Alles wat in oanfaller nedich is is tiid en motivaasje om yn jo netwurk te brekken. Mar ús taak is om him dit te foarkommen, of yn elts gefal dizze taak sa dreech mooglik te meitsjen. Jo moatte begjinne mei it identifisearjen fan swakke punten yn Active Directory (hjirnei oantsjutten as AD) dy't in oanfaller kin brûke om tagong te krijen en oer it netwurk te bewegen sûnder te ûntdekken. Hjoed yn dit artikel sille wy sjen nei risiko-yndikatoaren dy't besteande kwetsberens reflektearje yn 'e cyberdefinsje fan jo organisaasje, mei it AD Varonis-dashboard as foarbyld.
Oanfallers brûke bepaalde konfiguraasjes yn it domein
Oanfallers brûke in ferskaat oan tûke techniken en kwetsberens om bedriuwsnetwurken te penetrearjen en privileezjes te eskalearjen. Guon fan dizze kwetsberens binne domeinkonfiguraasje-ynstellingen dy't maklik feroare wurde kinne as se ienris identifisearre binne.
It AD-dashboard sil jo daliks warskôgje as jo (of jo systeembehearders) it KRBTGT-wachtwurd yn 'e lêste moanne net hawwe feroare, of as immen hat authentisearre mei it standert ynboude behearderakkount. Dizze twa akkounts jouwe ûnbeheinde tagong ta jo netwurk: oanfallers sille besykje tagong ta har te krijen om alle beheiningen yn privileezjes en tagongsrjochten maklik te omgean. En as gefolch krije se tagong ta alle gegevens dy't har ynteressearje.
Fansels kinne jo dizze kwetsberens sels ûntdekke: Stel bygelyks in kalinderherinnering yn om in PowerShell-skript te kontrolearjen of út te fieren om dizze ynformaasje te sammeljen.
Varonis dashboard wurdt bywurke automatysk om rappe sichtberens en analyse te leverjen fan wichtige metriken dy't potinsjele kwetsberens markearje, sadat jo direkte aksje kinne nimme om se oan te pakken.
3 Key Domain Level Risk Indicators
Hjirûnder is in oantal widgets beskikber op it Varonis-dashboard, wêrfan it gebrûk de beskerming fan it bedriuwsnetwurk en IT-ynfrastruktuer as gehiel signifikant sil ferbetterje.
1. Oantal domeinen wêrfoar it Kerberos-akkountwachtwurd foar in wichtige perioade net feroare is
It KRBTGT-akkount is in spesjaal akkount yn AD dat alles tekenet . Oanfallers dy't tagong krije ta in domeincontroller (DC) kinne dit akkount brûke om te meitsjen , dat sil jaan harren ûnbeheinde tagong ta hast alle systeem op it bedriuw netwurk. Wy tsjinkamen in situaasje wêrby't, nei it mei súkses it krijen fan in Gouden Ticket, in oanfaller twa jier tagong hie ta it netwurk fan 'e organisaasje. As it KRBTGT-akkountwachtwurd yn jo bedriuw yn 'e lêste fjirtich dagen net is feroare, sil de widget jo oer dit ynformearje.
Fjirtich dagen is mear as genôch tiid foar in oanfaller om tagong te krijen ta it netwurk. As jo lykwols it proses fan it feroarjen fan dit wachtwurd op in reguliere basis hanthavenje en standerdisearje, sil it it folle dreger meitsje foar in oanfaller om yn jo bedriuwsnetwurk yn te brekken.
Unthâld dat jo neffens Microsoft's ymplemintaasje fan it Kerberos-protokol moatte KRBTGT.
Yn 'e takomst sil dizze AD-widget jo herinnerje as it tiid is om it KRBTGT-wachtwurd opnij te feroarjen foar alle domeinen op jo netwurk.
2. Oantal domeinen dêr't de ynboude Administrator account waard koartlyn brûkt
Neffens - systeembehearders wurde foarsjoen fan twa akkounts: de earste is in akkount foar deistich gebrûk, en de twadde is foar pland bestjoerlik wurk. Dit betsjut dat gjinien it standert administrator akkount moat brûke.
It ynboude behearderakkount wurdt faak brûkt om it systeembehearproses te ferienfâldigjen. Dit kin in minne gewoante wurde, wat resulteart yn hacking. As dit bart yn jo organisaasje, sille jo muoite hawwe om ûnderskied te meitsjen tusken goed gebrûk fan dit akkount en mooglik kweade tagong.
As de widget wat oars as nul toant, dan wurket immen net goed mei bestjoerlike akkounts. Yn dit gefal moatte jo stappen nimme om tagong te korrigearjen en te beheinen ta it ynboude behearderakkount.
As jo ienris in widgetwearde fan nul hawwe berikt en systeembehearders dit akkount net mear brûke foar har wurk, dan sil yn 'e takomst elke feroaring derfan in potinsjele cyberoanfal oanjaan.
3. Oantal domeinen dy't gjin groep fan beskerme brûkers hawwe
Aldere ferzjes fan AD stipe in swak fersiferingstype - RC4. Hackers hackten RC4 in protte jierren lyn, en no is it in heul triviale taak foar in oanfaller om in akkount te hacken dat noch altyd RC4 brûkt. De ferzje fan Active Directory yntrodusearre yn Windows Server 2012 yntrodusearre in nij type brûkersgroep neamd de Protected Users Group. It leveret ekstra befeiligingsark en foarkomt brûkersautentikaasje mei RC4-fersifering.
Dizze widget sil demonstrearje as ien domein yn 'e organisaasje sa'n groep mist, sadat jo it kinne reparearje, d.w.s. in groep beskerme brûkers ynskeakelje en it brûke om de ynfrastruktuer te beskermjen.
Maklike doelen foar oanfallers
Brûkersakkounts binne it nûmer ien doel foar oanfallers, fan inisjele ynbraakpogingen oant oanhâldende eskalaasje fan privileezjes en ferbergjen fan har aktiviteiten. Oanfallers sykje ienfâldige doelen op jo netwurk mei basis PowerShell-kommando's dy't faak lestich te ûntdekken binne. Ferwiderje safolle mooglik fan dizze maklike doelen fan AD.
Oanfallers sykje brûkers mei wachtwurden dy't noait ferrinne (of dy't gjin wachtwurden nedich binne), technologyakkounts dy't behearders binne, en akkounts dy't legacy RC4-fersifering brûke.
Elk fan dizze akkounts binne of triviaal om tagong te krijen of oer it algemien net kontroleare. Oanfallers kinne dizze akkounts oernimme en frij bewege binnen jo ynfrastruktuer.
Sadree't oanfallers de feiligensperimeter penetrearje, sille se wierskynlik tagong krije ta op syn minst ien akkount. Kinne jo foarkomme dat se tagong krije ta gefoelige gegevens foardat de oanfal wurdt ûntdutsen en befette?
It Varonis AD-dashboard sil kwetsbere brûkersaccounts oanwize, sadat jo problemen proaktyf kinne oplosse. Hoe dreger it is om jo netwurk te penetrearjen, hoe grutter jo kânsen om in oanfaller te neutralisearjen foardat se serieuze skea feroarsaakje.
4 Key Risk Indicators foar brûkersakkounts
Hjirûnder binne foarbylden fan Varonis AD-dashboardwidgets dy't de meast kwetsbere brûkersaccounts markearje.
1. Oantal aktive brûkers mei wachtwurden dy't nea ferrinne
Foar elke oanfaller om tagong te krijen ta sa'n akkount is altyd in grut súkses. Om't it wachtwurd nea ferrint, hat de oanfaller in permaninte fuotstân binnen it netwurk, dêr't dan oan brûkt wurde kin of bewegingen binnen de ynfrastruktuer.
Oanfallers hawwe listen mei miljoenen kombinaasjes fan brûkers-wachtwurden dy't se brûke yn oanfallen fan bewiisbrieven, en de kâns is dat
dat de kombinaasje foar de brûker mei it "ivige" wachtwurd yn ien fan dizze listen is, folle grutter as nul.
Akkounts mei net-ferrinnende wachtwurden binne maklik te behearjen, mar se binne net feilich. Brûk dizze widget om alle akkounts te finen dy't sokke wachtwurden hawwe. Feroarje dizze ynstelling en fernije jo wachtwurd.
Sadree't de wearde fan dizze widget is ynsteld op nul, alle nije akkounts makke mei dat wachtwurd sil ferskine yn it dashboard.
2. Oantal bestjoerlike akkounts mei SPN
SPN (Service Principal Name) is in unike identifier fan in tsjinsteksimplaar. Dizze widget lit sjen hoefolle tsjinstakkounts folsleine behearderrjochten hawwe. De wearde op 'e widget moat nul wêze. SPN mei bestjoerlike rjochten komt foar om't it jaan fan sokke rjochten handich is foar softwareferkeapers en applikaasjebehearders, mar it soarget foar in feiligensrisiko.
It jaan fan de tsjinst account bestjoerlike rjochten kinne in oanfaller te krijen folsleine tagong ta in akkount dat is net yn gebrûk. Dit betsjut dat oanfallers mei tagong ta SPN-akkounts frij kinne operearje binnen de ynfrastruktuer sûnder har aktiviteiten te kontrolearjen.
Jo kinne dit probleem oplosse troch de tagongsrjochten op tsjinstakkounts te feroarjen. Sokke akkounts moatte ûnderwurpen wêze oan it prinsipe fan minste privileezje en hawwe allinich de tagong dy't eins nedich is foar har wurking.
Mei dizze widget kinne jo alle SPN's ûntdekke dy't bestjoerlike rjochten hawwe, sokke privileezjes fuortsmite, en dan SPN's kontrolearje mei itselde prinsipe fan minst befoarrjochte tagong.
De nij ferskinende SPN sil wurde werjûn op it dashboard, en jo kinne dit proses kontrolearje.
3. Oantal brûkers dy't gjin Kerberos pre-autentikaasje nedich binne
Ideal, Kerberos fersiferet it autentikaasjekaartsje mei AES-256-fersifering, dy't oant hjoed de dei ûnbrûkber bliuwt.
Aldere ferzjes fan Kerberos brûkten lykwols RC4-fersifering, dy't no yn minuten brutsen wurde kin. Dizze widget lit sjen hokker brûkersakkounts noch RC4 brûke. Microsoft stipet noch RC4 foar efterkompatibiliteit, mar dat betsjut net dat jo it moatte brûke yn jo AD.
As jo ienris sokke akkounts identifisearre hawwe, moatte jo it karfakje "net fereaske Kerberos pre-autorisaasje" yn AD om de akkounts te twingen om kompleksere fersifering te brûken.
It ûntdekken fan dizze akkounts op jo eigen, sûnder it Varonis AD-dashboard, nimt in protte tiid. Yn 'e realiteit is it bewust fan alle akkounts dy't wurde bewurke om RC4-fersifering te brûken in noch dreger taak.
As de wearde op 'e widget feroaret, kin dit oanjaan op yllegale aktiviteit.
4. Oantal brûkers sûnder wachtwurd
Oanfallers brûke basis PowerShell-kommando's om de flagge "PASSWD_NOTREQD" fan AD yn akkounteigenskippen te lêzen. Gebrûk fan dizze flagge jout oan dat d'r gjin wachtwurdeasken of kompleksiteiteasken binne.
Hoe maklik is it om in akkount te stellen mei in ienfâldich as leech wachtwurd? Stel jo no foar dat ien fan dizze akkounts in behearder is.
Wat as ien fan 'e tûzenen fertroulike bestannen iepen foar elkenien in kommende finansjeel rapport is?
It negearjen fan de ferplichte wachtwurdeask is in oare fluchtoets foar systeembehear dy't yn it ferline faak brûkt waard, mar is hjoed net akseptabel noch feilich.
Reparearje dit probleem troch de wachtwurden foar dizze akkounts te aktualisearjen.
It kontrolearjen fan dizze widget yn 'e takomst sil jo helpe om akkounts sûnder wachtwurd te foarkommen.
Varonis evenret de kânsen
Yn it ferline naam it wurk fan it sammeljen en analysearjen fan de metriken beskreaun yn dit artikel in protte oeren en easke djippe kennis fan PowerShell, wêrtroch feiligensteams elke wike as moanne boarnen oan sokke taken tawize. Mar manuele kolleksje en ferwurking fan dizze ynformaasje jout oanfallers in foarsprong om gegevens te ynfiltrearjen en te stellen.
С Jo sille ien dei besteegje om it AD-dashboard en ekstra komponinten yn te setten, alle besprutsen kwetsberens te sammeljen en in protte mear. Yn 'e takomst, tidens operaasje, sil it tafersjochpaniel automatysk bywurke wurde as de tastân fan' e ynfrastruktuer feroaret.
It útfieren fan cyberoanfallen is altyd in race tusken oanfallers en ferdigeners, de winsk fan 'e oanfaller om gegevens te stellen foardat feiligensspesjalisten tagong kinne blokkearje. Iere opspoaren fan oanfallers en har yllegale aktiviteiten, keppele oan sterke cyberferdigeningen, is de kaai om jo gegevens feilich te hâlden.
Boarne: www.habr.com