Sve što je napadaču potrebno je vrijeme i motivacija da upadne u vašu mrežu. No, naš je posao spriječiti ga u tome ili mu barem maksimalno otežati taj zadatak. Morate započeti identificiranjem slabosti u Active Directoryju (u daljnjem tekstu AD) koje napadač može koristiti za pristup i kretanje mrežom, a da ga ne otkriju. Danas ćemo u ovom članku pogledati pokazatelje rizika koji odražavaju postojeće ranjivosti u kibernetičkoj obrani vaše organizacije, koristeći AD Varonis nadzornu ploču kao primjer.
Napadači koriste određene konfiguracije u domeni
Napadači koriste razne pametne tehnike i ranjivosti kako bi prodrli u korporativne mreže i eskalirali privilegije. Neke od ovih ranjivosti su postavke konfiguracije domene koje se mogu lako promijeniti nakon što se identificiraju.
AD nadzorna ploča će vas odmah upozoriti ako vi (ili vaši administratori sustava) niste promijenili KRBTGT lozinku u prošlom mjesecu ili ako se netko autentificirao sa zadanim ugrađenim administratorskim računom. Ova dva računa pružaju neograničen pristup vašoj mreži: napadači će im pokušati pristupiti kako bi lako zaobišli sva ograničenja u privilegijama i dozvolama za pristup. I, kao rezultat toga, dobivaju pristup svim podacima koji ih zanimaju.
Naravno, te ranjivosti možete otkriti sami: na primjer, postavite kalendarski podsjetnik za provjeru ili pokrenite PowerShell skriptu za prikupljanje ovih informacija.
Varonis nadzorna ploča se ažurira automatsko za pružanje brze vidljivosti i analize ključnih metrika koje ističu potencijalne ranjivosti kako biste mogli odmah poduzeti radnje za njihovo rješavanje.
3 ključna pokazatelja rizika na razini domene
U nastavku je niz widgeta dostupnih na Varonis nadzornoj ploči, čija će upotreba značajno poboljšati zaštitu korporativne mreže i IT infrastrukture u cjelini.
1. Broj domena za koje lozinka Kerberos računa nije promijenjena duže vrijeme
KRBTGT račun je poseban račun u AD koji sve potpisuje . Napadači koji dobiju pristup kontroleru domene (DC) mogu koristiti ovaj račun za stvaranje , što će im omogućiti neograničen pristup gotovo svakom sustavu na korporativnoj mreži. Susreli smo se sa situacijom u kojoj je nakon uspješnog dobivanja Zlatne karte napadač imao pristup mreži organizacije dvije godine. Ako lozinka računa KRBTGT u vašoj tvrtki nije promijenjena u zadnjih četrdeset dana, widget će vas o tome obavijestiti.
Četrdeset dana je više nego dovoljno vremena da napadač dobije pristup mreži. Međutim, ako provodite i standardizirate postupak redovite promjene ove lozinke, napadaču će biti mnogo teže provaliti u vašu poslovnu mrežu.
Imajte na umu da prema Microsoftovoj implementaciji Kerberos protokola, morate KRBTGT.
Ubuduće će vas ovaj AD widget podsjetiti kada dođe vrijeme da ponovno promijenite KRBTGT lozinku za sve domene na vašoj mreži.
2. Broj domena na kojima je nedavno korišten ugrađeni administratorski račun
Prema — administratorima sustava dostupna su dva računa: prvi je račun za svakodnevnu upotrebu, a drugi za planirane administrativne poslove. To znači da nitko ne bi trebao koristiti zadani administratorski račun.
Ugrađeni administratorski račun često se koristi za pojednostavljenje procesa administracije sustava. To može postati loša navika, što rezultira hakiranjem. Ako se to dogodi u vašoj organizaciji, teško ćete razlikovati ispravnu upotrebu ovog računa od potencijalno zlonamjernog pristupa.
Ako widget prikazuje bilo što osim nule, onda netko ne radi ispravno s administrativnim računima. U tom slučaju morate poduzeti korake da ispravite i ograničite pristup ugrađenom administratorskom računu.
Nakon što postignete vrijednost widgeta od nule i administratori sustava više ne koriste ovaj račun za svoj rad, tada će u budućnosti svaka njegova promjena ukazivati na potencijalni kibernetički napad.
3. Broj domena koje nemaju grupu zaštićenih korisnika
Starije verzije AD-a podržavale su slabu vrstu enkripcije - RC4. Hakeri su hakirali RC4 prije mnogo godina, a sada je za napadača vrlo trivijalan zadatak hakirati račun koji još uvijek koristi RC4. Verzija Active Directory predstavljena u sustavu Windows Server 2012 uvela je novu vrstu korisničke grupe nazvanu Protected Users Group. Omogućuje dodatne sigurnosne alate i sprječava autentifikaciju korisnika pomoću RC4 enkripcije.
Ovaj widget pokazat će ako bilo kojoj domeni u organizaciji nedostaje takva grupa kako biste to mogli popraviti, tj. omogućiti skupinu zaštićenih korisnika i koristiti je za zaštitu infrastrukture.
Laka meta za napadače
Korisnički računi su meta broj jedan za napadače, od početnih pokušaja upada do kontinuirane eskalacije privilegija i prikrivanja njihovih aktivnosti. Napadači traže jednostavne ciljeve na vašoj mreži pomoću osnovnih PowerShell naredbi koje je često teško otkriti. Uklonite što je moguće više ovih lakih meta iz AD-a.
Napadači traže korisnike s zaporkama koje nikad ne ističu (ili koji ne zahtijevaju lozinke), tehnološke račune koji su administratori i račune koji koriste naslijeđenu RC4 enkripciju.
Svim ovim računima je ili trivijalno pristupiti ili se općenito ne nadziru. Napadači mogu preuzeti te račune i slobodno se kretati unutar vaše infrastrukture.
Nakon što napadači prodru kroz sigurnosni perimetar, vjerojatno će dobiti pristup barem jednom računu. Možete li ih spriječiti da dobiju pristup osjetljivim podacima prije nego što se napad otkrije i obuzda?
Nadzorna ploča Varonis AD ukazat će na ranjive korisničke račune kako biste mogli proaktivno rješavati probleme. Što je teže prodrijeti u vašu mrežu, to su veće šanse da neutralizirate napadača prije nego što izazove ozbiljnu štetu.
4 ključna pokazatelja rizika za korisničke račune
Ispod su primjeri Varonis AD widgeta nadzorne ploče koji ističu najranjivije korisničke račune.
1. Broj aktivnih korisnika s lozinkama koje nikada ne ističu
Za svakog napadača pristup takvom računu uvijek je veliki uspjeh. Budući da lozinka nikada ne istječe, napadač ima trajno uporište unutar mreže, koje zatim može koristiti ili kretanja unutar infrastrukture.
Napadači imaju popise s milijunima kombinacija korisničkih lozinki koje koriste u napadima gomilanjem vjerodajnica, a vjerojatnost je da
da je kombinacija za korisnika s "vječnom" lozinkom na jednom od tih popisa, mnogo veća od nule.
Računima s zaporkama koje ne ističu lako je upravljati, ali nisu sigurni. Pomoću ovog widgeta pronađite sve račune koji imaju takve lozinke. Promijenite ovu postavku i ažurirajte svoju lozinku.
Nakon što se vrijednost ovog widgeta postavi na nulu, svi novi računi stvoreni s tom lozinkom pojavit će se na nadzornoj ploči.
2. Broj administrativnih računa sa SPN
SPN (Service Principal Name) je jedinstveni identifikator instance usluge. Ovaj widget pokazuje koliko računa usluga ima puna administratorska prava. Vrijednost na widgetu mora biti nula. SPN s administratorskim pravima javlja se jer je dodjeljivanje takvih prava pogodno za dobavljače softvera i administratore aplikacija, ali predstavlja sigurnosni rizik.
Davanje administrativnih prava računu usluge omogućuje napadaču da dobije puni pristup računu koji nije u upotrebi. To znači da napadači s pristupom SPN računima mogu slobodno djelovati unutar infrastrukture bez nadzora njihovih aktivnosti.
Ovaj problem možete riješiti promjenom dopuštenja na računima usluga. Takvi bi računi trebali podlijegati načelu najmanje privilegije i imati samo onaj pristup koji je stvarno neophodan za njihov rad.
Pomoću ovog widgeta možete otkriti sve SPN-ove koji imaju administratorska prava, ukloniti takve povlastice i zatim nadzirati SPN-ove koristeći isti princip najmanje privilegiranog pristupa.
Novopojavljeni SPN bit će prikazan na nadzornoj ploči, a vi ćete moći pratiti ovaj proces.
3. Broj korisnika koji ne zahtijevaju Kerberos prethodnu provjeru autentičnosti
U idealnom slučaju, Kerberos šifrira autentifikacijsku kartu koristeći AES-256 enkripciju, koja je do danas neprobojna.
Međutim, starije verzije Kerberosa koristile su RC4 enkripciju, koja se sada može razbiti u nekoliko minuta. Ovaj widget pokazuje koji korisnički računi još uvijek koriste RC4. Microsoft još uvijek podržava RC4 za kompatibilnost s prethodnim verzijama, ali to ne znači da biste ga trebali koristiti u svom oglasu.
Nakon što ste identificirali takve račune, morate poništiti odabir potvrdnog okvira "ne zahtijeva prethodnu autorizaciju za Kerberos" u AD-u kako biste prisilili račune na upotrebu sofisticiranije enkripcije.
Samostalno otkrivanje ovih računa, bez Varonis AD nadzorne ploče, oduzima puno vremena. U stvarnosti, biti svjestan svih računa koji su uređeni za korištenje RC4 enkripcije još je teži zadatak.
Ako se vrijednost na widgetu promijeni, to može značiti nezakonitu aktivnost.
4. Broj korisnika bez lozinke
Napadači koriste osnovne PowerShell naredbe za čitanje oznake “PASSWD_NOTREQD” iz AD-a u svojstvima računa. Korištenje ove zastavice označava da ne postoje zahtjevi za lozinkom ili zahtjevi za složenošću.
Koliko je lako ukrasti račun s jednostavnom ili praznom lozinkom? Sada zamislite da je jedan od ovih računa administrator.
Što ako je jedan od tisuća povjerljivih datoteka otvorenih svima nadolazeće financijsko izvješće?
Ignoriranje zahtjeva za obaveznom lozinkom još je jedan prečac administracije sustava koji se često koristio u prošlosti, ali danas nije ni prihvatljiv ni siguran.
Riješite ovaj problem ažuriranjem zaporki za ove račune.
Praćenje ovog widgeta u budućnosti pomoći će vam da izbjegnete račune bez lozinke.
Varonis izjednačava izglede
U prošlosti je rad na prikupljanju i analizi metrike opisanih u ovom članku trajao mnogo sati i zahtijevao duboko poznavanje PowerShell-a, zahtijevajući od sigurnosnih timova da svaki tjedan ili mjesec dodijele resurse takvim zadacima. No ručno prikupljanje i obrada tih informacija daje napadačima prednost u infiltraciji i krađi podataka.
С Potrošit ćete jedan dan na implementaciju AD nadzorne ploče i dodatnih komponenti, prikupljanje svih ranjivosti o kojima se raspravljalo i još mnogo toga. U budućnosti, tijekom rada, nadzorna ploča će se automatski ažurirati kako se stanje infrastrukture mijenja.
Izvođenje cyber napada uvijek je utrka između napadača i branitelja, želja napadača da ukrade podatke prije nego što stručnjaci za sigurnost uspiju blokirati pristup istima. Rano otkrivanje napadača i njihovih nezakonitih aktivnosti, zajedno sa snažnom kibernetičkom obranom, ključ je za sigurnost vaših podataka.
Izvor: www.habr.com