Erasotzaile batek zure sarean sartzeko denbora eta motibazioa besterik ez du behar. Baina gure lana hori egitea eragoztea da, edo, behintzat, zeregin hori ahalik eta zailen jartzea. Hasteko, erasotzaile batek sarean sartzeko eta sarean zehar mugitzeko erabil ditzakeen Active Directory-n (aurrerantzean AD deitzen dena) ahuleziak identifikatzen behar dituzu detektatu gabe. Gaur artikulu honetan, zure erakundearen ziberdefentsarako dauden ahultasunak islatzen dituzten arrisku-adierazleak aztertuko ditugu, AD Varonis panela adibide gisa erabiliz.
Erasotzaileek domeinuko zenbait konfigurazio erabiltzen dituzte
Erasotzaileek hainbat teknika eta ahultasun burutsu erabiltzen dituzte sare korporatiboetan sartzeko eta pribilegioak areagotzeko. Ahultasun horietako batzuk identifikatu ondoren erraz alda daitezkeen domeinuaren konfigurazio ezarpenak dira.
AD panelak berehala jakinaraziko zaitu zuk (edo zure sistema-administratzaileek) azken hilabetean KRBTGT pasahitza aldatu ez baduzu edo norbaitek integratutako Administratzaile-kontu lehenetsiarekin autentifikatu bada. Bi kontu hauek zure sarerako sarbide mugagabea eskaintzen dute: erasotzaileak haietara sartzen saiatuko dira, pribilegioetan eta sarbide-baimenetan dauden murrizketak erraz saihesteko. Eta, ondorioz, interesatzen zaizkien datuetarako sarbidea lortzen dute.
Jakina, ahultasun hauek zuk zeuk aurki ditzakezu: adibidez, ezarri egutegiaren abisua informazio hori biltzeko PowerShell script bat egiaztatzeko edo exekutatzeko.
Varonis panela eguneratzen ari da automatikoki ahultasun potentzialak nabarmentzen dituzten funtsezko neurketen ikusgarritasun eta analisi azkarra eskaintzeko, horiei aurre egiteko berehalako neurriak har ditzazun.
3 Domeinu-mailako arrisku-adierazle gakoak
Jarraian, Varonis panelean eskuragarri dauden widget batzuk daude, eta horien erabilerak sare korporatiboaren eta IT azpiegitura osoaren babesa nabarmen hobetuko du.
1. Kerberos kontuaren pasahitza denbora tarte handi batean aldatu ez den domeinu kopurua
KRBTGT kontua AD-n dena sinatzen duen kontu berezi bat da . Domeinu-kontrolatzailerako (DC) sarbidea lortzen duten erasotzaileek kontu hau erabil dezakete sortzeko , sare korporatiboko ia edozein sistematarako sarbide mugagabea emango diena. Egoera batekin egin genuen topo, non, Urrezko Txartela arrakastaz lortu ondoren, erasotzaile batek erakundearen sarera sarbidea izan zuen bi urtez. Zure enpresan KRBTGT kontuaren pasahitza azken berrogei egunetan aldatu ez bada, widgetak horren berri emango dizu.
Berrogei egun nahikoa da erasotzaile batek sarera sarbidea izateko. Hala ere, pasahitz hau aldatzeko prozesua aldian-aldian ezartzen eta estandarizatzen baduzu, askoz zailagoa izango da erasotzaile bat zure sare korporatiboan sartzea.
Gogoratu Microsoft-ek Kerberos protokoloaren ezarpenaren arabera, behar duzula KRBTGT.
Etorkizunean, AD widget honek zure sareko domeinu guztien KRBTGT pasahitza berriro aldatzeko garaia noiz den gogoraraziko dizu.
2. Duela gutxi integratutako Administratzailearen kontua erabili den domeinu kopurua
Arabera β sistema-administratzaileei bi kontu ematen zaizkie: lehenengoa eguneroko erabilerarako kontua da, eta bigarrena aurreikusitako administrazio-lanetarako. Horrek esan nahi du inork ez duela administratzaile-kontu lehenetsia erabili behar.
Administratzaile-kontua integratua erabiltzen da sistemaren administrazio-prozesua errazteko. Hau ohitura txarra bihur daiteke, hacking-a eraginez. Zure erakundean hori gertatzen bada, zailtasunak izango dituzu kontu honen erabilera egokia eta sarbide kaltegarria izan daitekeen artean bereizteko.
Widgetak zero ez den beste ezer erakusten badu, norbait ez da behar bezala funtzionatzen administrazio-kontuekin. Kasu honetan, neurriak hartu behar dituzu integratutako administratzailearen konturako sarbidea zuzentzeko eta mugatzeko.
Tresna-balioa zero lortu ondoren eta sistema-administratzaileek kontu hau beren lanerako erabiltzen ez dutenean, etorkizunean, aldaketak balizko ziber-eraso bat adieraziko du.
3. Erabiltzaile Babestuen talderik ez duten domeinu kopurua
ADren bertsio zaharragoek zifratze mota ahula onartzen zuten - RC4. Hackerrek duela urte asko pirateatu zuten RC4, eta orain oso zeregin hutsala da erasotzaile batek oraindik RC4 erabiltzen duen kontu bat hackeatzea. Windows Server 2012-n sartutako Active Directory-ren bertsioak erabiltzaile talde mota berri bat sartu zuen Protected Users Group izenekoa. Segurtasun-tresna osagarriak eskaintzen ditu eta erabiltzaileen autentifikazioa eragozten du RC4 enkriptatzea erabiliz.
Widget honek erakundeko domeinuren batek halako talderik falta duen erakutsiko du, konpondu ahal izateko, hau da. gaitu babestutako erabiltzaile talde bat eta erabili azpiegitura babesteko.
Erasotzaileentzako helburu errazak
Erabiltzaile-kontuak erasotzaileen helburu nagusia dira, hasierako intrusio-saiakeretatik hasi eta pribilegioak etengabe handitzen eta beren jarduerak ezkutatzen. Erasotzaileek zure sarean helburu errazak bilatzen dituzte sarritan detektatzeko zailak diren PowerShell komandoak erabiliz. Kendu AD-tik ahalik eta helburu erraz horietako gehien.
Erasotzaileak inoiz iraungi ez diren pasahitzak (edo pasahitzak behar ez dituztenak), administratzaileak diren teknologia-kontuak eta RC4 enkriptatzea erabiltzen duten kontuak bilatzen ari dira.
Kontu horietako edozein atzitzeko hutsala edo, oro har, ez da kontrolatzen. Erasotzaileek kontu hauek hartu ditzakete eta zure azpiegituran aske mugi daitezke.
Erasotzaileak segurtasun-perimetroan sartzen direnean, ziurrenik gutxienez kontu baterako sarbidea izango dute. Erasoa detektatu eta gorde aurretik datu sentikorretarako sarbidea utz diezaiekezu?
Varonis AD panelak erabiltzaile-kontu ahulak adieraziko ditu, arazoak modu proaktiboan konpon ditzazun. Zenbat eta zailagoa izan zure sarean sartzea, orduan eta aukera handiagoak izango dituzu erasotzaile bat neutralizatzeko kalte larriak eragin aurretik.
4 Erabiltzaile-kontuetarako arrisku-adierazle nagusiak
Jarraian, erabiltzaile-kontu ahulenak nabarmentzen dituzten Varonis AD paneleko widgeten adibideak daude.
1. Inoiz iraungitzen ez diren pasahitzak dituzten erabiltzaile aktibo kopurua
Edozein erasotzailek horrelako kontu batera sarbidea izateak arrakasta handia du beti. Pasahitza inoiz iraungitzen denez, erasotzaileak etengabeko euskarri bat du sarean, eta hori erabil daiteke edo azpiegituren barruko mugimenduak.
Erasotzaileek kredentzialak betetzeko erasoetan erabiltzen dituzten milioika erabiltzaile-pasahitz konbinazioen zerrendak dituzte, eta litekeena da hori.
"betiko" pasahitzarekin erabiltzailearen konbinazioa zerrenda horietako batean dagoela, zero baino askoz handiagoa.
Iraungi ez diren pasahitzak dituzten kontuak erraz kudeatzen dira, baina ez dira seguruak. Erabili widget hau pasahitzak dituzten kontu guztiak aurkitzeko. Aldatu ezarpen hau eta eguneratu pasahitza.
Widget honen balioa zeroan ezarrita dagoenean, pasahitz horrekin sortutako kontu berriak panelean agertuko dira.
2. SPN duten administrazio-kontu kopurua
SPN (Service Principal Name) zerbitzu-instantzia baten identifikatzaile bakarra da. Widget honek erakusten du zenbat zerbitzu-kontu dituzten administratzaile eskubide osoa. Widgetaren balioak zero izan behar du. Administrazio-eskubideak dituen SPN gertatzen da eskubide horiek ematea komenigarria delako software-saltzaileentzat eta aplikazio-administratzaileentzat, baina segurtasun-arriskua dakar.
Zerbitzu-kontuaren administrazio-eskubideak emateari esker, erasotzaileak erabiltzen ez den kontu batera sarbide osoa izango du. Horrek esan nahi du SPN kontuetarako sarbidea duten erasotzaileek aske jardun dezaketela azpiegituraren barruan, haien jarduerak kontrolatu gabe.
Arazo hau konpondu dezakezu zerbitzu-kontuetako baimenak aldatuz. Kontu horiek pribilegio txikienaren printzipioaren menpe egon behar dute eta funtzionatzeko benetan beharrezkoa den sarbidea baino ez dute izan.
Widget hau erabiliz, administrazio-eskubideak dituzten SPN guztiak detekta ditzakezu, pribilegio horiek kendu eta, ondoren, SPN-ak kontrola ditzakezu pribilegio gutxieneko sarbide-printzipio bera erabiliz.
Agertu berria den SPN aginte-panelean bistaratuko da eta prozesu hau kontrolatu ahal izango duzu.
3. Kerberosen aurre-autentifikazioa behar ez duten erabiltzaile kopurua
Egokiena, Kerberos-ek autentifikazio-txartela enkriptatzea AES-256 enkriptatzea erabiliz, gaur egun arte hautsiezina izaten jarraitzen du.
Hala ere, Kerberos-en bertsio zaharragoek RC4 enkriptatzea erabiltzen zuten, eta orain minutu batzuetan hautsi daiteke. Widget honek erakusten du zein erabiltzaile-kontu ari diren oraindik RC4 erabiltzen. Microsoft-ek RC4 onartzen du atzerako bateragarritasunerako, baina horrek ez du esan nahi zure ADn erabili behar duzunik.
Horrelako kontuak identifikatu ondoren, desmarkatu behar duzu AD-n "Ez du Kerberosen aurretiko baimenik behar" kontrol-laukia kontuak enkriptazio konplexuagoa erabiltzera behartzeko.
Kontu hauek zure kabuz ezagutzeak, Varonis AD panelik gabe, denbora asko eskatzen du. Egia esan, RC4 enkriptatzea erabiltzeko editatzen diren kontu guztien berri izatea are zailagoa da.
Widgetaren balioa aldatzen bada, horrek legez kanpoko jarduera adieraz dezake.
4. Pasahitzik gabeko erabiltzaile kopurua
Erasotzaileek oinarrizko PowerShell komandoak erabiltzen dituzte ADren "PASSWD_NOTREQD" bandera irakurtzeko kontuaren propietateetan. Bandera hau erabiltzeak adierazten du ez dagoela pasahitz-eskakizunik edo konplexutasun-eskakizunik.
Zein erraza da pasahitz sinple edo hutsarekin kontu bat lapurtzea? Orain imajinatu kontu horietako bat administratzailea dela.
Zer gertatzen da guztiontzat zabalik dauden milaka fitxategi isilpekoetatik bat datozen finantza-txostena bada?
Derrigorrezko pasahitz-eskakizuna baztertzea iraganean askotan erabiltzen zen sistema-administrazioaren beste lasterbide bat da, baina gaur egun ez da onargarria ez segurua.
Konpondu arazo hau kontu hauen pasahitzak eguneratuz.
Etorkizunean widget hau kontrolatzeak pasahitzik gabeko kontuak saihesten lagunduko dizu.
Varonisek aukerak berdintzen ditu
Iraganean, artikulu honetan deskribatutako neurketak biltzeko eta aztertzeko lanak ordu asko behar zituen eta PowerShell-en ezagutza sakona eskatzen zuen, segurtasun-taldeek astero edo hilabetero zereginetarako baliabideak esleitzeko. Baina informazio hori eskuz biltzeak eta prozesatzeak erasotzaileei aurrea ematen die datuak infiltratu eta lapurtzeko.
Π‘ Egun bat emango duzu AD panela eta osagai osagarriak zabaltzen, eztabaidatutako ahultasun guztiak eta askoz gehiago biltzeko. Etorkizunean, funtzionamenduan zehar, monitorizazio panela automatikoki eguneratuko da azpiegituraren egoera aldatzen den heinean.
Zibererasoak egitea erasotzaileen eta defendatzaileen arteko lasterketa bat da beti, erasotzaileak datuak lapurtzeko nahia segurtasun espezialistek sarbidea blokeatu baino lehen. Erasotzaileak eta haien legez kanpoko jarduerak goiz detektatzea, ziber-defentsa sendoekin batera, zure datuak seguru mantentzeko gakoa da.
Iturria: www.habr.com