Yang dibutuhkan penyerang hanyalah waktu dan motivasi untuk membobol jaringan Anda. Namun tugas kita adalah mencegahnya melakukan hal ini, atau setidaknya membuat tugas ini sesulit mungkin. Anda harus mulai dengan mengidentifikasi kelemahan dalam Active Directory (selanjutnya disebut AD) yang dapat digunakan penyerang untuk mendapatkan akses dan berpindah melalui jaringan tanpa terdeteksi. Hari ini di artikel ini kita akan melihat indikator risiko yang mencerminkan kerentanan yang ada dalam pertahanan siber organisasi Anda, dengan menggunakan dasbor AD Varonis sebagai contoh.
Penyerang menggunakan konfigurasi tertentu di domain
Penyerang menggunakan berbagai teknik cerdas dan kerentanan untuk menembus jaringan perusahaan dan meningkatkan hak istimewa. Beberapa kerentanan ini adalah pengaturan konfigurasi domain yang dapat diubah dengan mudah setelah diidentifikasi.
Dasbor AD akan segera mengingatkan Anda jika Anda (atau administrator sistem Anda) belum mengubah kata sandi KRBTGT dalam sebulan terakhir, atau jika seseorang telah mengautentikasi dengan akun Administrator bawaan bawaan. Kedua akun ini memberikan akses tak terbatas ke jaringan Anda: penyerang akan mencoba mendapatkan akses ke akun tersebut untuk dengan mudah melewati batasan apa pun dalam hak istimewa dan izin akses. Hasilnya, mereka mendapatkan akses ke data apa pun yang mereka minati.
Tentu saja, Anda dapat menemukan sendiri kerentanan ini: misalnya, menyetel pengingat kalender untuk memeriksa atau menjalankan skrip PowerShell untuk mengumpulkan informasi ini.
Dasbor Varonis sedang diperbarui Π°Π²ΡΠΎΠΌΠ°ΡΠΈΡΠ΅ΡΠΊΠΈ untuk memberikan visibilitas cepat dan analisis metrik utama yang menyoroti potensi kerentanan sehingga Anda dapat mengambil tindakan segera untuk mengatasinya.
3 Indikator Risiko Tingkat Domain Utama
Di bawah ini adalah sejumlah widget yang tersedia di dasbor Varonis, yang penggunaannya akan meningkatkan perlindungan jaringan perusahaan dan infrastruktur TI secara keseluruhan secara signifikan.
1. Jumlah domain yang kata sandi akun Kerberosnya belum diubah selama jangka waktu tertentu
Rekening KRBTGT merupakan rekening khusus di AD yang menandatangani segala sesuatunya . Penyerang yang mendapatkan akses ke pengontrol domain (DC) dapat menggunakan akun ini untuk membuat , yang akan memberi mereka akses tak terbatas ke hampir semua sistem di jaringan perusahaan. Kami menghadapi situasi di mana, setelah berhasil memperoleh Tiket Emas, seorang penyerang memiliki akses ke jaringan organisasi selama dua tahun. Jika kata sandi akun KRBTGT di perusahaan Anda belum diubah dalam empat puluh hari terakhir, widget akan memberi tahu Anda tentang hal ini.
Empat puluh hari lebih dari cukup waktu bagi penyerang untuk mendapatkan akses ke jaringan. Namun, jika Anda menerapkan dan menstandarkan proses perubahan kata sandi ini secara teratur, penyerang akan lebih sulit membobol jaringan perusahaan Anda.
Ingatlah bahwa menurut implementasi protokol Kerberos oleh Microsoft, Anda harus melakukannya KRBTGT.
Nantinya, widget AD ini akan mengingatkan Anda bila sudah waktunya mengubah kembali password KRBTGT untuk semua domain di jaringan Anda.
2. Jumlah domain yang baru-baru ini menggunakan akun Administrator bawaan
Menurut β administrator sistem diberikan dua akun: yang pertama adalah akun untuk penggunaan sehari-hari, dan yang kedua adalah untuk pekerjaan administratif yang direncanakan. Ini berarti tidak seorang pun boleh menggunakan akun administrator default.
Akun administrator bawaan sering digunakan untuk menyederhanakan proses administrasi sistem. Ini bisa menjadi kebiasaan buruk yang mengakibatkan peretasan. Jika hal ini terjadi di organisasi Anda, Anda akan kesulitan membedakan antara penggunaan yang benar atas akun ini dan akses yang berpotensi berbahaya.
Jika widget menunjukkan selain nol, maka seseorang tidak bekerja dengan benar dengan akun administratif. Dalam hal ini, Anda harus mengambil langkah-langkah untuk memperbaiki dan membatasi akses ke akun administrator bawaan.
Setelah Anda mencapai nilai widget nol dan administrator sistem tidak lagi menggunakan akun ini untuk pekerjaan mereka, maka di masa mendatang, perubahan apa pun pada akun tersebut akan mengindikasikan potensi serangan dunia maya.
3. Jumlah domain yang tidak memiliki grup Pengguna yang Dilindungi
Versi AD yang lebih lama mendukung jenis enkripsi yang lemah - RC4. Peretas meretas RC4 bertahun-tahun yang lalu, dan sekarang merupakan tugas yang sangat sepele bagi penyerang untuk meretas akun yang masih menggunakan RC4. Versi Direktori Aktif yang diperkenalkan di Windows Server 2012 memperkenalkan tipe grup pengguna baru yang disebut Grup Pengguna yang Dilindungi. Ini menyediakan alat keamanan tambahan dan mencegah otentikasi pengguna menggunakan enkripsi RC4.
Widget ini akan menunjukkan jika ada domain di organisasi yang kehilangan grup tersebut sehingga Anda dapat memperbaikinya, mis. mengaktifkan sekelompok pengguna yang dilindungi dan menggunakannya untuk melindungi infrastruktur.
Sasaran empuk bagi penyerang
Akun pengguna adalah target nomor satu bagi para penyerang, mulai dari upaya intrusi awal hingga peningkatan hak istimewa dan penyembunyian aktivitas mereka. Penyerang mencari target sederhana di jaringan Anda menggunakan perintah dasar PowerShell yang seringkali sulit dideteksi. Hapus sebanyak mungkin sasaran empuk ini dari AD.
Penyerang mencari pengguna dengan kata sandi yang tidak pernah kedaluwarsa (atau yang tidak memerlukan kata sandi), akun teknologi yang merupakan administrator, dan akun yang menggunakan enkripsi RC4 lama.
Akun-akun ini mudah diakses atau umumnya tidak dipantau. Penyerang dapat mengambil alih akun ini dan bergerak bebas di dalam infrastruktur Anda.
Setelah penyerang menembus batas keamanan, kemungkinan besar mereka akan mendapatkan akses ke setidaknya satu akun. Bisakah Anda menghentikan mereka mendapatkan akses ke data sensitif sebelum serangan terdeteksi dan diatasi?
Dasbor Varonis AD akan menunjukkan akun pengguna yang rentan sehingga Anda dapat memecahkan masalah secara proaktif. Semakin sulit untuk menembus jaringan Anda, semakin besar peluang Anda untuk menetralisir penyerang sebelum mereka menyebabkan kerusakan serius.
4 Indikator Risiko Utama untuk Akun Pengguna
Di bawah ini adalah contoh widget dasbor Varonis AD yang menyoroti akun pengguna yang paling rentan.
1. Jumlah pengguna aktif dengan kata sandi yang tidak pernah kedaluwarsa
Bagi penyerang mana pun, mendapatkan akses ke akun seperti itu selalu merupakan kesuksesan besar. Karena kata sandi tidak pernah kedaluwarsa, penyerang memiliki pijakan permanen di dalam jaringan, yang kemudian dapat digunakan atau pergerakan dalam infrastruktur.
Penyerang memiliki daftar jutaan kombinasi kata sandi pengguna yang mereka gunakan dalam serangan penjejalan kredensial, dan kemungkinan besar adalah bahwa
bahwa kombinasi untuk pengguna dengan kata sandi βabadiβ ada di salah satu daftar ini, jauh lebih besar dari nol.
Akun dengan kata sandi yang tidak kedaluwarsa mudah dikelola, namun tidak aman. Gunakan widget ini untuk menemukan semua akun yang memiliki kata sandi tersebut. Ubah pengaturan ini dan perbarui kata sandi Anda.
Setelah nilai widget ini disetel ke nol, akun baru apa pun yang dibuat dengan kata sandi tersebut akan muncul di dasbor.
2. Jumlah rekening administratif yang memiliki SPN
SPN (Nama Prinsipal Layanan) adalah pengidentifikasi unik dari suatu instans layanan. Widget ini menunjukkan berapa banyak akun layanan yang memiliki hak administrator penuh. Nilai pada widget harus nol. SPN dengan hak administratif terjadi karena pemberian hak tersebut nyaman bagi vendor perangkat lunak dan administrator aplikasi, namun menimbulkan risiko keamanan.
Memberikan hak administratif pada akun layanan memungkinkan penyerang mendapatkan akses penuh ke akun yang tidak digunakan. Artinya, penyerang yang memiliki akses ke akun SPN dapat beroperasi secara bebas di dalam infrastruktur tanpa dipantau aktivitasnya.
Anda dapat mengatasi masalah ini dengan mengubah izin pada akun layanan. Akun tersebut harus tunduk pada prinsip hak istimewa paling rendah dan hanya memiliki akses yang benar-benar diperlukan untuk pengoperasiannya.
Dengan menggunakan widget ini, Anda dapat mendeteksi semua SPN yang memiliki hak administratif, menghapus hak istimewa tersebut, dan kemudian memantau SPN menggunakan prinsip yang sama yaitu akses dengan hak paling rendah.
SPN yang baru muncul akan ditampilkan di dashboard, dan Anda akan dapat memantau proses ini.
3. Jumlah pengguna yang tidak memerlukan pra-otentikasi Kerberos
Idealnya, Kerberos mengenkripsi tiket autentikasi menggunakan enkripsi AES-256, yang masih tidak dapat dipecahkan hingga saat ini.
Namun, Kerberos versi lama menggunakan enkripsi RC4, yang kini dapat dibobol dalam hitungan menit. Widget ini menunjukkan akun pengguna mana yang masih menggunakan RC4. Microsoft masih mendukung RC4 untuk kompatibilitas mundur, tapi itu tidak berarti Anda harus menggunakannya di AD Anda.
Setelah Anda mengidentifikasi akun tersebut, Anda perlu menghapus centang pada kotak "tidak memerlukan pra-otorisasi Kerberos" di AD untuk memaksa akun menggunakan enkripsi yang lebih kompleks.
Menemukan akun ini sendiri, tanpa dasbor Varonis AD, membutuhkan banyak waktu. Kenyataannya, mengetahui semua akun yang diedit menggunakan enkripsi RC4 adalah tugas yang lebih sulit.
Jika nilai widget berubah, ini mungkin mengindikasikan aktivitas ilegal.
4. Jumlah pengguna tanpa kata sandi
Penyerang menggunakan perintah dasar PowerShell untuk membaca tanda βPASSWD_NOTREQDβ dari AD di properti akun. Penggunaan tanda ini menunjukkan bahwa tidak ada persyaratan kata sandi atau persyaratan kompleksitas.
Seberapa mudah mencuri akun dengan kata sandi sederhana atau kosong? Sekarang bayangkan salah satu akun ini adalah administrator.
Bagaimana jika salah satu dari ribuan file rahasia yang dibuka untuk semua orang adalah laporan keuangan yang akan datang?
Mengabaikan persyaratan kata sandi wajib adalah pintasan administrasi sistem lain yang sering digunakan di masa lalu, namun tidak dapat diterima dan tidak aman saat ini.
Perbaiki masalah ini dengan memperbarui kata sandi untuk akun ini.
Memantau widget ini di masa mendatang akan membantu Anda menghindari akun tanpa kata sandi.
Varonis menyamakan kedudukan
Di masa lalu, pekerjaan mengumpulkan dan menganalisis metrik yang dijelaskan dalam artikel ini memakan waktu berjam-jam dan memerlukan pengetahuan mendalam tentang PowerShell, sehingga tim keamanan harus mengalokasikan sumber daya untuk tugas tersebut setiap minggu atau bulan. Namun pengumpulan dan pemrosesan informasi secara manual memberikan peluang bagi penyerang untuk menyusup dan mencuri data.
Π‘ Anda akan menghabiskan satu hari untuk menerapkan dasbor AD dan komponen tambahan, mengumpulkan semua kerentanan yang dibahas, dan banyak lagi. Nantinya, selama pengoperasian, panel pemantauan akan diperbarui secara otomatis seiring dengan perubahan kondisi infrastruktur.
Melakukan serangan cyber selalu merupakan perlombaan antara penyerang dan pembela, keinginan penyerang untuk mencuri data sebelum spesialis keamanan dapat memblokir akses ke data tersebut. Deteksi dini terhadap penyerang dan aktivitas ilegal mereka, ditambah dengan pertahanan siber yang kuat, adalah kunci untuk menjaga keamanan data Anda.
Sumber: www.habr.com