Todo o que necesita un atacante é tempo e motivación para entrar na túa rede. Pero o noso traballo é impedir que o faga, ou polo menos dificultar o máximo posible esta tarefa. Debe comezar identificando as debilidades en Active Directory (en diante, AD) que un atacante pode usar para acceder e moverse pola rede sen ser detectado. Hoxe neste artigo analizaremos os indicadores de risco que reflicten as vulnerabilidades existentes na defensa cibernética da túa organización, usando o panel de control de AD Varonis como exemplo.
Os atacantes usan determinadas configuracións no dominio
Os atacantes usan unha variedade de técnicas e vulnerabilidades intelixentes para penetrar nas redes corporativas e aumentar os privilexios. Algunhas destas vulnerabilidades son as opcións de configuración do dominio que se poden cambiar facilmente unha vez identificadas.
O panel de control de AD avisarache inmediatamente se ti (ou os teus administradores do sistema) non cambiaches o contrasinal KRBTGT no último mes ou se alguén se autenticou coa conta de administrador integrada predeterminada. Estas dúas contas proporcionan acceso ilimitado á túa rede: os atacantes tentarán acceder a elas para evitar facilmente calquera restrición de privilexios e permisos de acceso. E, como resultado, acceden a calquera dato que lles interese.
Por suposto, pode descubrir estas vulnerabilidades vostede mesmo: por exemplo, configurar un recordatorio de calendario para comprobar ou executar un script de PowerShell para recoller esta información.
O panel de control de Varonis estase actualizando automaticamente para proporcionar visibilidade e análise rápida das métricas clave que resaltan as posibles vulnerabilidades para que poida tomar medidas inmediatas para abordalas.
3 Indicadores clave de risco a nivel de dominio
A continuación móstranse unha serie de widgets dispoñibles no panel de control de Varonis, cuxo uso mellorará significativamente a protección da rede corporativa e da infraestrutura de TI no seu conxunto.
1. Número de dominios dos que non se cambiou o contrasinal da conta Kerberos durante un período de tempo significativo
A conta KRBTGT é unha conta especial en AD que asina todo . Os atacantes que obteñan acceso a un controlador de dominio (DC) poden usar esta conta para creala , que lles dará acceso ilimitado a case calquera sistema da rede corporativa. Atopámonos cunha situación na que, despois de obter con éxito un Ticket de Ouro, un atacante tivo acceso á rede da organización durante dous anos. Se o contrasinal da conta KRBTGT da túa empresa non se cambiou nos últimos corenta días, o widget notificarache sobre isto.
Corenta días é tempo máis que suficiente para que un atacante acceda á rede. Non obstante, se aplicas e estandarizas o proceso de cambio deste contrasinal de forma regular, dificultará moito a entrada dun atacante na túa rede corporativa.
Lembra que, segundo a implementación de Microsoft do protocolo Kerberos, debes KRBTGT.
No futuro, este widget de AD recordarache cando sexa o momento de cambiar o contrasinal KRBTGT de novo para todos os dominios da túa rede.
2. Número de dominios nos que se utilizou recentemente a conta de administrador integrada
Conforme — Os administradores do sistema teñen dúas contas: a primeira é unha conta para o uso diario e a segunda é para o traballo administrativo planificado. Isto significa que ninguén debería usar a conta de administrador predeterminada.
A conta de administrador integrada adoita utilizarse para simplificar o proceso de administración do sistema. Isto pode converterse nun mal hábito, resultando en piratería. Se isto ocorre na túa organización, terás dificultades para distinguir entre o uso correcto desta conta e o acceso potencialmente malicioso.
Se o widget mostra algo que non sexa cero, entón alguén non está a traballar correctamente coas contas administrativas. Neste caso, debes tomar medidas para corrixir e limitar o acceso á conta de administrador integrada.
Unha vez conseguido un valor de widget de cero e os administradores do sistema xa non usan esta conta para o seu traballo, no futuro, calquera cambio nel indicará un potencial ataque cibernético.
3. Número de dominios que non teñen un grupo de Usuarios Protexidos
As versións anteriores de AD admitían un tipo de cifrado débil: RC4. Os piratas informáticos piratearon RC4 hai moitos anos, e agora é unha tarefa moi trivial para un atacante piratear unha conta que aínda está usando RC4. A versión de Active Directory introducida en Windows Server 2012 introduciu un novo tipo de grupo de usuarios chamado Grupo de usuarios protexidos. Proporciona ferramentas de seguridade adicionais e impide a autenticación do usuario mediante o cifrado RC4.
Este widget demostrará se a algún dominio da organización falta un grupo deste tipo para que poidas solucionalo, é dicir. habilitar un grupo de usuarios protexidos e utilízao para protexer a infraestrutura.
Obxectivos fáciles para os atacantes
As contas de usuario son o obxectivo número un dos atacantes, desde os intentos iniciais de intrusión ata a continua escalada de privilexios e a ocultación das súas actividades. Os atacantes buscan obxectivos sinxelos na súa rede mediante comandos básicos de PowerShell que adoitan ser difíciles de detectar. Elimina o máximo posible destes obxectivos sinxelos de AD.
Os atacantes buscan usuarios con contrasinais que non caducan (ou que non esixen contrasinais), contas de tecnoloxía que sexan administradores e contas que utilicen o cifrado RC4 herdado.
Calquera destas contas é de acceso trivial ou xeralmente non se supervisa. Os atacantes poden facerse cargo destas contas e moverse libremente dentro da túa infraestrutura.
Unha vez que os atacantes penetren no perímetro de seguridade, é probable que teñan acceso a polo menos unha conta. Podes impedir que accedan a datos confidenciais antes de que o ataque sexa detectado e contido?
O panel de control de Varonis AD indicará contas de usuarios vulnerables para que poida solucionar os problemas de forma proactiva. Canto máis difícil sexa penetrar na túa rede, maiores serán as posibilidades de neutralizar a un atacante antes de que cause danos graves.
4 Indicadores clave de risco para contas de usuario
A continuación móstranse exemplos de widgets do panel de control de Varonis AD que destacan as contas de usuario máis vulnerables.
1. Número de usuarios activos con contrasinais que nunca caducan
Para calquera atacante acceder a tal conta sempre é un gran éxito. Dado que o contrasinal nunca caduca, o atacante ten un punto de apoio permanente dentro da rede, que despois pode usar ou movementos dentro da infraestrutura.
Os atacantes teñen listas de millóns de combinacións de usuario e contrasinal que usan nos ataques de recheo de credenciais, e é probable que
que a combinación para o usuario co contrasinal “eterno” está nunha destas listas, moito maior que cero.
As contas con contrasinais que non caducan son fáciles de xestionar, pero non son seguras. Use este widget para atopar todas as contas que teñan tales contrasinais. Cambia esta configuración e actualiza o teu contrasinal.
Unha vez que o valor deste widget se axuste a cero, todas as contas novas creadas con ese contrasinal aparecerán no panel.
2. Número de contas administrativas con SPN
SPN (Nome principal do servizo) é un identificador único dunha instancia de servizo. Este widget mostra cantas contas de servizo teñen dereitos de administrador completos. O valor do widget debe ser cero. O SPN con dereitos administrativos prodúcese porque a concesión destes dereitos é conveniente para os provedores de software e os administradores de aplicacións, pero supón un risco de seguridade.
Ao darlle dereitos administrativos á conta de servizo, un atacante pode ter acceso total a unha conta que non está en uso. Isto significa que os atacantes con acceso ás contas SPN poden operar libremente dentro da infraestrutura sen ter as súas actividades supervisadas.
Podes resolver este problema cambiando os permisos das contas de servizo. Tales contas deberían estar suxeitas ao principio de mínimos privilexios e ter só o acceso que realmente é necesario para o seu funcionamento.
Usando este widget, pode detectar todos os SPN que teñan dereitos administrativos, eliminar tales privilexios e, a continuación, supervisar os SPN usando o mesmo principio de acceso con menos privilexios.
O SPN que aparece recentemente aparecerá no panel e poderás supervisar este proceso.
3. Número de usuarios que non precisan autenticación previa de Kerberos
O ideal é que Kerberos cifra o ticket de autenticación mediante o cifrado AES-256, que segue sendo irrompible ata hoxe.
Non obstante, as versións antigas de Kerberos usaban o cifrado RC4, que agora se pode romper en minutos. Este widget mostra cales son as contas de usuario que aínda usan RC4. Microsoft aínda admite RC4 para compatibilidade con versións anteriores, pero iso non significa que debas usalo no teu AD.
Unha vez identificadas esas contas, cómpre desmarcar a caixa de verificación "non require autorización previa de Kerberos" en AD para forzar as contas a utilizar un cifrado máis sofisticado.
Descubrir estas contas por conta propia, sen o panel de control de Varonis AD, leva moito tempo. En realidade, ser consciente de todas as contas que se editan para usar o cifrado RC4 é unha tarefa aínda máis difícil.
Se o valor do widget cambia, isto pode indicar actividade ilegal.
4. Número de usuarios sen contrasinal
Os atacantes usan comandos básicos de PowerShell para ler a bandeira "PASSWD_NOTREQD" de AD nas propiedades da conta. O uso desta marca indica que non hai requisitos de contrasinal nin requisitos de complexidade.
Que fácil é roubar unha conta cun contrasinal sinxelo ou en branco? Agora imaxina que unha destas contas é un administrador.
E se un dos miles de ficheiros confidenciais abertos a todos é un informe financeiro próximo?
Ignorar o requisito de contrasinal obrigatorio é outro atallo de administración do sistema que se usaba a miúdo no pasado, pero que hoxe non é nin aceptable nin seguro.
Resolve este problema actualizando os contrasinais destas contas.
Monitorizar este widget no futuro axudarache a evitar contas sen contrasinal.
Varonis iguala as probabilidades
No pasado, o traballo de recompilación e análise das métricas descritas neste artigo levaba moitas horas e requiría un profundo coñecemento de PowerShell, o que requiría que os equipos de seguridade asignasen recursos para tales tarefas cada semana ou mes. Pero a recollida manual e o procesamento desta información dálles aos atacantes unha vantaxe para infiltrarse e roubar datos.
С Pasará un día para implementar o panel de control de AD e compoñentes adicionais, recoller todas as vulnerabilidades comentadas e moitas máis. No futuro, durante o funcionamento, o panel de vixilancia actualizarase automaticamente a medida que cambie o estado da infraestrutura.
Realizar ciberataques sempre é unha carreira entre atacantes e defensores, o desexo do atacante de roubar datos antes de que os especialistas en seguridade poidan bloquear o acceso a eles. A detección precoz dos atacantes e as súas actividades ilegais, xunto cunhas fortes defensas cibernéticas, é a clave para manter a seguridade dos teus datos.
Fonte: www.habr.com