρικό σας δίκτυο.
Να θυμάστε ότι σύμφωνα με την εφαρμογή του πρωτοκόλλου Kerberos από τη Microsoft, πρέπει KRBTGT.
Στο μέλλον, αυτό το γραφικό στοιχείο AD θα σας υπενθυμίζει πότε είναι ώρα να αλλάξετε ξανά τον κωδικό πρόσβασης KRBTGT για όλους τους τομείς στο δίκτυό σας.
2. Αριθμός τομέων στους οποίους χρησιμοποιήθηκε πρόσφατα ο ενσωματωμένος λογαριασμός διαχειριστή
Σύμφωνα με — Οι διαχειριστές συστήματος διαθέτουν δύο λογαριασμούς: ο πρώτος είναι ένας λογαριασμός για καθημερινή χρήση και ο δεύτερος για προγραμματισμένη διοικητική εργασία. Αυτό σημαίνει ότι κανείς δεν πρέπει να χρησιμοποιεί τον προεπιλεγμένο λογαριασμό διαχειριστή.
Ο ενσωματωμένος λογαριασμός διαχειριστή χρησιμοποιείται συχνά για την απλοποίηση της διαδικασίας διαχείρισης του συστήματος. Αυτό μπορεί να γίνει κακή συνήθεια, με αποτέλεσμα το hacking. Εάν συμβεί αυτό στον οργανισμό σας, θα δυσκολευτείτε να διακρίνετε μεταξύ της σωστής χρήσης αυτού του λογαριασμού και της δυνητικά κακόβουλης πρόσβασης.
Εάν το γραφικό στοιχείο εμφανίζει κάτι διαφορετικό από το μηδέν, τότε κάποιος δεν λειτουργεί σωστά με λογαριασμούς διαχειριστή. Σε αυτήν την περίπτωση, πρέπει να λάβετε μέτρα για τη διόρθωση και τον περιορισμό της πρόσβασης στον ενσωματωμένο λογαριασμό διαχειριστή.
Μόλις επιτύχετε μια τιμή γραφικού στοιχείου μηδέν και οι διαχειριστές του συστήματος δεν χρησιμοποιούν πλέον αυτόν τον λογαριασμό για την εργασία τους, τότε στο μέλλον, οποιαδήποτε αλλαγή σε αυτόν θα υποδηλώνει πιθανή επίθεση στον κυβερνοχώρο.
3. Αριθμός τομέων που δεν έχουν ομάδα Προστατευμένων Χρηστών
Οι παλαιότερες εκδόσεις του AD υποστήριζαν έναν αδύναμο τύπο κρυπτογράφησης - RC4. Οι χάκερ χάκαραν το RC4 πριν από πολλά χρόνια και τώρα είναι πολύ ασήμαντο έργο για έναν εισβολέα να χακάρει έναν λογαριασμό που εξακολουθεί να χρησιμοποιεί το RC4. Η έκδοση του Active Directory που παρουσιάστηκε στον Windows Server 2012 εισήγαγε έναν νέο τύπο ομάδας χρηστών που ονομάζεται Ομάδα προστατευμένων χρηστών. Παρέχει πρόσθετα εργαλεία ασφαλείας και αποτρέπει τον έλεγχο ταυτότητας χρήστη με χρήση κρυπτογράφησης RC4.
Αυτό το γραφικό στοιχείο θα δείξει εάν σε κάποιον τομέα στον οργανισμό λείπει μια τέτοια ομάδα, ώστε να μπορείτε να το διορθώσετε, π.χ. ενεργοποιήστε μια ομάδα προστατευμένων χρηστών και χρησιμοποιήστε την για την προστασία της υποδομής.
Εύκολοι στόχοι για επιτιθέμενους
Οι λογαριασμοί χρηστών είναι ο νούμερο ένα στόχος για τους εισβολείς, από τις αρχικές προσπάθειες εισβολής έως τη συνεχή κλιμάκωση των προνομίων και την απόκρυψη των δραστηριοτήτων τους. Οι εισβολείς αναζητούν απλούς στόχους στο δίκτυό σας χρησιμοποιώντας βασικές εντολές PowerShell που συχνά είναι δύσκολο να εντοπιστούν. Καταργήστε όσο το δυνατόν περισσότερους από αυτούς τους εύκολους στόχους από το AD.
Οι εισβολείς αναζητούν χρήστες με κωδικούς πρόσβασης που δεν λήγουν ποτέ (ή που δεν απαιτούν κωδικούς πρόσβασης), λογαριασμούς τεχνολογίας που είναι διαχειριστές και λογαριασμούς που χρησιμοποιούν κρυπτογράφηση παλαιού τύπου RC4.
Οποιοσδήποτε από αυτούς τους λογαριασμούς είναι είτε ασήμαντος για πρόσβαση είτε γενικά δεν παρακολουθείται. Οι εισβολείς μπορούν να αναλάβουν αυτούς τους λογαριασμούς και να κινούνται ελεύθερα εντός της υποδομής σας.
Μόλις οι εισβολείς διεισδύσουν στην περίμετρο ασφαλείας, πιθανότατα θα αποκτήσουν πρόσβαση σε τουλάχιστον έναν λογαριασμό. Μπορείτε να τους εμποδίσετε να έχουν πρόσβαση σε ευαίσθητα δεδομένα προτού εντοπίσετε και μετριάσετε την επίθεση;
Ο πίνακας ελέγχου Varonis AD θα επισημαίνει ευάλωτους λογαριασμούς χρηστών, ώστε να μπορείτε να αντιμετωπίζετε προβλήματα προληπτικά. Όσο πιο δύσκολο είναι να διεισδύσετε στο δίκτυό σας, τόσο περισσότερες πιθανότητες έχετε να εξουδετερώσετε έναν εισβολέα προτού προκαλέσει σοβαρή ζημιά.
4 Βασικοί δείκτες κινδύνου για λογαριασμούς χρηστών
Ακολουθούν παραδείγματα γραφικών στοιχείων πίνακα ελέγχου Varonis AD που επισημαίνουν τους πιο ευάλωτους λογαριασμούς χρηστών.
1. Αριθμός ενεργών χρηστών με κωδικούς πρόσβασης που δεν λήγουν ποτέ
Για κάθε εισβολέα να αποκτήσει πρόσβαση σε έναν τέτοιο λογαριασμό είναι πάντα μεγάλη επιτυχία. Δεδομένου ότι ο κωδικός πρόσβασης δεν λήγει ποτέ, ο εισβολέας έχει μια μόνιμη βάση μέσα στο δίκτυο, το οποίο μπορεί στη συνέχεια να χρησιμοποιηθεί ή κινήσεις εντός της υποδομής.
Οι εισβολείς έχουν λίστες με εκατομμύρια συνδυασμούς κωδικών πρόσβασης χρήστη που χρησιμοποιούν σε επιθέσεις γεμίσματος διαπιστευτηρίων και η πιθανότητα είναι ότι
ότι ο συνδυασμός για τον χρήστη με τον «αιώνιο» κωδικό πρόσβασης βρίσκεται σε μία από αυτές τις λίστες, πολύ μεγαλύτερος από το μηδέν.
Οι λογαριασμοί με κωδικούς πρόσβασης που δεν λήγουν είναι εύκολος στη διαχείριση, αλλά δεν είναι ασφαλείς. Χρησιμοποιήστε αυτό το γραφικό στοιχείο για να βρείτε όλους τους λογαριασμούς που έχουν τέτοιους κωδικούς πρόσβασης. Αλλάξτε αυτήν τη ρύθμιση και ενημερώστε τον κωδικό πρόσβασής σας.
Μόλις η τιμή αυτού του γραφικού στοιχείου μηδενιστεί, τυχόν νέοι λογαριασμοί που δημιουργήθηκαν με αυτόν τον κωδικό πρόσβασης θα εμφανιστούν στον πίνακα εργαλείων.
2. Αριθμός λογαριασμών διαχείρισης με SPN
Το SPN (Service Principal Name) είναι ένα μοναδικό αναγνωριστικό μιας παρουσίας υπηρεσίας. Αυτό το γραφικό στοιχείο δείχνει πόσοι λογαριασμοί υπηρεσιών έχουν πλήρη δικαιώματα διαχειριστή. Η τιμή στο γραφικό στοιχείο πρέπει να είναι μηδέν. Το SPN με δικαιώματα διαχειριστή προκύπτει επειδή η παραχώρηση τέτοιων δικαιωμάτων είναι βολική για τους προμηθευτές λογισμικού και τους διαχειριστές εφαρμογών, αλλά ενέχει κίνδυνο ασφάλειας.
Η εκχώρηση δικαιωμάτων διαχείρισης στον λογαριασμό υπηρεσίας επιτρέπει σε έναν εισβολέα να αποκτήσει πλήρη πρόσβαση σε έναν λογαριασμό που δεν χρησιμοποιείται. Αυτό σημαίνει ότι οι εισβολείς με πρόσβαση σε λογαριασμούς SPN μπορούν να λειτουργούν ελεύθερα εντός της υποδομής χωρίς να παρακολουθούνται οι δραστηριότητές τους.
Μπορείτε να επιλύσετε αυτό το ζήτημα αλλάζοντας τα δικαιώματα σε λογαριασμούς υπηρεσιών. Αυτοί οι λογαριασμοί θα πρέπει να υπόκεινται στην αρχή του ελάχιστου προνομίου και να έχουν μόνο την πρόσβαση που είναι πραγματικά απαραίτητη για τη λειτουργία τους.
Χρησιμοποιώντας αυτό το γραφικό στοιχείο, μπορείτε να εντοπίσετε όλα τα SPN που έχουν δικαιώματα διαχειριστή, να καταργήσετε τέτοια δικαιώματα και, στη συνέχεια, να παρακολουθήσετε τα SPN χρησιμοποιώντας την ίδια αρχή της λιγότερο προνομιακής πρόσβασης.
Το SPN που εμφανίστηκε πρόσφατα θα εμφανιστεί στον πίνακα εργαλείων και θα μπορείτε να παρακολουθείτε αυτήν τη διαδικασία.
3. Αριθμός χρηστών που δεν απαιτούν προέλεγχο Kerberos
Στην ιδανική περίπτωση, η Kerberos κρυπτογραφεί το εισιτήριο ελέγχου ταυτότητας χρησιμοποιώντας την κρυπτογράφηση AES-256, η οποία παραμένει άθραυστη μέχρι σήμερα.
Ωστόσο, παλαιότερες εκδόσεις του Kerberos χρησιμοποιούσαν κρυπτογράφηση RC4, η οποία πλέον μπορεί να σπάσει μέσα σε λίγα λεπτά. Αυτό το γραφικό στοιχείο δείχνει ποιοι λογαριασμοί χρηστών εξακολουθούν να χρησιμοποιούν το RC4. Η Microsoft εξακολουθεί να υποστηρίζει το RC4 για συμβατότητα προς τα πίσω, αλλά αυτό δεν σημαίνει ότι πρέπει να το χρησιμοποιήσετε στη διαφήμισή σας.
Αφού εντοπίσετε τέτοιους λογαριασμούς, πρέπει να καταργήσετε την επιλογή του πλαισίου ελέγχου "δεν απαιτείται προέγκριση Kerberos" στο AD για να αναγκάσετε τους λογαριασμούς να χρησιμοποιούν πιο εξελιγμένη κρυπτογράφηση.
Η ανακάλυψη αυτών των λογαριασμών μόνος σας, χωρίς τον πίνακα ελέγχου Varonis AD, απαιτεί πολύ χρόνο. Στην πραγματικότητα, η γνώση όλων των λογαριασμών που επεξεργάζονται για να χρησιμοποιούν κρυπτογράφηση RC4 είναι ένα ακόμη πιο δύσκολο έργο.
Εάν αλλάξει η τιμή στο γραφικό στοιχείο, αυτό μπορεί να υποδεικνύει παράνομη δραστηριότητα.
4. Αριθμός χρηστών χωρίς κωδικό πρόσβασης
Οι εισβολείς χρησιμοποιούν βασικές εντολές του PowerShell για να διαβάσουν τη σημαία "PASSWD_NOTREQD" από το AD στις ιδιότητες του λογαριασμού. Η χρήση αυτής της σημαίας υποδεικνύει ότι δεν υπάρχουν απαιτήσεις κωδικού πρόσβασης ή απαιτήσεις πολυπλοκότητας.
Πόσο εύκολο είναι να κλέψεις έναν λογαριασμό με απλό ή κενό κωδικό πρόσβασης; Τώρα φανταστείτε ότι ένας από αυτούς τους λογαριασμούς είναι διαχειριστής.
Τι θα συμβεί αν ένα από τα χιλιάδες εμπιστευτικά αρχεία που είναι ανοιχτά σε όλους είναι μια επερχόμενη οικονομική έκθεση;
Η παράβλεψη της υποχρεωτικής απαίτησης κωδικού πρόσβασης είναι μια άλλη συντόμευση διαχείρισης συστήματος που χρησιμοποιούνταν συχνά στο παρελθόν, αλλά δεν είναι ούτε αποδεκτή ούτε ασφαλής σήμερα.
Διορθώστε αυτό το πρόβλημα ενημερώνοντας τους κωδικούς πρόσβασης για αυτούς τους λογαριασμούς.
Η παρακολούθηση αυτού του γραφικού στοιχείου στο μέλλον θα σας βοηθήσει να αποφύγετε λογαριασμούς χωρίς κωδικό πρόσβασης.
Ο Βαρώνης ισοφαρίζει τις πιθανότητες
Στο παρελθόν, η εργασία συλλογής και ανάλυσης των μετρήσεων που περιγράφονται σε αυτό το άρθρο χρειαζόταν πολλές ώρες και απαιτούσε βαθιά γνώση του PowerShell, απαιτώντας από τις ομάδες ασφαλείας να κατανέμουν πόρους σε τέτοιες εργασίες κάθε εβδομάδα ή μήνα. Αλλά η μη αυτόματη συλλογή και επεξεργασία αυτών των πληροφοριών δίνει στους εισβολείς το προβάδισμα για διείσδυση και κλοπή δεδομένων.
С Θα αφιερώσετε μια μέρα για να αναπτύξετε τον πίνακα ελέγχου AD και πρόσθετα στοιχεία, να συλλέξετε όλα τα τρωτά σημεία που συζητήθηκαν και πολλά άλλα. Στο μέλλον, κατά τη λειτουργία, ο πίνακας παρακολούθησης θα ενημερώνεται αυτόματα καθώς αλλάζει η κατάσταση της υποδομής.
Η διεξαγωγή επιθέσεων στον κυβερνοχώρο είναι πάντα μια κούρσα μεταξύ επιτιθέμενων και υπερασπιστών, η επιθυμία του εισβολέα να κλέψει δεδομένα προτού οι ειδικοί ασφαλείας μπορούν να εμποδίσουν την πρόσβαση σε αυτά. Ο έγκαιρος εντοπισμός των επιτιθέμενων και των παράνομων δραστηριοτήτων τους, σε συνδυασμό με ισχυρή άμυνα στον κυβερνοχώρο, είναι το κλειδί για τη διατήρηση των δεδομένων σας ασφαλή.
Πηγή: www.habr.com