Ĉio, kion atakanto bezonas, estas tempo kaj instigo por eniri vian reton. Sed nia tasko estas malhelpi lin fari tion, aŭ almenaŭ fari ĉi tiun taskon kiel eble plej malfacila. Vi devas komenci identigante malfortojn en Aktiva Dosierujo (ĉi-poste nomataj AD) kiujn atakanto povas uzi por akiri aliron kaj moviĝi ĉirkaŭ la reto sen esti detektita. Hodiaŭ en ĉi tiu artikolo ni rigardos riskajn indikilojn, kiuj reflektas ekzistantajn vundeblecojn en la ciberdefendo de via organizo, uzante la panelon de AD Varonis kiel ekzemplon.
Atakantoj uzas iujn agordojn en la domajno
Atakantoj uzas diversajn lertajn teknikojn kaj vundeblecojn por penetri kompaniajn retojn kaj pligrandigi privilegiojn. Kelkaj el ĉi tiuj vundeblecoj estas domajnaj agordaj agordoj, kiuj povas esti facile ŝanĝitaj post kiam ili estas identigitaj.
La AD-panelo tuj atentigos vin se vi (aŭ viaj sistemaj administrantoj) ne ŝanĝis la KRBTGT-pasvorton en la lasta monato, aŭ se iu aŭtentikigis per la defaŭlta enkonstruita Administranto-konto. Ĉi tiuj du kontoj disponigas senliman aliron al via reto: atakantoj provos akiri aliron al ili por facile preterpasi iujn ajn restriktojn en privilegioj kaj alirpermesoj. Kaj, kiel rezulto, ili ricevas aliron al ajnaj datumoj kiuj interesas ilin.
Kompreneble, vi mem povas malkovri ĉi tiujn vundeblecojn: ekzemple, agordu kalendaran memorigilon por kontroli aŭ ruli PowerShell-skripton por kolekti ĉi tiujn informojn.
Varonis panelo estas ĝisdatigita aŭtomate provizi rapidan videblecon kaj analizon de ŝlosilaj metrikoj, kiuj elstarigas eblajn vundeblecojn, por ke vi povu tuj agi por trakti ilin.
3 Ŝlosilaj Domajnaj Nivelaj Riskaj Indikiloj
Malsupre estas kelkaj fenestraĵoj haveblaj sur la Varonis-panelo, kies uzo signife plibonigos la protekton de la kompania reto kaj IT-infrastrukturo entute.
1. Nombro de domajnoj por kiuj la pasvorto de la konto Kerberos ne estis ŝanĝita dum signifa tempodaŭro
La KRBTGT-konto estas speciala konto en AD, kiu subskribas ĉion . Atakantoj kiuj akiras aliron al domajna regilo (DC) povas uzi ĉi tiun konton por krei , kiu donos al ili senliman aliron al preskaŭ ajna sistemo en la kompania reto. Ni renkontis situacion kie, post sukcese akiri Oran Bileton, atakanto havis aliron al la reto de la organizo dum du jaroj. Se la pasvorto de la konto KRBTGT en via kompanio ne estis ŝanĝita en la lastaj kvardek tagoj, la fenestraĵo sciigos vin pri tio.
Kvardek tagoj estas pli ol sufiĉa tempo por atakanto akiri aliron al la reto. Tamen, se vi devigas kaj normigas la procezon ŝanĝi ĉi tiun pasvorton regule, ĝi multe pli malfacilas por atakanto eniri vian kompanian reton.
Memoru, ke laŭ la efektivigo de Microsoft de la protokolo Kerberos, vi devas KRBTGT.
Estonte, ĉi tiu AD-fenestraĵo memorigos vin kiam estos tempo ŝanĝi la KRBTGT-pasvorton denove por ĉiuj domajnoj en via reto.
2. Nombro de domajnoj kie la enkonstruita Administra konto estis lastatempe uzita
Laŭ — sistemaj administrantoj estas provizitaj per du kontoj: la unua estas konto por ĉiutaga uzo, kaj la dua estas por planita administra laboro. Ĉi tio signifas, ke neniu uzu la defaŭltan administran konton.
La enkonstruita administra konto ofte estas uzata por simpligi la sistemon-administradprocezon. Ĉi tio povas fariĝi malbona kutimo, rezultigante hakadon. Se ĉi tio okazas en via organizo, vi malfacile distingos inter ĝusta uzo de ĉi tiu konto kaj eble malica aliro.
Se la fenestraĵo montras ion alian ol nul, tiam iu ne funkcias ĝuste kun administraj kontoj. En ĉi tiu kazo, vi devas preni paŝojn por korekti kaj limigi aliron al la enkonstruita administra konto.
Post kiam vi atingis uzaĵvaloron de nulo kaj sistemaj administrantoj ne plu uzas ĉi tiun konton por sia laboro, tiam estonte, ajna ŝanĝo al ĝi indikos eblan ciberatakon.
3. Nombro de domajnoj, kiuj ne havas grupon de Protektitaj Uzantoj
Pli malnovaj versioj de AD apogis malfortan ĉifradan tipon - RC4. Hakistoj hakis RC4 antaŭ multaj jaroj, kaj nun estas tre bagatela tasko por atakanto pirati konton kiu ankoraŭ uzas RC4. La versio de Active Directory enkondukita en Windows Server 2012 enkondukis novan specon de uzantgrupo nomita la Protektitaj Uzantoj-Grupo. Ĝi disponigas kromajn sekurecajn ilojn kaj malhelpas uzantan aŭtentikigon per RC4-ĉifrado.
Ĉi tiu fenestraĵo montros ĉu iu domajno en la organizo mankas tian grupon por ke vi povu ripari ĝin, t.e. ebligu grupon de protektitaj uzantoj kaj uzu ĝin por protekti la infrastrukturon.
Facilaj celoj por atakantoj
Uzantkontoj estas la numero unu celo por atakantoj, de komencaj entrudiĝaj provoj ĝis daŭra eskalado de privilegioj kaj kaŝado de siaj agadoj. Atakantoj serĉas simplajn celojn en via reto uzante bazajn PowerShell-komandojn, kiuj estas ofte malfacile detekteblaj. Forigu kiel eble plej multajn el ĉi tiuj facilaj celoj de AD.
Atakantoj serĉas uzantojn kun neniam eksvalidiĝantaj pasvortoj (aŭ kiuj ne postulas pasvortojn), teknologiajn kontojn kiuj estas administrantoj, kaj kontojn kiuj uzas heredaĵan RC4-ĉifradon.
Ajna el ĉi tiuj kontoj estas aŭ bagatela por aliri aŭ ĝenerale ne kontrolata. Atakantoj povas transpreni ĉi tiujn kontojn kaj moviĝi libere ene de via infrastrukturo.
Post kiam atakantoj penetros la sekurecan perimetron, ili verŝajne akiros aliron al almenaŭ unu konto. Ĉu vi povas malhelpi ilin akiri aliron al sentemaj datumoj antaŭ ol la atako estas detektita kaj enhavita?
La panelo de Varonis AD montros vundeblajn uzantkontojn, por ke vi povu solvi problemojn proaktive. Ju pli malfacile estas penetri vian reton, des pli bonaj estas viaj ŝancoj neŭtraligi atakanton antaŭ ol ili kaŭzas gravan damaĝon.
4 Ŝlosilaj Riskaj Indikiloj por Uzantkontoj
Malsupre estas ekzemploj de Varonis AD panelofenestaĵoj kiuj elstarigas la plej vundeblajn uzantkontojn.
1. Nombro de aktivaj uzantoj kun pasvortoj, kiuj neniam eksvalidiĝas
Por iu ajn atakanto akiri aliron al tia konto estas ĉiam granda sukceso. Ĉar la pasvorto neniam eksvalidiĝas, la atakanto havas konstantan piedtenejon ene de la reto, kiu tiam povas esti uzata aŭ movadoj ene de la infrastrukturo.
Atakantoj havas listojn de milionoj da uzant-pasvortaj kombinaĵoj, kiujn ili uzas en akreditplenig-atakoj, kaj la verŝajneco estas tio.
ke la kombinaĵo por la uzanto kun la "eterna" pasvorto estas en unu el ĉi tiuj listoj, multe pli granda ol nulo.
Kontoj kun neeksvalidiĝantaj pasvortoj estas facile administreblaj, sed ili ne estas sekuraj. Uzu ĉi tiun fenestraĵon por trovi ĉiujn kontojn, kiuj havas tiajn pasvortojn. Ŝanĝu ĉi tiun agordon kaj ĝisdatigu vian pasvorton.
Post kiam la valoro de ĉi tiu fenestraĵo estas agordita al nulo, ĉiuj novaj kontoj kreitaj per tiu pasvorto aperos en la panelo.
2. Nombro de administraj kontoj kun SPN
SPN (Serva Ĉefnomo) estas unika identigilo de servokazaĵo. Ĉi tiu fenestraĵo montras kiom da servokontoj havas plenajn administrantajn rajtojn. La valoro sur la fenestraĵo devas esti nul. SPN kun administraj rajtoj okazas ĉar doni tiajn rajtojn estas oportuna por softvarvendistoj kaj aplikaĵadministrantoj, sed ĝi prezentas sekurecan riskon.
Doni al la servokonto administrajn rajtojn permesas al atakanto akiri plenan aliron al konto kiu ne estas uzata. Ĉi tio signifas, ke atakantoj kun aliro al SPN-kontoj povas funkcii libere ene de la infrastrukturo sen havi siajn agadojn monitoritaj.
Vi povas solvi ĉi tiun problemon ŝanĝante la permesojn pri servokontoj. Tiaj kontoj devus esti submetitaj al la principo de malplej privilegio kaj havi nur la aliron kiu estas fakte necesa por ilia funkciado.
Uzante ĉi tiun fenestraĵon, vi povas detekti ĉiujn SPN-ojn, kiuj havas administrajn rajtojn, forigi tiajn privilegiojn, kaj poste kontroli SPN-ojn uzante la saman principon de malplej privilegia aliro.
La lastatempe aperanta SPN estos montrata sur la panelo, kaj vi povos kontroli ĉi tiun procezon.
3. Nombro de uzantoj, kiuj ne postulas Kerberos-pre-aŭtentikigon
Ideale, Kerberos ĉifras la aŭtentikigbileton per AES-256-ĉifrado, kiu restas nerompebla ĝis hodiaŭ.
Tamen, pli malnovaj versioj de Kerberos uzis RC4-ĉifradon, kiu nun povas esti rompita en minutoj. Ĉi tiu fenestraĵo montras, kiuj uzantkontoj ankoraŭ uzas RC4. Microsoft ankoraŭ subtenas RC4 por retrokongruo, sed tio ne signifas, ke vi devas uzi ĝin en via AD.
Post kiam vi identigis tiajn kontojn, vi devas malmarki la markobutonon "ne postulas Kerberos antaŭ-rajtigon" en AD por devigi la kontojn uzi pli kompleksan ĉifradon.
Malkovri ĉi tiujn kontojn memstare, sen la panelo de Varonis AD, postulas multan tempon. En realeco, esti konscia pri ĉiuj kontoj, kiuj estas redaktitaj por uzi RC4-ĉifradon, estas eĉ pli malfacila tasko.
Se la valoro sur la fenestraĵo ŝanĝiĝas, tio povas indiki kontraŭleĝan agadon.
4. Nombro de uzantoj sen pasvorto
Atakantoj uzas bazajn PowerShell-komandojn por legi la flagon "PASSWD_NOTREQD" de AD en kontaj propraĵoj. Uzo de ĉi tiu flago indikas ke ekzistas neniuj pasvortpostuloj aŭ kompleksecpostuloj.
Kiom facile estas ŝteli konton kun simpla aŭ malplena pasvorto? Nun imagu, ke unu el ĉi tiuj kontoj estas administranto.
Kio se unu el la miloj da konfidencaj dosieroj malfermitaj al ĉiuj estas venonta financa raporto?
Ignori la devigan pasvortan postulon estas alia sistemadministra ŝparvojo, kiu estis ofte uzata en la pasinteco, sed estas nek akceptebla nek sekura hodiaŭ.
Riparu ĉi tiun problemon ĝisdatigante la pasvortojn por ĉi tiuj kontoj.
Monitori ĉi tiun fenestraĵon estonte helpos vin eviti kontojn sen pasvorto.
Varonis egaligas la probablecon
En la pasinteco, la laboro de kolektado kaj analizo de la metrikoj priskribitaj en ĉi tiu artikolo daŭris multajn horojn kaj postulis profundan scion pri PowerShell, postulante sekurecajn teamojn asigni rimedojn al tiaj taskoj ĉiun semajnon aŭ monaton. Sed mana kolektado kaj prilaborado de ĉi tiuj informoj donas al atakantoj eblon por enfiltri kaj ŝteli datumojn.
С Vi pasigos unu tagon por disfaldi la AD-panelon kaj pliajn komponantojn, kolekti ĉiujn diskutitajn vundeblecojn kaj multajn pli. En la estonteco, dum operacio, la monitora panelo estos aŭtomate ĝisdatigita kiam la stato de la infrastrukturo ŝanĝiĝos.
Fari ciberatakojn ĉiam estas vetkuro inter atakantoj kaj defendantoj, la deziro de la atakanto ŝteli datumojn antaŭ ol specialistoj pri sekureco povas bloki aliron al ĝi. Frua detekto de atakantoj kaj iliaj kontraŭleĝaj agadoj, kune kun fortaj ciberdefendoj, estas la ŝlosilo por konservi viajn datumojn sekuraj.
fonto: www.habr.com