تنها چیزی که یک مهاجم نیاز دارد زمان و انگیزه برای نفوذ به شبکه شما است. اما وظیفه ما این است که او را از انجام این کار منع کنیم یا حداقل این کار را تا حد امکان دشوار کنیم. شما باید با شناسایی نقاط ضعف در اکتیو دایرکتوری (که از این پس به عنوان AD نامیده می شود) شروع کنید که مهاجم می تواند از آنها برای دسترسی و حرکت در سراسر شبکه بدون شناسایی استفاده کند. امروز در این مقاله، با استفاده از داشبورد AD Varonis به عنوان مثال، به شاخصهای ریسکی که آسیبپذیریهای موجود در دفاع سایبری سازمان شما را منعکس میکنند، نگاه میکنیم.
مهاجمان از تنظیمات خاصی در دامنه استفاده می کنند
مهاجمان از انواع تکنیک ها و آسیب پذیری های هوشمندانه برای نفوذ به شبکه های شرکتی و افزایش امتیازات استفاده می کنند. برخی از این آسیبپذیریها تنظیمات پیکربندی دامنه هستند که پس از شناسایی به راحتی قابل تغییر هستند.
اگر شما (یا مدیران سیستمتان) رمز عبور KRBTGT را در ماه گذشته تغییر ندادهاید، یا اگر شخصی با حساب کاربری داخلی پیشفرض Administrator احراز هویت کرده باشد، داشبورد AD فوراً به شما هشدار میدهد. این دو حساب دسترسی نامحدود به شبکه شما را فراهم می کنند: مهاجمان سعی می کنند به آنها دسترسی پیدا کنند تا به راحتی از هر گونه محدودیت در امتیازات و مجوزهای دسترسی عبور کنند. و در نتیجه، آنها به هر داده ای که به آنها علاقه دارد دسترسی پیدا می کنند.
البته، میتوانید این آسیبپذیریها را خودتان کشف کنید: برای مثال، یک یادآوری تقویم تنظیم کنید تا یک اسکریپت PowerShell را برای جمعآوری این اطلاعات بررسی یا اجرا کنید.
داشبورد Varonis در حال به روز رسانی است به طور خودکار برای ارائه دید و تجزیه و تحلیل سریع معیارهای کلیدی که آسیبپذیریهای بالقوه را برجسته میکنند تا بتوانید اقدامات فوری برای رفع آنها انجام دهید.
3 شاخص خطر سطح دامنه کلیدی
در زیر تعدادی ویجت موجود در داشبورد Varonis وجود دارد که استفاده از آنها به طور قابل توجهی حفاظت از شبکه شرکتی و زیرساخت فناوری اطلاعات را به طور کلی افزایش می دهد.
1. تعداد دامنه هایی که رمز عبور حساب Kerberos برای مدت زمان قابل توجهی تغییر نکرده است
حساب KRBTGT یک حساب ویژه در AD است که همه چیز را امضا می کند . مهاجمانی که به کنترل کننده دامنه (DC) دسترسی پیدا می کنند می توانند از این حساب برای ایجاد استفاده کنند ، که به آنها دسترسی نامحدود به تقریباً هر سیستمی در شبکه شرکتی می دهد. ما با شرایطی مواجه شدیم که پس از کسب موفقیت آمیز بلیط طلایی، یک مهاجم به مدت دو سال به شبکه سازمان دسترسی داشت. اگر رمز عبور حساب KRBTGT در شرکت شما در چهل روز گذشته تغییر نکرده باشد، ویجت در این مورد به شما اطلاع خواهد داد.
چهل روز زمان کافی برای دسترسی مهاجم به شبکه است. با این حال، اگر فرآیند تغییر این رمز عبور را به طور منظم اجرا و استاندارد کنید، نفوذ مهاجم به شبکه شرکتی شما بسیار دشوارتر خواهد شد.
به یاد داشته باشید که با توجه به اجرای پروتکل Kerberos توسط مایکروسافت، شما باید KRBTGT.
در آینده، این ویجت AD زمانی را به شما یادآوری می کند که زمان تغییر مجدد رمز عبور KRBTGT برای همه دامنه های شبکه شما فرا می رسد.
2. تعداد دامنه هایی که اخیراً از حساب داخلی Administrator استفاده شده است
طبق — به مدیران سیستم دو حساب ارائه می شود: اولی یک حساب کاربری برای استفاده روزمره و دومی برای کارهای اداری برنامه ریزی شده است. این بدان معنی است که هیچ کس نباید از حساب پیش فرض مدیر استفاده کند.
حساب مدیر داخلی اغلب برای ساده کردن فرآیند مدیریت سیستم استفاده می شود. این می تواند به یک عادت بد تبدیل شود و در نتیجه هک شود. اگر این اتفاق در سازمان شما بیفتد، در تشخیص استفاده صحیح از این حساب و دسترسی بالقوه مخرب مشکل خواهید داشت.
اگر ویجت چیزی غیر از صفر را نشان می دهد، پس شخصی به درستی با حساب های مدیریتی کار نمی کند. در این صورت، باید اقداماتی را برای تصحیح و محدود کردن دسترسی به حساب کاربری داخلی مدیریت انجام دهید.
هنگامی که به مقدار ویجت صفر رسیدید و مدیران سیستم دیگر از این حساب برای کار خود استفاده نمی کنند، در آینده، هرگونه تغییر در آن نشان دهنده یک حمله سایبری بالقوه خواهد بود.
3. تعداد دامنه هایی که گروهی از کاربران محافظت شده ندارند
نسخه های قدیمی تر AD از یک نوع رمزگذاری ضعیف پشتیبانی می کردند - RC4. هکرها سالها پیش RC4 را هک کردند و اکنون برای مهاجمان هک حسابی که هنوز از RC4 استفاده میکند، کاری بسیار پیش پا افتاده است. نسخه اکتیو دایرکتوری معرفی شده در ویندوز سرور 2012 نوع جدیدی از گروه کاربری به نام Protected Users Group را معرفی کرد. این ابزارهای امنیتی اضافی را فراهم می کند و از احراز هویت کاربر با استفاده از رمزگذاری RC4 جلوگیری می کند.
این ویجت نشان میدهد که آیا دامنهای در سازمان فاقد چنین گروهی است تا بتوانید آن را برطرف کنید. گروهی از کاربران محافظت شده را فعال کنید و از آن برای محافظت از زیرساخت استفاده کنید.
اهداف آسان برای مهاجمان
حساب های کاربری هدف شماره یک مهاجمان هستند، از تلاش های اولیه برای نفوذ تا افزایش مستمر امتیازات و پنهان کردن فعالیت های آنها. مهاجمان با استفاده از دستورات اولیه PowerShell به دنبال اهداف ساده در شبکه شما می گردند که تشخیص آنها اغلب دشوار است. تا حد امکان بسیاری از این اهداف آسان را از AD حذف کنید.
مهاجمان به دنبال کاربرانی با گذرواژههای منقضی نشده (یا کسانی که به رمز عبور نیاز ندارند)، حسابهای فناوری که سرپرست هستند، و حسابهایی که از رمزگذاری قدیمی RC4 استفاده میکنند، میگردند.
دسترسی به هر یک از این حساب ها یا بی اهمیت است یا به طور کلی نظارت نمی شود. مهاجمان می توانند این حساب ها را تصاحب کنند و آزادانه در زیرساخت شما حرکت کنند.
هنگامی که مهاجمان به محیط امنیتی نفوذ کنند، احتمالا به حداقل یک حساب دسترسی خواهند داشت. آیا می توانید قبل از شناسایی و مهار حمله مانع از دسترسی آنها به داده های حساس شوید؟
داشبورد Varonis AD به حسابهای کاربری آسیبپذیر اشاره میکند تا بتوانید به طور فعال مشکلات را عیبیابی کنید. هرچه نفوذ به شبکه شما دشوارتر باشد، شانس شما برای خنثی کردن مهاجم قبل از آسیب جدی بیشتر است.
4 شاخص ریسک کلیدی برای حساب های کاربری
در زیر نمونههایی از ویجتهای داشبورد Varonis AD وجود دارد که آسیبپذیرترین حسابهای کاربری را برجسته میکنند.
1. تعداد کاربران فعال با رمزهای عبور که هرگز منقضی نمی شوند
برای هر مهاجمی که به چنین حساب کاربری دسترسی پیدا کند همیشه یک موفقیت بزرگ است. از آنجایی که رمز عبور هرگز منقضی نمیشود، مهاجم یک جای پای دائمی در شبکه دارد که میتوان از آن استفاده کرد یا حرکات در زیرساخت.
مهاجمان فهرستی از میلیونها ترکیب رمز عبور کاربر دارند که در حملات پر کردن اعتبار استفاده میکنند، و این احتمال وجود دارد که
که ترکیبی برای کاربر با رمز عبور ابدی در یکی از این لیست ها بسیار بزرگتر از صفر است.
مدیریت حسابهای دارای گذرواژههای منقضی نشده آسان است، اما ایمن نیستند. از این ویجت برای یافتن تمام حساب هایی که چنین رمزهای عبوری دارند استفاده کنید. این تنظیمات را تغییر دهید و رمز عبور خود را به روز کنید.
هنگامی که مقدار این ویجت روی صفر تنظیم شد، هر حساب جدید ایجاد شده با آن رمز عبور در داشبورد ظاهر می شود.
2. تعداد حساب های اداری با SPN
SPN (نام اصلی سرویس) یک شناسه منحصر به فرد یک نمونه سرویس است. این ویجت نشان می دهد که چند حساب سرویس دارای حقوق کامل سرپرست هستند. مقدار ویجت باید صفر باشد. SPN با حقوق اداری به این دلیل رخ می دهد که اعطای چنین حقوقی برای فروشندگان نرم افزار و مدیران برنامه راحت است، اما خطر امنیتی ایجاد می کند.
دادن حقوق مدیریتی به حساب سرویس به مهاجم اجازه می دهد تا به حسابی که در حال استفاده نیست دسترسی کامل داشته باشد. این بدان معناست که مهاجمان با دسترسی به حسابهای SPN میتوانند آزادانه در زیرساخت بدون نظارت بر فعالیتهایشان عمل کنند.
میتوانید با تغییر مجوزهای حسابهای سرویس، این مشکل را حل کنید. چنین حسابهایی باید تابع اصل حداقل امتیاز باشند و فقط دسترسیهایی داشته باشند که واقعاً برای عملکردشان ضروری است.
با استفاده از این ویجت، میتوانید تمام SPNهایی را که حقوق مدیریتی دارند شناسایی کنید، چنین امتیازاتی را حذف کنید و سپس با استفاده از همان اصل دسترسی با حداقل امتیاز، SPNها را نظارت کنید.
SPN تازه ظاهر شده روی داشبورد نمایش داده میشود و شما میتوانید این فرآیند را نظارت کنید.
3. تعداد کاربرانی که نیازی به احراز هویت اولیه Kerberos ندارند
در حالت ایده آل، Kerberos بلیط احراز هویت را با استفاده از رمزگذاری AES-256 رمزگذاری می کند، که تا به امروز غیرقابل شکستن باقی مانده است.
با این حال، نسخههای قدیمیتر Kerberos از رمزگذاری RC4 استفاده میکردند که اکنون میتواند در عرض چند دقیقه شکسته شود. این ویجت نشان می دهد که کدام حساب های کاربری هنوز از RC4 استفاده می کنند. مایکروسافت همچنان از RC4 برای سازگاری به عقب پشتیبانی می کند، اما این بدان معنا نیست که باید از آن در AD خود استفاده کنید.
هنگامی که چنین حسابهایی را شناسایی کردید، باید علامت چک باکس "نیازی به پیش مجوز Kerberos ندارد" را در AD بردارید تا حسابها مجبور به استفاده از رمزگذاری پیچیدهتر شوند.
کشف این حساب ها به تنهایی، بدون داشبورد Varonis AD، زمان زیادی می برد. در واقعیت، آگاهی از همه حسابهایی که برای استفاده از رمزگذاری RC4 ویرایش میشوند، کار دشوارتری است.
اگر مقدار ویجت تغییر کند، ممکن است نشان دهنده فعالیت غیرقانونی باشد.
4. تعداد کاربران بدون رمز عبور
مهاجمان از دستورات اولیه PowerShell برای خواندن پرچم "PASSWD_NOTREQD" از AD در ویژگی های حساب استفاده می کنند. استفاده از این پرچم نشان می دهد که هیچ الزامی برای رمز عبور یا الزامات پیچیدگی وجود ندارد.
سرقت یک حساب کاربری با رمز عبور ساده یا خالی چقدر آسان است؟ حال تصور کنید که یکی از این اکانت ها مدیر است.
اگر یکی از هزاران فایل محرمانه ای که برای همه باز است، یک گزارش مالی آینده باشد چه؟
نادیده گرفتن الزام گذرواژه اجباری یکی دیگر از میانبرهای مدیریت سیستم است که اغلب در گذشته استفاده می شد، اما امروزه نه قابل قبول است و نه ایمن.
این مشکل را با به روز رسانی رمزهای عبور این حساب ها برطرف کنید.
نظارت بر این ویجت در آینده به شما کمک می کند از حساب های بدون رمز عبور جلوگیری کنید.
وارونیس شانس ها را یکسان می کند
در گذشته، کار جمعآوری و تجزیه و تحلیل معیارهای شرح داده شده در این مقاله ساعتها طول میکشید و نیاز به دانش عمیق PowerShell داشت و تیمهای امنیتی را ملزم میکرد تا هر هفته یا ماه منابعی را برای چنین وظایفی تخصیص دهند. اما جمعآوری و پردازش دستی این اطلاعات به مهاجمان فرصتی برای نفوذ و سرقت دادهها میدهد.
С شما یک روز را صرف استقرار داشبورد AD و اجزای اضافی، جمع آوری تمام آسیب پذیری های مورد بحث و بسیاری موارد دیگر خواهید کرد. در آینده، در حین کار، با تغییر وضعیت زیرساخت، پنل مانیتورینگ به طور خودکار به روز می شود.
انجام حملات سایبری همیشه مسابقه ای بین مهاجمان و مدافعان است، تمایل مهاجم به سرقت داده ها قبل از اینکه متخصصان امنیتی بتوانند دسترسی به آن را مسدود کنند. شناسایی زودهنگام مهاجمان و فعالیت های غیرقانونی آنها، همراه با دفاع سایبری قوی، کلید حفظ امنیت داده های شما است.
منبع: www.habr.com