Tout ce dont un attaquant a besoin, c'est de temps et de motivation pour s'introduire dans votre réseau. Mais notre tâche est de l’en empêcher, ou du moins de rendre cette tâche aussi difficile que possible. Vous devez commencer par identifier les faiblesses d'Active Directory (ci-après dénommé AD) qu'un attaquant peut utiliser pour accéder et se déplacer sur le réseau sans être détecté. Aujourd’hui, dans cet article, nous examinerons les indicateurs de risque qui reflètent les vulnérabilités existantes dans la cyberdéfense de votre organisation, en utilisant le tableau de bord AD Varonis comme exemple.
Les attaquants utilisent certaines configurations dans le domaine
Les attaquants utilisent diverses techniques intelligentes et vulnérabilités pour pénétrer dans les réseaux d’entreprise et élever leurs privilèges. Certaines de ces vulnérabilités sont des paramètres de configuration de domaine qui peuvent être facilement modifiés une fois identifiés.
Le tableau de bord AD vous alertera immédiatement si vous (ou vos administrateurs système) n'avez pas modifié le mot de passe KRBTGT au cours du mois dernier, ou si quelqu'un s'est authentifié avec le compte administrateur intégré par défaut. Ces deux comptes offrent un accès illimité à votre réseau : les attaquants tenteront d'y accéder pour contourner facilement les éventuelles restrictions de privilèges et d'autorisations d'accès. Et ainsi, ils ont accès à toutes les données qui les intéressent.
Bien entendu, vous pouvez découvrir ces vulnérabilités vous-même : par exemple, définissez un rappel de calendrier pour vérifier ou exécutez un script PowerShell pour collecter ces informations.
Le tableau de bord Varonis est en cours de mise à jour automatiquement pour fournir une visibilité et une analyse rapides des indicateurs clés qui mettent en évidence les vulnérabilités potentielles afin que vous puissiez prendre des mesures immédiates pour y remédier.
3 indicateurs de risque clés au niveau du domaine
Vous trouverez ci-dessous un certain nombre de widgets disponibles sur le tableau de bord Varonis, dont l'utilisation améliorera considérablement la protection du réseau d'entreprise et de l'infrastructure informatique dans son ensemble.
1. Nombre de domaines pour lesquels le mot de passe du compte Kerberos n'a pas été modifié depuis une période de temps significative
Le compte KRBTGT est un compte spécial dans AD qui signe tout . Les attaquants qui accèdent à un contrôleur de domaine (DC) peuvent utiliser ce compte pour créer , ce qui leur donnera un accès illimité à presque tous les systèmes du réseau d'entreprise. Nous avons rencontré une situation dans laquelle, après avoir réussi à obtenir un Golden Ticket, un attaquant avait accès au réseau de l'organisation pendant deux ans. Si le mot de passe du compte KRBTGT de votre entreprise n'a pas été modifié au cours des quarante derniers jours, le widget vous en informera.
Quarante jours, c'est plus que suffisant pour qu'un attaquant puisse accéder au réseau. Cependant, si vous appliquez et normalisez le processus de modification de ce mot de passe sur une base régulière, il sera beaucoup plus difficile pour un attaquant de s'introduire dans votre réseau d'entreprise.
N'oubliez pas que selon l'implémentation du protocole Kerberos par Microsoft, vous devez KRBTGT.
À l'avenir, ce widget AD vous rappellera quand il sera temps de modifier à nouveau le mot de passe KRBTGT pour tous les domaines de votre réseau.
2. Nombre de domaines sur lesquels le compte administrateur intégré a été récemment utilisé
selon — les administrateurs système disposent de deux comptes : le premier est un compte pour un usage quotidien et le second est destiné au travail administratif planifié. Cela signifie que personne ne doit utiliser le compte administrateur par défaut.
Le compte administrateur intégré est souvent utilisé pour simplifier le processus d'administration du système. Cela peut devenir une mauvaise habitude, entraînant un piratage. Si cela se produit dans votre organisation, vous aurez du mal à faire la distinction entre une utilisation appropriée de ce compte et un accès potentiellement malveillant.
Si le widget affiche autre chose que zéro, cela signifie que quelqu'un ne fonctionne pas correctement avec les comptes administratifs. Dans ce cas, vous devez prendre des mesures pour corriger et limiter l'accès au compte administrateur intégré.
Une fois que vous avez atteint une valeur de widget de zéro et que les administrateurs système n'utilisent plus ce compte pour leur travail, à l'avenir, toute modification de celui-ci indiquera une cyberattaque potentielle.
3. Nombre de domaines qui n'ont pas de groupe d'utilisateurs protégés
Les anciennes versions d'AD prenaient en charge un type de cryptage faible : RC4. Les pirates ont piraté RC4 il y a de nombreuses années, et il est désormais très simple pour un attaquant de pirater un compte qui utilise encore RC4. La version d'Active Directory introduite dans Windows Server 2012 a introduit un nouveau type de groupe d'utilisateurs appelé groupe d'utilisateurs protégés. Il fournit des outils de sécurité supplémentaires et empêche l'authentification des utilisateurs à l'aide du cryptage RC4.
Ce widget démontrera s'il manque un tel groupe dans un domaine de l'organisation afin que vous puissiez le corriger, c'est-à-dire activer un groupe d’utilisateurs protégés et l’utiliser pour protéger l’infrastructure.
Des cibles faciles pour les attaquants
Les comptes d'utilisateurs constituent la cible numéro un des attaquants, depuis les premières tentatives d'intrusion jusqu'à l'augmentation continue des privilèges et la dissimulation de leurs activités. Les attaquants recherchent des cibles simples sur votre réseau à l’aide de commandes PowerShell de base souvent difficiles à détecter. Supprimez autant que possible de ces cibles faciles d’AD.
Les attaquants recherchent des utilisateurs dotés de mots de passe n'expirant jamais (ou qui n'ont pas besoin de mots de passe), des comptes technologiques qui sont des administrateurs et des comptes qui utilisent l'ancien cryptage RC4.
Chacun de ces comptes est soit facile d’accès, soit généralement non surveillé. Les attaquants peuvent s'emparer de ces comptes et se déplacer librement au sein de votre infrastructure.
Une fois que les attaquants auront pénétré le périmètre de sécurité, ils auront probablement accès à au moins un compte. Pouvez-vous les empêcher d’accéder aux données sensibles avant que l’attaque ne soit détectée et contenue ?
Le tableau de bord Varonis AD signalera les comptes d'utilisateurs vulnérables afin que vous puissiez résoudre les problèmes de manière proactive. Plus il est difficile de pénétrer dans votre réseau, meilleures sont vos chances de neutraliser un attaquant avant qu’il ne cause de graves dommages.
4 indicateurs de risque clés pour les comptes d'utilisateurs
Vous trouverez ci-dessous des exemples de widgets de tableau de bord Varonis AD qui mettent en évidence les comptes d'utilisateurs les plus vulnérables.
1. Nombre d'utilisateurs actifs avec des mots de passe qui n'expirent jamais
Pour tout attaquant, accéder à un tel compte est toujours un grand succès. Étant donné que le mot de passe n'expire jamais, l'attaquant dispose d'un point d'ancrage permanent au sein du réseau, qui peut ensuite être utilisé pour ou des mouvements au sein de l’infrastructure.
Les attaquants disposent de listes de millions de combinaisons utilisateur-mot de passe qu'ils utilisent dans des attaques de credential stuffing, et il est probable que
que la combinaison de l'utilisateur avec le mot de passe « éternel » se trouve dans l'une de ces listes, bien supérieure à zéro.
Les comptes avec des mots de passe n'expirant pas sont faciles à gérer, mais ils ne sont pas sécurisés. Utilisez ce widget pour trouver tous les comptes dotés de tels mots de passe. Modifiez ce paramètre et mettez à jour votre mot de passe.
Une fois la valeur de ce widget définie sur zéro, tous les nouveaux comptes créés avec ce mot de passe apparaîtront dans le tableau de bord.
2. Nombre de comptes administratifs avec SPN
SPN (Service Principal Name) est un identifiant unique d'une instance de service. Ce widget indique combien de comptes de service disposent de droits d'administrateur complets. La valeur sur le widget doit être zéro. Le SPN avec droits d'administration est dû au fait que l'octroi de tels droits est pratique pour les éditeurs de logiciels et les administrateurs d'applications, mais cela présente un risque de sécurité.
Donner des droits d'administration au compte de service permet à un attaquant d'obtenir un accès complet à un compte qui n'est pas utilisé. Cela signifie que les attaquants ayant accès aux comptes SPN peuvent opérer librement au sein de l'infrastructure sans que leurs activités soient surveillées.
Vous pouvez résoudre ce problème en modifiant les autorisations sur les comptes de service. Ces comptes doivent être soumis au principe du moindre privilège et disposer uniquement des accès réellement nécessaires à leur fonctionnement.
À l'aide de ce widget, vous pouvez détecter tous les SPN disposant de droits d'administration, supprimer ces privilèges, puis surveiller les SPN en utilisant le même principe d'accès le moins privilégié.
Le SPN nouvellement apparu sera affiché sur le tableau de bord et vous pourrez surveiller ce processus.
3. Nombre d'utilisateurs qui ne nécessitent pas de pré-authentification Kerberos
Idéalement, Kerberos chiffre le ticket d'authentification à l'aide du chiffrement AES-256, qui reste incassable à ce jour.
Cependant, les anciennes versions de Kerberos utilisaient le cryptage RC4, qui peut désormais être décrypté en quelques minutes. Ce widget montre quels comptes d'utilisateurs utilisent encore RC4. Microsoft prend toujours en charge RC4 pour une compatibilité ascendante, mais cela ne signifie pas que vous devez l'utiliser dans votre AD.
Une fois que vous avez identifié ces comptes, vous devez décocher la case « ne nécessite pas de pré-autorisation Kerberos » dans AD pour forcer les comptes à utiliser un cryptage plus complexe.
Découvrir ces comptes par vous-même, sans le tableau de bord Varonis AD, prend beaucoup de temps. En réalité, connaître tous les comptes modifiés pour utiliser le cryptage RC4 est une tâche encore plus difficile.
Si la valeur du widget change, cela peut indiquer une activité illégale.
4. Nombre d'utilisateurs sans mot de passe
Les attaquants utilisent des commandes PowerShell de base pour lire l'indicateur « PASSWD_NOTREQD » d'AD dans les propriétés du compte. L'utilisation de cet indicateur indique qu'il n'y a aucune exigence de mot de passe ou d'exigence de complexité.
Est-il facile de voler un compte avec un mot de passe simple ou vide ? Imaginez maintenant que l'un de ces comptes soit un administrateur.
Et si l’un des milliers de dossiers confidentiels ouverts à tous était un prochain rapport financier ?
Ignorer l'exigence de mot de passe obligatoire est un autre raccourci d'administration système qui était souvent utilisé dans le passé, mais qui n'est ni acceptable ni sûr aujourd'hui.
Résolvez ce problème en mettant à jour les mots de passe de ces comptes.
Surveiller ce widget à l'avenir vous aidera à éviter les comptes sans mot de passe.
Varonis égalise les chances
Dans le passé, le travail de collecte et d'analyse des métriques décrites dans cet article prenait de nombreuses heures et nécessitait une connaissance approfondie de PowerShell, obligeant les équipes de sécurité à allouer des ressources à ces tâches chaque semaine ou mois. Mais la collecte et le traitement manuels de ces informations donnent aux attaquants une longueur d’avance pour infiltrer et voler des données.
С Vous passerez une journée à déployer le tableau de bord AD et les composants supplémentaires, à collecter toutes les vulnérabilités discutées et bien d'autres. À l'avenir, pendant l'exploitation, le panneau de surveillance sera automatiquement mis à jour en fonction de l'évolution de l'état de l'infrastructure.
Mener des cyberattaques est toujours une course entre attaquants et défenseurs, le désir de l'attaquant de voler des données avant que les spécialistes de la sécurité puissent en bloquer l'accès. La détection précoce des attaquants et de leurs activités illégales, associée à de solides cyberdéfenses, est la clé pour assurer la sécurité de vos données.
Source: habr.com