Hyökkääjä tarvitsee vain aikaa ja motivaatiota murtautua verkkoosi. Mutta meidän tehtävämme on estää häntä tekemästä tätä tai ainakin tehdä tästä tehtävästä mahdollisimman vaikea. Sinun on aloitettava tunnistamalla Active Directoryn (jäljempänä AD) heikkoudet, joita hyökkääjä voi käyttää päästäkseen verkkoon ja liikkuakseen verkossa ilman, että häntä havaitaan. Tänään tässä artikkelissa tarkastelemme riskiindikaattoreita, jotka heijastavat olemassa olevia haavoittuvuuksia organisaatiosi kyberpuolustuksessa. Käytämme esimerkkinä AD Varonis -hallintapaneelia.
Hyökkääjät käyttävät tiettyjä määrityksiä verkkotunnuksessa
Hyökkääjät käyttävät erilaisia älykkäitä tekniikoita ja haavoittuvuuksia tunkeutuakseen yritysverkkoihin ja laajentaakseen oikeuksiaan. Jotkut näistä haavoittuvuuksista ovat toimialueen kokoonpanoasetuksia, joita voidaan helposti muuttaa, kun ne on tunnistettu.
AD-hallintapaneeli varoittaa välittömästi, jos sinä (tai järjestelmänvalvojasi) et ole vaihtanut KRBTGT-salasanaa viimeisen kuukauden aikana tai jos joku on todenntunut oletusarvoisella sisäänrakennetulla järjestelmänvalvojatilillä. Nämä kaksi tiliä tarjoavat rajoittamattoman pääsyn verkkoosi: hyökkääjät yrittävät päästä niihin ohittaakseen helposti kaikki käyttöoikeuksien ja käyttöoikeuksien rajoitukset. Ja sen seurauksena he saavat pääsyn kaikkiin heitä kiinnostaviin tietoihin.
Voit tietysti löytää nämä haavoittuvuudet itse: esimerkiksi aseta kalenterimuistutus tarkistaaksesi tai suorita PowerShell-komentosarja näiden tietojen keräämiseksi.
Varonis kojelautaa päivitetään automaattisesti tarjota nopean näkyvyyden ja analyysin tärkeimmistä mittareista, jotka korostavat mahdollisia haavoittuvuuksia, jotta voit ryhtyä välittömiin toimiin niiden korjaamiseksi.
3 avaintoimialuetason riskiindikaattoria
Alla on useita Varonis dashboardissa saatavilla olevia widgetejä, joiden käyttö parantaa merkittävästi yrityksen verkon ja IT-infrastruktuurin suojausta kokonaisuutena.
1. Niiden verkkotunnusten lukumäärä, joiden Kerberos-tilin salasanaa ei ole vaihdettu pitkään aikaan
KRBTGT-tili on erityinen tili AD:ssa, joka allekirjoittaa kaiken
Neljäkymmentä päivää on enemmän kuin tarpeeksi aikaa hyökkääjälle päästäkseen verkkoon. Jos kuitenkin pakotat ja standardoit tämän salasanan vaihtamisprosessin säännöllisesti, hyökkääjän on paljon vaikeampaa murtautua yritysverkkoosi.
Muista, että Microsoftin Kerberos-protokollan toteutuksen mukaan sinun on
Jatkossa tämä AD-widget muistuttaa sinua, kun on aika vaihtaa KRBTGT-salasana uudelleen kaikille verkkotunnuksille.
2. Niiden verkkotunnusten lukumäärä, joissa sisäänrakennettua järjestelmänvalvojan tiliä käytettiin äskettäin
Mukaan
Sisäänrakennettua järjestelmänvalvojan tiliä käytetään usein yksinkertaistamaan järjestelmän hallintaprosessia. Tästä voi tulla huono tapa, joka johtaa hakkerointiin. Jos näin tapahtuu organisaatiossasi, sinulla on vaikeuksia erottaa tämän tilin asianmukainen käyttö ja mahdollinen haitallinen käyttö.
Jos widget näyttää jotain muuta kuin nollaa, joku ei toimi oikein järjestelmänvalvojatilien kanssa. Tässä tapauksessa sinun on korjattava sisäänrakennetun järjestelmänvalvojan tilin käyttöoikeus ja rajoitettava sen käyttöä.
Kun olet saavuttanut widgetin arvon nolla eivätkä järjestelmänvalvojat enää käytä tätä tiliä työhönsä, tulevaisuudessa kaikki muutokset viittaavat mahdolliseen kyberhyökkäykseen.
3. Niiden verkkotunnusten lukumäärä, joilla ei ole suojattujen käyttäjien ryhmää
AD:n vanhemmat versiot tukivat heikkoa salaustyyppiä - RC4. Hakkerit hakkeroivat RC4:n monta vuotta sitten, ja nyt on erittäin triviaali tehtävä hyökkääjälle hakkeroida tili, joka edelleen käyttää RC4:ää. Windows Server 2012:ssa käyttöön otettu Active Directoryn versio esitteli uudentyyppisen käyttäjäryhmän nimeltä Protected Users Group. Se tarjoaa lisäsuojaustyökaluja ja estää käyttäjän todennuksen RC4-salauksella.
Tämä widget osoittaa, puuttuuko jostain organisaation verkkotunnuksesta tällainen ryhmä, jotta voit korjata sen, esim. mahdollistaa suojattujen käyttäjien ryhmän ja käyttää sitä infrastruktuurin suojaamiseen.
Helppoja kohteita hyökkääjille
Käyttäjätilit ovat hyökkääjien ykköskohde aina ensimmäisistä tunkeutumisyrityksistä oikeuksien jatkuvaan eskalointiin ja toimintojensa salaamiseen. Hyökkääjät etsivät yksinkertaisia kohteita verkosta käyttämällä PowerShell-peruskomentoja, joita on usein vaikea havaita. Poista mahdollisimman monet näistä helpoista kohteista AD:sta.
Hyökkääjät etsivät käyttäjiä, joilla on vanhentumaton salasana (tai jotka eivät vaadi salasanoja), järjestelmänvalvojatilejä ja tilejä, jotka käyttävät vanhaa RC4-salausta.
Kaikki nämä tilit ovat joko triviaaleja käyttää tai niitä ei yleensä valvota. Hyökkääjät voivat ottaa nämä tilit haltuunsa ja liikkua vapaasti infrastruktuurissasi.
Kun hyökkääjät tunkeutuvat suojausalueelle, he todennäköisesti saavat pääsyn ainakin yhteen tiliin. Voitko estää heitä pääsemästä arkaluontoisiin tietoihin ennen kuin hyökkäys havaitaan ja pysäytetään?
Varonis AD -hallintapaneeli osoittaa haavoittuvat käyttäjätilit, jotta voit tehdä vianmäärityksen ennakoivasti. Mitä vaikeampaa on päästä verkkoon, sitä paremmat mahdollisuutesi neutraloida hyökkääjä ennen kuin se aiheuttaa vakavaa vahinkoa.
4 käyttäjätilien pääriskiindikaattoria
Alla on esimerkkejä Varonis AD -hallintapaneelin widgeteistä, jotka tuovat esiin haavoittuvimmat käyttäjätilit.
1. Aktiivisten käyttäjien määrä, joiden salasanat eivät koskaan vanhene
Jokaisen hyökkääjän pääsy tällaiselle tilille on aina suuri menestys. Koska salasana ei vanhene koskaan, hyökkääjällä on pysyvä jalansija verkossa, jota voidaan sitten käyttää
Hyökkääjillä on luettelo miljoonista käyttäjä-salasanayhdistelmistä, joita he käyttävät tunnistetietojen täyttämishyökkäyksissä, ja on todennäköistä, että
että käyttäjän yhdistelmä "ikuisen" salasanan kanssa on jossakin näistä luetteloista, paljon suurempi kuin nolla.
Vanhentumattomilla salasanoilla varustettuja tilejä on helppo hallita, mutta ne eivät ole turvallisia. Käytä tätä widgetiä löytääksesi kaikki tilit, joilla on tällaisia salasanoja. Muuta tätä asetusta ja päivitä salasanasi.
Kun tämän widgetin arvoksi on asetettu nolla, kaikki tällä salasanalla luodut uudet tilit näkyvät hallintapaneelissa.
2. Hallinnollisten tilien määrä SPN:llä
SPN (Service Principal Name) on palveluesiintymän yksilöllinen tunniste. Tämä widget näyttää, kuinka monella palvelutilillä on täydet järjestelmänvalvojan oikeudet. Widgetin arvon on oltava nolla. Järjestelmänvalvojan oikeuksilla varustettu SPN johtuu siitä, että tällaisten oikeuksien myöntäminen on kätevää ohjelmistotoimittajille ja sovellusten järjestelmänvalvojille, mutta se aiheuttaa turvallisuusriskin.
Palvelutilin järjestelmänvalvojan oikeuksien antaminen antaa hyökkääjälle mahdollisuuden saada täydet käyttöoikeudet tilille, joka ei ole käytössä. Tämä tarkoittaa, että hyökkääjät, joilla on pääsy SPN-tileihin, voivat toimia vapaasti infrastruktuurissa ilman, että heidän toimintaansa valvotaan.
Voit ratkaista tämän ongelman muuttamalla palvelutilien käyttöoikeuksia. Tällaisiin tileihin olisi sovellettava vähiten etuoikeuksien periaatetta, ja niillä olisi oltava vain niiden toiminnan kannalta tarpeelliset käyttöoikeudet.
Tämän widgetin avulla voit havaita kaikki SPN:t, joilla on järjestelmänvalvojan oikeudet, poistaa tällaiset oikeudet ja valvoa SPN:itä käyttämällä samaa vähiten etuoikeutettujen käyttöoikeuksien periaatetta.
Äskettäin ilmestynyt SPN näkyy kojelaudassa, ja voit seurata tätä prosessia.
3. Niiden käyttäjien määrä, jotka eivät vaadi Kerberos-esivarmennusta
Ihannetapauksessa Kerberos salaa todennuslipun AES-256-salauksella, joka on edelleen murtamaton.
Kerberosin vanhemmissa versioissa käytettiin kuitenkin RC4-salausta, joka voidaan nyt rikkoa muutamassa minuutissa. Tämä widget näyttää, mitkä käyttäjätilit käyttävät edelleen RC4:ää. Microsoft tukee edelleen RC4:ää taaksepäin yhteensopivuuden takaamiseksi, mutta se ei tarkoita, että sinun pitäisi käyttää sitä mainoksessasi.
Kun olet tunnistanut tällaiset tilit, sinun on poistettava valinta "ei vaadi Kerberosin ennakkovaltuutusta" -valintaruudusta AD:ssa pakottaaksesi tilit käyttämään kehittyneempää salausta.
Näiden tilien löytäminen itse, ilman Varonis AD -hallintapaneelia, vie paljon aikaa. Todellisuudessa kaikkien tilien tiedostaminen, jotka on muokattu käyttämään RC4-salausta, on vielä vaikeampi tehtävä.
Jos widgetin arvo muuttuu, tämä voi olla merkki laittomasta toiminnasta.
4. Käyttäjien määrä ilman salasanaa
Hyökkääjät käyttävät PowerShell-peruskomentoja PASSWD_NOTREQD-lipun lukemiseen AD:sta tilin ominaisuuksissa. Tämän lipun käyttö osoittaa, että salasana- tai monimutkaisuusvaatimuksia ei ole.
Kuinka helppoa on varastaa tili yksinkertaisella tai tyhjällä salasanalla? Kuvittele nyt, että yksi näistä tileistä on järjestelmänvalvoja.
Entä jos yksi tuhansista kaikille avoinna olevista luottamuksellisista tiedostoista on tuleva talousraportti?
Pakollisen salasanavaatimuksen huomiotta jättäminen on toinen järjestelmänhallinnan pikakuvake, jota käytettiin usein aiemmin, mutta joka ei ole hyväksyttävää eikä turvallista nykyään.
Korjaa tämä ongelma päivittämällä näiden tilien salasanat.
Tämän widgetin seuraaminen tulevaisuudessa auttaa sinua välttämään tilit ilman salasanaa.
Varonis tasoittaa kertoimet
Aikaisemmin tässä artikkelissa kuvattujen mittareiden kerääminen ja analysointi kesti useita tunteja ja vaati syvää PowerShellin tuntemusta, mikä vaati tietoturvatiimien osoittavan resursseja tällaisiin tehtäviin joka viikko tai kuukausi. Mutta näiden tietojen manuaalinen kerääminen ja käsittely antaa hyökkääjille etumatkan tunkeutuakseen ja varastaa tietoja.
С
Kyberhyökkäysten toteuttaminen on aina kilpailua hyökkääjien ja puolustajien välillä, hyökkääjän halu varastaa tietoja ennen kuin tietoturvaasiantuntijat voivat estää pääsyn niihin. Hyökkääjien ja heidän laittomien toimiensa varhainen havaitseminen yhdistettynä vahvaan kyberpuolustukseen on avain tietojesi turvaamiseen.
Lähde: will.com