Հարձակվողին միայն ժամանակ և մոտիվացիա է պետք՝ ձեր ցանցը ներխուժելու համար: Բայց մեր գործն է թույլ չտալ նրան դա անել, կամ գոնե հնարավորինս դժվարացնել այդ գործը: Դուք պետք է սկսեք հայտնաբերել Active Directory-ում (այսուհետ՝ AD) թույլ կողմերը, որոնք հարձակվողը կարող է օգտագործել՝ մուտք ստանալու և ցանցով շարժվելու համար՝ առանց հայտնաբերման: Այսօր այս հոդվածում մենք կդիտարկենք ռիսկի ցուցիչները, որոնք արտացոլում են ձեր կազմակերպության կիբեր պաշտպանությունում առկա խոցելիությունները՝ որպես օրինակ օգտագործելով AD Varonis վահանակը:
Հարձակվողները օգտագործում են որոշակի կոնֆիգուրացիաներ տիրույթում
Հարձակվողները օգտագործում են տարբեր խելացի տեխնիկաներ և խոցելիություններ՝ կորպորատիվ ցանցեր ներթափանցելու և արտոնությունները մեծացնելու համար: Այս խոցելիություններից մի քանիսը տիրույթի կազմաձևման կարգավորումներ են, որոնք կարող են հեշտությամբ փոփոխվել, երբ դրանք հայտնաբերվեն:
AD վահանակը անմիջապես կզգուշացնի ձեզ, եթե դուք (կամ ձեր համակարգի ադմինիստրատորները) չեք փոխել KRBTGT գաղտնաբառը վերջին ամսվա ընթացքում, կամ եթե ինչ-որ մեկը նույնականացրել է կանխադրված ներկառուցված Ադմինիստրատորի հաշվի միջոցով: Այս երկու հաշիվներն ապահովում են անսահմանափակ մուտք դեպի ձեր ցանց. հարձակվողները կփորձեն մուտք գործել դեպի դրանք՝ հեշտությամբ շրջանցելու արտոնությունների և մուտքի թույլտվությունների ցանկացած սահմանափակում: Եվ, արդյունքում, նրանք ստանում են մուտք դեպի իրենց հետաքրքրող ցանկացած տվյալ:
Իհարկե, դուք ինքներդ կարող եք բացահայտել այս խոցելիությունը. օրինակ՝ սահմանեք օրացույցի հիշեցում, որպեսզի ստուգեք կամ գործարկեք PowerShell սկրիպտը՝ այս տեղեկատվությունը հավաքելու համար:
Varonis-ի վահանակը թարմացվում է ավտոմատ ապահովել արագ տեսանելիություն և հիմնական ցուցանիշների վերլուծություն, որոնք ընդգծում են պոտենցիալ խոցելիությունները, որպեսզի կարողանաք անհապաղ միջոցներ ձեռնարկել դրանց վերացման համար:
3 Հիմնական տիրույթի մակարդակի ռիսկի ցուցիչներ
Ստորև ներկայացված են Varonis վահանակի վրա հասանելի մի շարք վիջեթներ, որոնց օգտագործումը զգալիորեն կբարձրացնի կորպորատիվ ցանցի և ընդհանուր առմամբ ՏՏ ենթակառուցվածքի պաշտպանությունը:
1. Դոմենների քանակը, որոնց համար Kerberos հաշվի գաղտնաբառը չի փոխվել զգալի ժամանակահատվածում
KRBTGT հաշիվը AD-ում հատուկ հաշիվ է, որը ստորագրում է ամեն ինչ . Հարձակվողները, ովքեր մուտք են ստանում տիրույթի վերահսկիչ (DC) կարող են օգտագործել այս հաշիվը ստեղծելու համար , ինչը նրանց անսահմանափակ հասանելիություն կտա կորպորատիվ ցանցի գրեթե ցանկացած համակարգ: Մենք հանդիպեցինք մի իրավիճակի, երբ «Ոսկե տոմս» հաջողությամբ ձեռք բերելուց հետո հարձակվողը երկու տարի մուտք ուներ կազմակերպության ցանց: Եթե ձեր ընկերության KRBTGT հաշվի գաղտնաբառը չի փոխվել վերջին քառասուն օրվա ընթացքում, վիդջեթը ձեզ կտեղեկացնի այդ մասին:
Քառասուն օրն ավելի քան բավարար ժամանակ է հարձակվողին ցանց մուտք գործելու համար: Այնուամենայնիվ, եթե դուք կանոնավոր կերպով կիրառեք և ստանդարտացնեք այս գաղտնաբառի փոփոխման գործընթացը, հարձակվողի համար շատ ավելի դժվար կլինի ներխուժել ձեր կորպորատիվ ցանց:
Հիշեք, որ Microsoft-ի կողմից Kerberos արձանագրության ներդրման համաձայն, դուք պետք է KRBTGT.
Ապագայում այս AD վիջեթը կհիշեցնի ձեզ, երբ ժամանակն է կրկին փոխել KRBTGT գաղտնաբառը ձեր ցանցի բոլոր տիրույթների համար:
2. Դոմեյնների քանակը, որտեղ վերջերս օգտագործվել է ներկառուցված Administrator հաշիվը
Ըստ — Համակարգի ադմինիստրատորներին տրամադրվում է երկու հաշիվ՝ առաջինը ամենօրյա օգտագործման հաշիվ է, իսկ երկրորդը՝ պլանային ադմինիստրատիվ աշխատանքի համար։ Սա նշանակում է, որ ոչ ոք չպետք է օգտագործի լռելյայն ադմինիստրատորի հաշիվը:
Ներկառուցված ադմինիստրատորի հաշիվը հաճախ օգտագործվում է համակարգի կառավարման գործընթացը պարզեցնելու համար: Սա կարող է դառնալ վատ սովորություն, որի արդյունքում հաքերային հարձակումներ կան: Եթե դա տեղի ունենա ձեր կազմակերպությունում, դուք դժվարություն կունենաք տարբերակել այս հաշվի ճիշտ օգտագործումը և հնարավոր վնասակար մուտքը:
Եթե վիջեթը զրոյից բացի այլ բան է ցույց տալիս, ապա ինչ-որ մեկը ճիշտ չի աշխատում վարչական հաշիվների հետ: Այս դեպքում դուք պետք է քայլեր ձեռնարկեք ներկառուցված ադմինիստրատորի հաշիվ մուտքը շտկելու և սահմանափակելու համար:
Երբ դուք հասնեք զրոյական վիդջեթի արժեքին, և համակարգի ադմինիստրատորներն այլևս չեն օգտագործում այս հաշիվը իրենց աշխատանքի համար, ապա ապագայում դրա ցանկացած փոփոխություն ցույց կտա հնարավոր կիբերհարձակման մասին:
3. Դոմեյնների թիվը, որոնք չունեն Պաշտպանված օգտատերերի խումբ
AD-ի ավելի հին տարբերակներն աջակցում էին կոդավորման թույլ տեսակ՝ RC4: Հաքերները կոտրել են RC4-ը շատ տարիներ առաջ, և այժմ հարձակվողի համար շատ աննշան խնդիր է կոտրել հաշիվը, որը դեռ օգտագործում է RC4: Windows Server 2012-ում ներկայացված Active Directory-ի տարբերակը ներկայացրեց օգտատերերի նոր տեսակ, որը կոչվում է «Պաշտպանված օգտվողների խումբ»: Այն ապահովում է լրացուցիչ անվտանգության գործիքներ և կանխում է օգտատերերի նույնականացումը՝ օգտագործելով RC4 կոդավորումը:
Այս վիջեթը ցույց կտա, թե արդյոք կազմակերպությունում որևէ տիրույթում բացակայում է այդպիսի խումբ, որպեսզի կարողանաք ուղղել այն, այսինքն. միացնել պաշտպանված օգտվողների խումբը և օգտագործել այն ենթակառուցվածքը պաշտպանելու համար:
Հեշտ թիրախներ հարձակվողների համար
Օգտատերերի հաշիվները հարձակվողների համար թիվ մեկ թիրախն են՝ սկսած ներխուժման սկզբնական փորձերից մինչև արտոնությունների շարունակական ընդլայնումը և նրանց գործունեությունը թաքցնելը: Հարձակվողները փնտրում են պարզ թիրախներ ձեր ցանցում՝ օգտագործելով հիմնական PowerShell հրամանները, որոնք հաճախ դժվար է հայտնաբերել: Հեռացրեք այս հեշտ թիրախներից որքան հնարավոր է շատերը AD-ից:
Հարձակվողները փնտրում են օգտատերերի, որոնց գաղտնաբառերը չեն լրանում (կամ ովքեր գաղտնաբառեր չեն պահանջում), տեխնոլոգիական հաշիվներ, որոնք ադմինիստրատորներ են, և հաշիվներ, որոնք օգտագործում են հին RC4 կոդավորումը:
Այս հաշիվներից որևէ մեկը կամ աննշան է մուտքի համար, կամ ընդհանրապես չի վերահսկվում: Հարձակվողները կարող են տիրանալ այս հաշիվներին և ազատ տեղաշարժվել ձեր ենթակառուցվածքում:
Երբ հարձակվողները ներթափանցեն անվտանգության պարագիծը, նրանք, ամենայն հավանականությամբ, մուտք կունենան առնվազն մեկ հաշիվ: Կարո՞ղ եք դադարեցնել նրանց մուտքը զգայուն տվյալներ՝ նախքան հարձակումը հայտնաբերելը և պարունակելը:
Varonis AD վահանակը կմատնանշի խոցելի օգտվողների հաշիվները, որպեսզի կարողանաք պրոակտիվ կերպով լուծել խնդիրները: Որքան դժվար է ներթափանցել ձեր ցանց, այնքան ավելի մեծ են հարձակվողին չեզոքացնելու ձեր հնարավորությունները՝ նախքան նրանք լուրջ վնաս հասցնելը:
4 հիմնական ռիսկի ցուցիչ օգտվողների հաշիվների համար
Ստորև բերված են Varonis AD վահանակի վիդջեթների օրինակներ, որոնք ընդգծում են ամենախոցելի օգտատերերի հաշիվները:
1. Ակտիվ օգտատերերի թիվը գաղտնաբառերով, որոնց ժամկետը երբեք չի սպառվում
Ցանկացած հարձակվողի համար այդպիսի հաշիվ մուտք գործելը միշտ մեծ հաջողություն է: Քանի որ գաղտնաբառի ժամկետը երբեք չի լրանում, հարձակվողն ունի մշտական հենարան ցանցում, որը կարող է օգտագործվել կամ ենթակառուցվածքների ներսում տեղաշարժեր:
Հարձակվողներն ունեն օգտատերերի և գաղտնաբառերի միլիոնավոր համակցությունների ցուցակներ, որոնք նրանք օգտագործում են հավատարմագրերի լցոնման հարձակումներում, և հավանականությունն այն է, որ
որ «հավերժական» գաղտնաբառով օգտատիրոջ համակցությունը նշված ցուցակներից մեկում է՝ զրոյից շատ ավելի մեծ:
Ժամկետանց գաղտնաբառերով հաշիվները հեշտ է կառավարել, բայց դրանք ապահով չեն: Օգտագործեք այս վիջեթը՝ գտնելու բոլոր հաշիվները, որոնք ունեն նման գաղտնաբառեր: Փոխեք այս կարգավորումը և թարմացրեք ձեր գաղտնաբառը:
Երբ այս վիջեթի արժեքը զրոյականացվի, այդ գաղտնաբառով ստեղծված ցանկացած նոր հաշիվ կհայտնվի վահանակում:
2. SPN-ով վարչական հաշիվների քանակը
SPN-ը (Service Principal Name) ծառայության օրինակի եզակի նույնացուցիչ է: Այս վիջեթը ցույց է տալիս, թե քանի ծառայությունների հաշիվներ ունեն ադմինիստրատորի լիարժեք իրավունքներ: Վիդջեթի արժեքը պետք է լինի զրո: Վարչական իրավունքներով SPN-ն առաջանում է, քանի որ նման իրավունքների տրամադրումը հարմար է ծրագրային ապահովման վաճառողների և հավելվածների ադմինիստրատորների համար, բայց դա անվտանգության վտանգ է ներկայացնում:
Ծառայության հաշվին ադմինիստրատիվ իրավունք տալը թույլ է տալիս հարձակվողին լիարժեք մուտք ունենալ չօգտագործվող հաշիվ: Սա նշանակում է, որ SPN հաշիվներին հասանելիություն ունեցող հարձակվողները կարող են ազատորեն գործել ենթակառուցվածքում՝ առանց իրենց գործունեությունը վերահսկելու:
Դուք կարող եք լուծել այս խնդիրը՝ փոխելով ծառայության հաշիվների թույլտվությունները: Նման հաշիվները պետք է ենթարկվեն նվազագույն արտոնությունների սկզբունքին և ունենան միայն այն մուտքը, որն իրականում անհրաժեշտ է դրանց գործունեության համար:
Օգտագործելով այս վիջեթը, դուք կարող եք հայտնաբերել բոլոր SPN-ները, որոնք ունեն ադմինիստրատիվ իրավունքներ, հեռացնել նման արտոնությունները, այնուհետև վերահսկել SPN-ները՝ օգտագործելով նվազագույն արտոնյալ մուտքի նույն սկզբունքը:
Նոր հայտնված SPN-ը կցուցադրվի վահանակի վրա, և դուք կկարողանաք վերահսկել այս գործընթացը:
3. Օգտատերերի թիվը, ովքեր չեն պահանջում Kerberos-ի նախնական նույնականացում
Իդեալում, Kerberos-ը գաղտնագրում է նույնականացման տոմսը՝ օգտագործելով AES-256 կոդավորումը, որը մինչ օրս մնում է անխախտելի:
Այնուամենայնիվ, Kerberos-ի հին տարբերակներն օգտագործում էին RC4 կոդավորումը, որն այժմ կարող է կոտրվել րոպեների ընթացքում: Այս վիջեթը ցույց է տալիս, թե որ օգտատերերի հաշիվներն են դեռ օգտագործում RC4: Microsoft-ը դեռևս աջակցում է RC4-ին հետընթաց համատեղելիության համար, բայց դա չի նշանակում, որ դուք պետք է օգտագործեք այն ձեր AD-ում:
Նման հաշիվները հայտնաբերելուց հետո դուք պետք է հանեք «չի պահանջում Kerberos-ի նախնական թույլտվություն» վանդակը AD-ում, որպեսզի ստիպեք հաշիվներին օգտագործել ավելի բարդ գաղտնագրում:
Այս հաշիվները ինքնուրույն հայտնաբերելը, առանց Varonis AD վահանակի, շատ ժամանակ է պահանջում: Իրականում, բոլոր հաշիվների մասին տեղյակ լինելը, որոնք խմբագրվել են RC4 կոդավորումն օգտագործելու համար, էլ ավելի բարդ խնդիր է:
Եթե վիջեթի արժեքը փոխվում է, դա կարող է ցույց տալ անօրինական գործողություն:
4. Առանց գաղտնաբառի օգտագործողների թիվը
Հարձակվողներն օգտագործում են հիմնական PowerShell հրամանները՝ կարդալու «PASSWD_NOTREQD» դրոշը AD-ից՝ հաշվի հատկություններում: Այս դրոշի օգտագործումը ցույց է տալիս, որ գաղտնաբառի պահանջներ կամ բարդության պահանջներ չկան:
Որքա՞ն հեշտ է պարզ կամ դատարկ գաղտնաբառով հաշիվ գողանալը: Հիմա պատկերացրեք, որ այս հաշիվներից մեկը ադմինիստրատոր է:
Ի՞նչ կլինի, եթե բոլորի համար բաց հազարավոր գաղտնի ֆայլերից մեկը գալիք ֆինանսական հաշվետվությունն է:
Գաղտնաբառի պարտադիր պահանջի անտեսումը համակարգի կառավարման ևս մեկ դյուրանցում է, որը հաճախ օգտագործվում էր նախկինում, բայց այսօր ոչ ընդունելի է, ոչ էլ անվտանգ:
Ուղղեք այս խնդիրը՝ թարմացնելով այս հաշիվների գաղտնաբառերը:
Հետագայում այս վիջեթի մոնիտորինգը կօգնի ձեզ խուսափել առանց գաղտնաբառի հաշիվներից:
Վարոնիսը հավասարեցնում է հավանականությունը
Նախկինում այս հոդվածում նկարագրված չափորոշիչները հավաքելու և վերլուծելու աշխատանքը տևում էր շատ ժամեր և պահանջում էր PowerShell-ի խորը գիտելիքներ՝ անվտանգության թիմերից պահանջելով ամեն շաբաթ կամ ամիս ռեսուրսներ հատկացնել նման առաջադրանքներին: Սակայն այս տեղեկատվության ձեռքով հավաքումն ու մշակումը հարձակվողներին հնարավորություն է տալիս ներթափանցել և գողանալ տվյալները:
С Դուք մեկ օր կծախսեք AD-ի վահանակը և լրացուցիչ բաղադրիչները տեղակայելու, քննարկված բոլոր խոցելիությունները և շատ ավելին հավաքելու համար: Հետագայում, շահագործման ընթացքում, մոնիտորինգի վահանակը ավտոմատ կերպով կթարմացվի, քանի որ ենթակառուցվածքի վիճակը փոխվում է:
Կիբերհարձակումներ իրականացնելը միշտ մրցավազք է հարձակվողների և պաշտպանների միջև, հարձակվողի ցանկությունը՝ գողանալ տվյալները, նախքան անվտանգության մասնագետները արգելափակել դրանց մուտքը: Հարձակվողների և նրանց անօրինական գործողությունների վաղ հայտնաբերումը, զուգորդված ուժեղ կիբերպաշտպանության հետ, ձեր տվյալների անվտանգ պահպանման բանալին է:
Source: www.habr.com