Ründaja vajab teie võrku sissemurdmiseks vaid aega ja motivatsiooni. Kuid meie ülesanne on takistada tal seda tegemast või vähemalt muuta see ülesanne võimalikult keeruliseks. Alustuseks peate tuvastama Active Directory (edaspidi AD) nõrkused, mida ründaja saab kasutada võrgule juurdepääsu saamiseks ja ilma tuvastamata liikumiseks. Tänases artiklis vaatleme riskinäitajaid, mis kajastavad teie organisatsiooni küberkaitse olemasolevaid haavatavusi, kasutades näitena AD Varonise armatuurlauda.
Ründajad kasutavad domeenis teatud konfiguratsioone
Ründajad kasutavad ettevõtte võrkudesse tungimiseks ja õiguste suurendamiseks mitmesuguseid nutikaid tehnikaid ja turvaauke. Mõned neist haavatavustest on domeeni konfiguratsiooniseaded, mida saab pärast nende tuvastamist hõlpsasti muuta.
AD armatuurlaud annab teile kohe märku, kui te (või teie süsteemiadministraatorid) pole viimase kuu jooksul KRBTGT parooli muutnud või kui keegi on autentinud vaikimisi sisseehitatud administraatori kontoga. Need kaks kontot pakuvad piiramatut juurdepääsu teie võrgule: ründajad püüavad neile juurdepääsu saada, et hõlpsalt mööda minna kõigist privileegide ja juurdepääsulubade piirangutest. Selle tulemusena saavad nad juurdepääsu kõigile neile huvipakkuvatele andmetele.
Loomulikult saate need haavatavused ise avastada: näiteks seadistage kalendri meeldetuletus selle teabe kogumiseks või käivitage PowerShelli skript.
Varonise armatuurlauda värskendatakse automaatselt et pakkuda kiiret nähtavust ja analüüsi peamistest mõõdikutest, mis tõstavad esile võimalikud haavatavused, et saaksite nende kõrvaldamiseks kohe tegutseda.
3 peamist domeenitaseme riskinäitajat
Allpool on mitmeid Varonise armatuurlaual saadaolevaid vidinaid, mille kasutamine tõstab oluliselt ettevõtte võrgu ja IT-taristu kui terviku kaitset.
1. Domeenide arv, mille Kerberose konto parooli pole pikka aega muudetud
KRBTGT konto on AD-s spetsiaalne konto, mis allkirjastab kõik . Ründajad, kes saavad juurdepääsu domeenikontrollerile (DC), saavad seda kontot luua , mis annab neile piiramatu juurdepääsu peaaegu igale ettevõtte võrgu süsteemile. Kohtasime olukorda, kus pärast kuldse pileti edukat saamist oli ründajal kaks aastat juurdepääs organisatsiooni võrgule. Kui teie ettevõttes pole KRBTGT konto parooli viimase neljakümne päeva jooksul muudetud, teavitab vidin teid sellest.
Nelikümmend päeva on rohkem kui piisav aeg, et ründaja saaks võrgule juurdepääsu. Kui aga jõustate ja standardite selle parooli korrapärase muutmise protsessi, muudab see ründaja jaoks teie ettevõtte võrku sissemurdmise palju keerulisemaks.
Pidage meeles, et vastavalt Microsofti Kerberose protokolli juurutamisele peate seda tegema KRBTGT.
Tulevikus tuletab see AD-vidin teile meelde, kui on aeg kõigi teie võrgu domeenide KRBTGT-parool uuesti muuta.
2. Domeenide arv, kus hiljuti kasutati sisseehitatud administraatori kontot
Vastavalt — süsteemiadministraatorid on varustatud kahe kontoga: esimene on igapäevaseks kasutamiseks ja teine plaanipäraseks haldustööks. See tähendab, et keegi ei tohiks kasutada administraatori vaikekontot.
Sisseehitatud administraatori kontot kasutatakse sageli süsteemi haldusprotsessi lihtsustamiseks. Sellest võib saada halb harjumus, mille tulemuseks on häkkimine. Kui see juhtub teie organisatsioonis, on teil raskusi selle konto õige kasutamise ja võimaliku pahatahtliku juurdepääsu vahel eristamisel.
Kui vidin näitab midagi muud peale nulli, siis keegi ei tööta administraatorikontodega õigesti. Sel juhul peate astuma samme sisseehitatud administraatorikonto parandamiseks ja juurdepääsu piiramiseks.
Kui olete saavutanud vidina väärtuse nulli ja süsteemiadministraatorid seda kontot enam oma tööks ei kasuta, viitavad edaspidi kõik selle muudatused potentsiaalsele küberrünnakule.
3. Domeenide arv, millel ei ole kaitstud kasutajate rühma
AD vanemad versioonid toetasid nõrka krüpteerimistüüpi - RC4. Häkkerid häkkisid RC4-le palju aastaid tagasi ja nüüd on ründaja jaoks väga triviaalne ülesanne häkkida kontot, mis kasutab endiselt RC4-d. Windows Server 2012-s kasutusele võetud Active Directory versioon tutvustas uut tüüpi kasutajarühma, mida nimetatakse kaitstud kasutajate rühmaks. See pakub täiendavaid turbetööriistu ja takistab kasutaja autentimist RC4-krüptimise abil.
See vidin näitab, kas organisatsiooni mõnel domeenil on selline grupp puudu, et saaksite selle parandada, st. võimaldada kaitstud kasutajate rühm ja kasutada seda infrastruktuuri kaitsmiseks.
Lihtsad sihtmärgid ründajatele
Kasutajakontod on ründajate jaoks sihtmärk number üks, alates esialgsetest sissetungimiskatsetest kuni õiguste jätkuva suurendamise ja nende tegevuse varjamiseni. Ründajad otsivad teie võrgust lihtsaid sihtmärke PowerShelli põhikäskude abil, mida on sageli raske tuvastada. Eemaldage AD-st võimalikult palju neid lihtsaid sihtmärke.
Ründajad otsivad kasutajaid, kellel on aeguvad paroolid (või kes ei nõua paroole), tehnoloogiakontosid, mis on administraatorid, ja kontosid, mis kasutavad pärand-RC4-krüptimist.
Kõik need kontod on kas triviaalsed juurdepääsetavad või üldiselt neid ei jälgita. Ründajad saavad need kontod üle võtta ja teie infrastruktuuris vabalt liikuda.
Kui ründajad tungivad turvapiirkonda, saavad nad tõenäoliselt juurdepääsu vähemalt ühele kontole. Kas saate takistada neil juurdepääsu tundlikele andmetele enne, kui rünnak avastatakse ja ohjeldatakse?
Varonis AD armatuurlaud osutab haavatavatele kasutajakontodele, et saaksite probleeme ennetavalt tõrkeotsingut teha. Mida keerulisem on teie võrku tungida, seda paremad on teie võimalused ründaja neutraliseerida enne, kui nad tõsiseid kahjustusi tekitavad.
4 kasutajakontode peamist riskinäitajat
Allpool on näited Varonis AD armatuurlaua vidinatest, mis tõstavad esile kõige haavatavamad kasutajakontod.
1. Aktiivsete kasutajate arv, kelle paroolid ei aegu
Iga ründaja jaoks on sellisele kontole juurdepääs alati suur edu. Kuna parool ei aegu kunagi, on ründajal võrgus alaline tugipunkt, mida saab seejärel kasutada või liikumist infrastruktuuri sees.
Ründajatel on loendid miljonitest kasutaja-paroolikombinatsioonidest, mida nad mandaadi täitmise rünnakutes kasutavad, ja on tõenäoline, et
et kasutaja kombinatsioon "igavese" parooliga on ühes neist loenditest, palju suurem kui null.
Aegumatute paroolidega kontosid on lihtne hallata, kuid need pole turvalised. Kasutage seda vidinat kõigi selliste paroolidega kontode leidmiseks. Muutke seda seadet ja värskendage oma parooli.
Kui selle vidina väärtuseks on seatud null, kuvatakse armatuurlaual kõik selle parooliga loodud uued kontod.
2. SPN-iga halduskontode arv
SPN (teenuse põhinimi) on teenuse eksemplari kordumatu identifikaator. See vidin näitab, kui paljudel teenusekontodel on täielikud administraatoriõigused. Vidina väärtus peab olema null. Administraatoriõigustega SPN tekib seetõttu, et selliste õiguste andmine on tarkvaramüüjatele ja rakenduste administraatoritele mugav, kuid kujutab endast turvariski.
Teenusekontole administraatoriõiguste andmine võimaldab ründajal saada täieliku juurdepääsu kontole, mida ei kasutata. See tähendab, et SPN-i kontodele juurdepääsu omavad ründajad saavad infrastruktuuris vabalt tegutseda, ilma et nende tegevust jälgitaks.
Saate selle probleemi lahendada, muutes teenusekontode õigusi. Selliste kontode suhtes tuleks kohaldada vähimate privileegide põhimõtet ja neil peaks olema ainult nende toimimiseks tegelikult vajalik juurdepääs.
Selle vidina abil saate tuvastada kõik SPN-id, millel on administraatoriõigused, need õigused eemaldada ja seejärel jälgida SPN-e, kasutades sama vähima privilegeeritud juurdepääsu põhimõtet.
Äsja ilmunud SPN kuvatakse armatuurlaual ja saate seda protsessi jälgida.
3. Kasutajate arv, kes ei vaja Kerberose eelautentimist
Ideaalis krüpteerib Kerberos autentimispileti, kasutades AES-256 krüptimist, mis on tänaseni purunematu.
Kerberose vanemad versioonid kasutasid aga RC4 krüptimist, mida saab nüüd minutitega murda. See vidin näitab, millised kasutajakontod kasutavad endiselt RC4. Microsoft toetab tagasiühilduvuse tagamiseks endiselt RC4-d, kuid see ei tähenda, et peaksite seda oma reklaamis kasutama.
Kui olete sellised kontod tuvastanud, peate AD-s tühjendama märkeruudu "ei nõua Kerberose eelvolitamist", et sundida kontosid kasutama keerukamat krüptimist.
Nende kontode avastamine iseseisvalt, ilma Varonis AD armatuurlauata, võtab palju aega. Tegelikkuses on veelgi keerulisem ülesanne olla teadlik kõigist kontodest, mis on redigeeritud RC4-krüptimist kasutama.
Kui vidina väärtus muutub, võib see viidata ebaseaduslikule tegevusele.
4. Paroolita kasutajate arv
Ründajad kasutavad põhilisi PowerShelli käske, et lugeda konto atribuutides AD-st lipu „PASSWD_NOTREQD”. Selle lipu kasutamine näitab, et paroolinõuded või keerukusnõuded puuduvad.
Kui lihtne on varastada kontot lihtsa või tühja parooliga? Kujutage nüüd ette, et üks neist kontodest on administraator.
Mis siis, kui üks tuhandetest kõigile avatud konfidentsiaalsetest failidest on peagi ilmuv finantsaruanne?
Kohustusliku paroolinõude eiramine on veel üks süsteemihalduse otsetee, mida varem sageli kasutati, kuid mis pole tänapäeval vastuvõetav ega ohutu.
Selle probleemi lahendamiseks värskendage nende kontode paroole.
Selle vidina jälgimine tulevikus aitab teil vältida paroolita kontosid.
Varonis viigistab koefitsiendid
Varem võttis selles artiklis kirjeldatud mõõdikute kogumine ja analüüsimine palju tunde ja nõudis sügavaid teadmisi PowerShellist, mistõttu tuli turvameeskondadelt iga nädal või kuu sellistele ülesannetele ressursse eraldada. Kuid selle teabe käsitsi kogumine ja töötlemine annab ründajatele edumaa andmete imbumiseks ja varastamiseks.
С Kulutate ühe päeva AD armatuurlaua ja lisakomponentide juurutamiseks, kõigi käsitletud turvaaukude kogumiseks ja palju muud. Edaspidi uuendatakse seirepaneeli töö käigus automaatselt, kui infrastruktuuri olukord muutub.
Küberrünnakute läbiviimine on alati võidujooks ründajate ja kaitsjate vahel, ründaja soov varastada andmeid enne, kui turvaspetsialistid jõuavad neile juurdepääsu blokeerida. Ründajate ja nende ebaseadusliku tegevuse varajane avastamine koos tugeva küberkaitsega on teie andmete turvalisuse tagamise võti.
Allikas: www.habr.com