Todo lo que un atacante necesita es tiempo y motivación para ingresar a su red. Pero nuestro trabajo es evitar que lo haga, o al menos hacer que esta tarea sea lo más difícil posible. Debe comenzar identificando las debilidades en Active Directory (en adelante, AD) que un atacante puede utilizar para obtener acceso y moverse por la red sin ser detectado. Hoy, en este artículo, analizaremos los indicadores de riesgo que reflejan las vulnerabilidades existentes en la ciberdefensa de su organización, utilizando el panel de AD Varonis como ejemplo.
Los atacantes utilizan determinadas configuraciones en el dominio.
Los atacantes utilizan una variedad de técnicas inteligentes y vulnerabilidades para penetrar las redes corporativas y aumentar los privilegios. Algunas de estas vulnerabilidades son ajustes de configuración del dominio que se pueden cambiar fácilmente una vez identificadas.
El panel de AD le alertará inmediatamente si usted (o los administradores de su sistema) no han cambiado la contraseña de KRBTGT en el último mes, o si alguien se ha autenticado con la cuenta de administrador integrada predeterminada. Estas dos cuentas brindan acceso ilimitado a su red: los atacantes intentarán obtener acceso a ellas para eludir fácilmente cualquier restricción en privilegios y permisos de acceso. Y, como resultado, obtienen acceso a cualquier dato que les interese.
Por supuesto, usted mismo puede descubrir estas vulnerabilidades: por ejemplo, configurar un recordatorio en el calendario para verificar o ejecutar un script de PowerShell para recopilar esta información.
El panel de Varonis se está actualizando automáticamente para proporcionar visibilidad y análisis rápidos de métricas clave que resaltan vulnerabilidades potenciales para que pueda tomar medidas inmediatas para abordarlas.
3 indicadores clave de riesgo a nivel de dominio
A continuación se muestran una serie de widgets disponibles en el panel de Varonis, cuyo uso mejorará significativamente la protección de la red corporativa y la infraestructura de TI en su conjunto.
1. Número de dominios para los cuales la contraseña de la cuenta Kerberos no se ha cambiado durante un período de tiempo significativo
La cuenta KRBTGT es una cuenta especial en AD que firma todo . Los atacantes que obtienen acceso a un controlador de dominio (DC) pueden usar esta cuenta para crear , lo que les dará acceso ilimitado a casi cualquier sistema de la red corporativa. Nos encontramos con una situación en la que, después de obtener con éxito un Boleto Dorado, un atacante tuvo acceso a la red de la organización durante dos años. Si la contraseña de la cuenta KRBTGT de su empresa no ha sido modificada en los últimos cuarenta días, el widget se lo notificará.
Cuarenta días es tiempo más que suficiente para que un atacante obtenga acceso a la red. Sin embargo, si aplica y estandariza el proceso de cambio de esta contraseña de forma regular, será mucho más difícil para un atacante ingresar a su red corporativa.
Recuerde que según la implementación del protocolo Kerberos por parte de Microsoft, debe KRBTGT.
En el futuro, este widget AD le recordará cuándo es el momento de cambiar nuevamente la contraseña de KRBTGT para todos los dominios de su red.
2. Número de dominios donde se utilizó recientemente la cuenta de administrador integrada
según — los administradores del sistema cuentan con dos cuentas: la primera es una cuenta para el uso diario y la segunda es para el trabajo administrativo planificado. Esto significa que nadie debería utilizar la cuenta de administrador predeterminada.
La cuenta de administrador integrada se utiliza a menudo para simplificar el proceso de administración del sistema. Esto puede convertirse en un mal hábito y provocar piratería. Si esto sucede en su organización, tendrá dificultades para distinguir entre el uso adecuado de esta cuenta y un acceso potencialmente malicioso.
Si el widget muestra algo distinto de cero, entonces alguien no está trabajando correctamente con las cuentas administrativas. En este caso, debe tomar medidas para corregir y limitar el acceso a la cuenta de administrador integrada.
Una vez que haya alcanzado un valor de widget de cero y los administradores del sistema ya no utilicen esta cuenta para su trabajo, en el futuro, cualquier cambio indicará un posible ciberataque.
3. Número de dominios que no cuentan con un grupo de Usuarios Protegidos
Las versiones anteriores de AD admitían un tipo de cifrado débil: RC4. Los piratas informáticos piratearon RC4 hace muchos años y ahora es una tarea muy trivial para un atacante piratear una cuenta que todavía usa RC4. La versión de Active Directory introducida en Windows Server 2012 introdujo un nuevo tipo de grupo de usuarios llamado Grupo de usuarios protegidos. Proporciona herramientas de seguridad adicionales y evita la autenticación del usuario mediante cifrado RC4.
Este widget demostrará si a algún dominio de la organización le falta dicho grupo para que pueda solucionarlo, es decir, habilitar un grupo de usuarios protegidos y utilizarlo para proteger la infraestructura.
Blancos fáciles para los atacantes
Las cuentas de usuario son el objetivo número uno de los atacantes, desde los intentos iniciales de intrusión hasta la escalada continua de privilegios y el ocultamiento de sus actividades. Los atacantes buscan objetivos simples en su red utilizando comandos básicos de PowerShell que a menudo son difíciles de detectar. Elimine tantos de estos objetivos fáciles de AD como sea posible.
Los atacantes buscan usuarios con contraseñas que nunca caducan (o que no requieren contraseñas), cuentas tecnológicas que sean administradores y cuentas que utilicen cifrado RC4 heredado.
Cualquiera de estas cuentas es de fácil acceso o generalmente no se monitorea. Los atacantes pueden apoderarse de estas cuentas y moverse libremente dentro de su infraestructura.
Una vez que los atacantes traspasen el perímetro de seguridad, probablemente obtendrán acceso a al menos una cuenta. ¿Se puede impedir que obtengan acceso a datos confidenciales antes de que se detecte y contenga el ataque?
El panel de Varonis AD señalará las cuentas de usuario vulnerables para que pueda solucionar problemas de forma proactiva. Cuanto más difícil sea penetrar su red, mayores serán sus posibilidades de neutralizar a un atacante antes de que cause daños graves.
4 indicadores clave de riesgo para cuentas de usuario
A continuación se muestran ejemplos de widgets del panel de Varonis AD que resaltan las cuentas de usuario más vulnerables.
1. Número de usuarios activos con contraseñas que nunca caducan
Que cualquier atacante obtenga acceso a dicha cuenta siempre es un gran éxito. Dado que la contraseña nunca caduca, el atacante tiene un punto de apoyo permanente dentro de la red, que luego puede utilizar para o movimientos dentro de la infraestructura.
Los atacantes tienen listas de millones de combinaciones de usuario y contraseña que utilizan en ataques de relleno de credenciales, y lo más probable es que
que la combinación del usuario con la contraseña “eterna” esté en una de estas listas, mucho mayor que cero.
Las cuentas con contraseñas que no caducan son fáciles de administrar, pero no son seguras. Utilice este widget para encontrar todas las cuentas que tengan dichas contraseñas. Cambie esta configuración y actualice su contraseña.
Una vez que el valor de este widget se establece en cero, cualquier cuenta nueva creada con esa contraseña aparecerá en el panel.
2. Número de cuentas administrativas con SPN
SPN (nombre principal del servicio) es un identificador único de una instancia de servicio. Este widget muestra cuántas cuentas de servicio tienen derechos completos de administrador. El valor del widget debe ser cero. El SPN con derechos administrativos se produce porque otorgar dichos derechos es conveniente para los proveedores de software y administradores de aplicaciones, pero plantea un riesgo de seguridad.
Otorgar derechos administrativos a la cuenta de servicio permite a un atacante obtener acceso completo a una cuenta que no está en uso. Esto significa que los atacantes con acceso a cuentas SPN pueden operar libremente dentro de la infraestructura sin que se supervisen sus actividades.
Puede resolver este problema cambiando los permisos de las cuentas de servicio. Dichas cuentas deben estar sujetas al principio de privilegio mínimo y tener sólo el acceso que sea realmente necesario para su funcionamiento.
Con este widget, puede detectar todos los SPN que tienen derechos administrativos, eliminar dichos privilegios y luego monitorear los SPN utilizando el mismo principio de acceso con privilegios mínimos.
El SPN que aparece recientemente se mostrará en el panel y podrá monitorear este proceso.
3. Número de usuarios que no requieren autenticación previa de Kerberos
Idealmente, Kerberos cifra el ticket de autenticación mediante cifrado AES-256, que sigue siendo irrompible hasta el día de hoy.
Sin embargo, las versiones anteriores de Kerberos utilizaban cifrado RC4, que ahora se puede descifrar en minutos. Este widget muestra qué cuentas de usuario todavía usan RC4. Microsoft todavía admite RC4 para compatibilidad con versiones anteriores, pero eso no significa que deba usarlo en su AD.
Una vez que haya identificado dichas cuentas, debe desmarcar la casilla "no requiere autorización previa de Kerberos" en AD para obligar a las cuentas a utilizar un cifrado más sofisticado.
Descubrir estas cuentas por su cuenta, sin el panel de Varonis AD, lleva mucho tiempo. En realidad, estar al tanto de todas las cuentas que se editan para utilizar el cifrado RC4 es una tarea aún más difícil.
Si el valor del widget cambia, esto puede indicar actividad ilegal.
4. Número de usuarios sin contraseña
Los atacantes usan comandos básicos de PowerShell para leer el indicador "PASSWD_NOTREQD" de AD en las propiedades de la cuenta. El uso de esta bandera indica que no existen requisitos de contraseña ni requisitos de complejidad.
¿Qué tan fácil es robar una cuenta con una contraseña simple o en blanco? Ahora imagina que una de estas cuentas es administrador.
¿Qué pasa si uno de los miles de archivos confidenciales abiertos a todos es un informe financiero próximo?
Ignorar el requisito de contraseña obligatoria es otro atajo de administración del sistema que se usaba con frecuencia en el pasado, pero que hoy en día no es aceptable ni seguro.
Solucione este problema actualizando las contraseñas de estas cuentas.
Monitorear este widget en el futuro le ayudará a evitar cuentas sin contraseña.
Varonis iguala las probabilidades
En el pasado, el trabajo de recopilar y analizar las métricas descritas en este artículo requería muchas horas y requería un conocimiento profundo de PowerShell, lo que requería que los equipos de seguridad asignaran recursos a dichas tareas cada semana o mes. Pero la recopilación y el procesamiento manual de esta información les da a los atacantes una ventaja para infiltrarse y robar datos.
С Dedicará un día a implementar el panel de AD y componentes adicionales, recopilar todas las vulnerabilidades analizadas y mucho más. En el futuro, durante la operación, el panel de monitoreo se actualizará automáticamente a medida que cambie el estado de la infraestructura.
La realización de ciberataques es siempre una carrera entre atacantes y defensores, el deseo del atacante de robar datos antes de que los especialistas en seguridad puedan bloquear el acceso a ellos. La detección temprana de los atacantes y sus actividades ilegales, junto con sólidas defensas cibernéticas, es la clave para mantener sus datos seguros.
Fuente: habr.com