Tout yon atakè bezwen se tan ak motivasyon pou antre nan rezo ou. Men, travay nou se anpeche l fè sa, oswa omwen fè travay sa a pi difisil ke posib. Ou bezwen kòmanse pa idantifye feblès nan Anyè Aktif (ki refere yo kòm AD) ke yon atakè ka itilize pou jwenn aksè ak deplase atravè rezo a san yo pa detekte. Jodi a nan atik sa a nou pral gade nan endikatè risk ki reflete frajilite ki egziste deja nan defans cyber òganizasyon ou a, lè l sèvi avèk tablodbò AD Varonis la kòm yon egzanp.
Atakè yo itilize sèten konfigirasyon nan domèn nan
Atakè yo sèvi ak yon varyete teknik entelijan ak frajilite pou antre nan rezo antrepriz yo epi ogmante privilèj yo. Gen kèk nan frajilite sa yo se paramèt konfigirasyon domèn ki ka fasil chanje yon fwa yo idantifye yo.
Dashboard AD la pral imedyatman avèti w si oumenm (oswa administratè sistèm ou yo) pa t chanje modpas KRBTGT la nan dènye mwa a, oswa si yon moun te otantifye ak kont Administratè defo entegre. De kont sa yo bay aksè san limit nan rezo ou a: atakè yo pral eseye jwenn aksè a yo fasil kontoune nenpòt restriksyon nan privilèj ak otorizasyon aksè. Epi, kòm yon rezilta, yo jwenn aksè a nenpòt done ki enterese yo.
Natirèlman, ou ka dekouvri vilnerabilite sa yo tèt ou: pou egzanp, mete yon rapèl kalandriye pou tcheke oswa kouri yon script PowerShell pou kolekte enfòmasyon sa a.
Dashboard Varonis ap mete ajou otomatikman pou bay vizibilite rapid ak analiz de mezi kle ki mete aksan sou frajilite potansyèl pou ou ka pran aksyon imedya pou adrese yo.
3 Kle Domèn Nivo Endikatè Risk
Anba la a se yon kantite widgets ki disponib sou tablodbò Varonis, itilizasyon ki pral siyifikativman amelyore pwoteksyon rezo antrepriz la ak enfrastrikti IT an jeneral.
1. Kantite domèn pou yo pa chanje modpas kont Kerberos pou yon peryòd tan enpòtan
Kont KRBTGT a se yon kont espesyal nan AD ki siyen tout bagay . Atakè ki jwenn aksè nan yon kontwolè domèn (DC) ka itilize kont sa a pou kreye , ki pral ba yo aksè san limit nan prèske nenpòt sistèm sou rezo antrepriz la. Nou te rankontre yon sitiyasyon kote, apre yo te fin jwenn yon Tikè Golden, yon atakè te gen aksè a rezo òganizasyon an pandan dezan. Si modpas kont KRBTGT nan konpayi ou a pa te chanje nan karant dènye jou yo, widje a ap fè w konnen sa.
Karant jou se plis pase ase tan pou yon atakè jwenn aksè nan rezo a. Sepandan, si ou aplike ak estandadize pwosesis pou chanje modpas sa a sou yon baz regilye, li pral fè li pi difisil pou yon atakè antre nan rezo antrepriz ou a.
Sonje ke dapre aplikasyon Microsoft nan pwotokòl Kerberos la, ou dwe KRBTGT.
Nan tan kap vini an, widget AD sa a pral raple w lè li lè pou chanje modpas KRBTGT la ankò pou tout domèn sou rezo w la.
2. Kantite domèn kote yo te itilize kont Administratè entegre a
Dapre — Administratè sistèm yo bay de kont: premye a se yon kont pou itilize chak jou, ak dezyèm lan se pou travay administratif planifye. Sa vle di ke pèsonn pa ta dwe itilize kont administratè default la.
Kont administratè entegre a souvan itilize pou senplifye pwosesis administrasyon sistèm lan. Sa a ka vin yon move abitid, sa ki lakòz Hacking. Si sa rive nan òganizasyon w lan, w ap gen difikilte pou w distenge ant bon itilizasyon kont sa a ak aksè potansyèlman move.
Si widje a montre nenpòt lòt bagay pase zewo, Lè sa a, yon moun pa ap travay kòrèkteman ak kont administratif. Nan ka sa a, ou dwe pran mezi pou korije ak limite aksè nan kont administratè entegre a.
Yon fwa ou te reyalize yon valè widget de zewo ak administratè sistèm yo pa sèvi ak kont sa a ankò pou travay yo, Lè sa a, nan lavni an, nenpòt chanjman nan li pral endike yon atak cyber potansyèl.
3. Kantite domèn ki pa gen yon gwoup Itilizatè Pwoteje
Vèsyon ki pi gran nan AD sipòte yon kalite chifreman fèb - RC4. Hackers rache RC4 anpil ane de sa, e kounye a, li se yon travay trè trivial pou yon atakè pirate yon kont ki toujou ap itilize RC4. Vèsyon an nan Active Directory prezante nan Windows Server 2012 prezante yon nouvo kalite gwoup itilizatè yo rele Gwoup Itilizatè Pwoteje. Li bay zouti sekirite adisyonèl ak anpeche otantifikasyon itilizatè lè l sèvi avèk chifreman RC4.
Widget sa a pral montre si nenpòt domèn nan òganizasyon an manke yon gwoup konsa pou ou ka ranje li, i.e. pèmèt yon gwoup itilizatè ki pwoteje epi sèvi ak li pou pwoteje enfrastrikti a.
Objektif fasil pou atakè yo
Kont itilizatè yo se nimewo en sib pou atakè yo, soti nan premye tantativ entrizyon yo kontinye ogmante privilèj yo ak kache aktivite yo. Atakè yo chèche sib senp sou rezo ou a lè l sèvi avèk kòmandman PowerShell debaz ki souvan difisil pou detekte. Retire kòm anpil nan objektif fasil sa yo nan AD ke posib.
Atakè yo ap chèche pou itilizatè ki pa janm ekspire modpas (oswa ki pa bezwen modpas), kont teknoloji ki se administratè, ak kont ki itilize eritaj RC4 chifreman.
Nenpòt nan kont sa yo se swa trivial jwenn aksè oswa jeneralman yo pa kontwole. Atakè yo ka pran kont sa yo epi deplase lib nan enfrastrikti ou.
Yon fwa atakè yo antre nan perimèt sekirite a, yo pral gen anpil chans jwenn aksè a omwen yon kont. Èske ou ka anpeche yo jwenn aksè nan done sansib anvan atak la detekte ak genyen ladan yo?
Varonis AD tablodbò a pral montre kont itilizatè vilnerab yo pou w ka rezoud pwoblèm nan yon fason proactive. Plis li difisil pou penetre rezo w la, se pi plis chans ou genyen pou w netralize yon atakè anvan yo lakòz gwo domaj.
4 Endikatè Risk kle pou kont itilizatè yo
Anba a gen kèk egzanp widgets tablodbò Varonis AD ki mete aksan sou kont itilizatè ki pi vilnerab yo.
1. Kantite itilizatè aktif ak modpas ki pa janm ekspire
Pou nenpòt ki atakè jwenn aksè nan yon kont konsa se toujou yon gwo siksè. Depi modpas la pa janm ekspire, atakè a gen yon pye pèmanan nan rezo a, ki ka Lè sa a, itilize yo oswa mouvman nan enfrastrikti a.
Atakè yo gen lis plizyè milyon konbinezon itilizatè-modpas ke yo itilize nan atak kalifikasyon yo, epi chans pou yo se ke
ke konbinezon an pou itilizatè a ak modpas la "etènèl" se nan youn nan lis sa yo, pi gran pase zewo.
Kont ki gen modpas ki pa ekspire yo fasil pou jere, men yo pa an sekirite. Sèvi ak widget sa a pou jwenn tout kont ki gen modpas sa yo. Chanje paramèt sa a epi mete ajou modpas ou.
Yon fwa yo mete valè widje sa a zewo, nenpòt nouvo kont ki te kreye ak modpas sa a ap parèt nan tablodbò a.
2. Kantite kont administratif ak SPN
SPN (Non Prensipal Sèvis) se yon idantifyan inik nan yon egzanp sèvis. Widget sa a montre konbyen kont sèvis ki gen dwa administratè konplè. Valè widje a dwe zewo. SPN ak dwa administratif rive paske akòde dwa sa yo bon pou vandè lojisyèl ak administratè aplikasyon, men li poze yon risk sekirite.
Bay kont sèvis la dwa administratif pèmèt yon atakè jwenn aksè konplè nan yon kont ki pa itilize. Sa vle di ke atakè ki gen aksè a kont SPN ka opere lib nan enfrastrikti a san yo pa gen aktivite yo kontwole.
Ou ka rezoud pwoblèm sa a lè w chanje otorizasyon yo sou kont sèvis yo. Kont sa yo ta dwe sijè a prensip la nan pi piti privilèj epi yo gen sèlman aksè a ki aktyèlman nesesè pou operasyon yo.
Sèvi ak widget sa a, ou ka detekte tout SPN ki gen dwa administratif, retire privilèj sa yo, epi apresa kontwole SPN yo lè l sèvi avèk menm prensip aksè pi piti privilejye yo.
SPN ki fèk parèt la pral parèt sou tablodbò a, epi w ap kapab kontwole pwosesis sa a.
3. Kantite itilizatè ki pa bezwen Kerberos pre-otantifikasyon
Idealman, Kerberos ankripte tikè otantifikasyon an lè l sèvi avèk chifreman AES-256, ki rete inkatab jiska jounen jodi a.
Sepandan, ansyen vèsyon Kerberos yo te itilize chifreman RC4, ki kapab kounye a kase nan minit. Widget sa a montre ki kont itilizatè yo toujou ap itilize RC4. Microsoft toujou sipòte RC4 pou konpatibilite bak, men sa pa vle di ou ta dwe itilize li nan AD ou a.
Yon fwa ou te idantifye kont sa yo, ou bezwen dezaktive kaz "pa mande pou Kerberos pre-otorizasyon" nan AD pou fòse kont yo sèvi ak chifreman plis sofistike.
Dekouvri kont sa yo poukont ou, san tablodbò Varonis AD, pran anpil tan. An reyalite, ke yo te okouran de tout kont ki modifye yo sèvi ak chifreman RC4 se yon travay menm pi difisil.
Si valè widget la chanje, sa ka endike aktivite ilegal.
4. Kantite itilizatè san modpas
Atakè yo itilize kòmandman PowerShell debaz pou li drapo "PASSWD_NOTREQD" ki soti nan AD nan pwopriyete kont yo. Sèvi ak drapo sa a endike ke pa gen okenn kondisyon modpas oswa kondisyon konpleksite.
Ki jan li fasil pou vòlè yon kont ak yon modpas senp oswa vid? Koulye a, imajine ke youn nan kont sa yo se yon administratè.
E si youn nan plizyè milye dosye konfidansyèl ouvè pou tout moun se yon rapò finansye k ap vini?
Inyore egzijans modpas obligatwa a se yon lòt chemen kout administrasyon sistèm ki te souvan itilize nan tan lontan an, men li pa ni akseptab ni an sekirite jodi a.
Ranje pwoblèm sa a pa mete ajou modpas pou kont sa yo.
Siveyans widje sa a nan lavni ap ede ou evite kont san yon modpas.
Varonis egalite chans yo
Nan tan lontan an, travay la nan kolekte ak analize mezi ki dekri nan atik sa a te pran anpil èdtan epi yo te mande anpil konesans nan PowerShell, ki egzije ekip sekirite yo asiyen resous nan travay sa yo chak semèn oswa mwa. Men, koleksyon manyèl ak pwosesis enfòmasyon sa yo bay atakè yo yon tèt kòmanse enfiltre ak vòlè done.
С Ou pral pase yon sèl jou a deplwaye tablodbò AD ak eleman adisyonèl, kolekte tout frajilite yo diskite ak anpil plis. Nan tan kap vini an, pandan operasyon an, panèl siveyans la pral otomatikman mete ajou kòm eta a nan enfrastrikti a chanje.
Fè atak cyber se toujou yon kous ant atakè ak defansè, dezi atakè a pou vòlè done anvan espesyalis sekirite yo ka bloke aksè a li. Deteksyon byen bonè nan atakè yo ak aktivite ilegal yo, makonnen ak gwo defans cyber, se kle nan kenbe done ou an sekirite.
Sous: www.habr.com