Allt sem árásarmaður þarf er tími og hvatning til að brjótast inn í netið þitt. En okkar hlutverk er að koma í veg fyrir að hann geri þetta, eða að minnsta kosti að gera þetta verkefni eins erfitt og hægt er. Þú þarft að byrja á því að bera kennsl á veikleika í Active Directory (hér eftir nefnt AD) sem árásarmaður getur notað til að fá aðgang og hreyfa sig um netið án þess að verða vart. Í dag í þessari grein munum við skoða áhættuvísa sem endurspegla núverandi veikleika í netvörnum fyrirtækisins þíns, með AD Varonis mælaborðinu sem dæmi.
Árásarmenn nota ákveðnar stillingar á léninu
Árásarmenn nota ýmsar snjallar aðferðir og veikleika til að komast inn í fyrirtækjanet og auka forréttindi. Sumir þessara veikleika eru lénsstillingar sem auðvelt er að breyta þegar búið er að bera kennsl á þær.
AD mælaborðið mun strax láta þig vita ef þú (eða kerfisstjórar þínir) hefur ekki breytt KRBTGT lykilorðinu síðasta mánuðinn, eða ef einhver hefur auðkennt með sjálfgefna innbyggða stjórnandareikningnum. Þessir tveir reikningar veita ótakmarkaðan aðgang að netinu þínu: árásarmenn munu reyna að fá aðgang að þeim til að komast framhjá öllum takmörkunum á forréttindum og aðgangsheimildum. Og þar af leiðandi fá þeir aðgang að öllum gögnum sem vekur áhuga þeirra.
Auðvitað geturðu uppgötvað þessa veikleika sjálfur: til dæmis stilltu dagatalsáminningu til að athuga eða keyra PowerShell skriftu til að safna þessum upplýsingum.
Veronis mælaborðið er í uppfærslu sjálfkrafa til að veita skjótan sýnileika og greiningu á lykilmælingum sem varpa ljósi á hugsanlega veikleika svo þú getir gripið strax til aðgerða til að bregðast við þeim.
3 lykiláhættuvísar fyrir lénsstig
Hér að neðan er fjöldi búnaðar sem er tiltækur á Varonis mælaborðinu, en notkun þeirra mun auka verulega vernd fyrirtækjanetsins og upplýsingatækniinnviða í heild.
1. Fjöldi léna þar sem lykilorði Kerberos reikningsins hefur ekki verið breytt í umtalsverðan tíma
KRBTGT reikningurinn er sérstakur reikningur í AD sem skrifar undir allt . Árásarmenn sem fá aðgang að lénsstýringu (DC) geta notað þennan reikning til að búa til , sem mun veita þeim ótakmarkaðan aðgang að nánast hvaða kerfi sem er á fyrirtækjanetinu. Við lentum í aðstæðum þar sem árásarmaður hafði aðgang að neti stofnunarinnar í tvö ár eftir að hafa fengið gullna miða. Ef lykilorði KRBTGT reikningsins í fyrirtækinu þínu hefur ekki verið breytt á síðustu fjörutíu dögum mun búnaðurinn láta þig vita um þetta.
Fjörutíu dagar eru meira en nægur tími fyrir árásarmann að fá aðgang að netinu. Hins vegar, ef þú framfylgir og staðlar ferlið við að breyta þessu lykilorði reglulega, mun það gera það mun erfiðara fyrir árásaraðila að brjótast inn á fyrirtækjanetið þitt.
Mundu að samkvæmt útfærslu Microsoft á Kerberos-samskiptareglunum verður þú KRBTGT.
Í framtíðinni mun þessi AD búnaður minna þig á hvenær það er kominn tími til að breyta KRBTGT lykilorðinu aftur fyrir öll lén á netinu þínu.
2. Fjöldi léna þar sem innbyggði stjórnandareikningurinn var nýlega notaður
Samkvæmt — Kerfisstjórar fá tvo reikninga: sá fyrri er reikningur til daglegrar notkunar og sá síðari er fyrir skipulagða stjórnunarvinnu. Þetta þýðir að enginn ætti að nota sjálfgefna stjórnandareikninginn.
Innbyggði stjórnandareikningurinn er oft notaður til að einfalda kerfisstjórnunarferlið. Þetta getur orðið slæmur vani, sem leiðir til reiðhestur. Ef þetta gerist í fyrirtækinu þínu muntu eiga í erfiðleikum með að greina á milli réttrar notkunar á þessum reikningi og hugsanlega illgjarns aðgangs.
Ef búnaðurinn sýnir eitthvað annað en núll, þá er einhver ekki að vinna rétt með stjórnunarreikninga. Í þessu tilviki verður þú að gera ráðstafanir til að leiðrétta og takmarka aðgang að innbyggða stjórnandareikningnum.
Þegar þú hefur náð græjugildinu núll og kerfisstjórar nota ekki lengur þennan reikning fyrir vinnu sína, þá munu allar breytingar á honum í framtíðinni benda til hugsanlegrar netárásar.
3. Fjöldi léna sem eru ekki með hóp verndaðra notenda
Eldri útgáfur af AD studdu veika dulkóðunargerð - RC4. Tölvuþrjótar réðust inn á RC4 fyrir mörgum árum og nú er það mjög léttvægt verkefni fyrir árásarmann að hakka inn reikning sem er enn að nota RC4. Útgáfan af Active Directory sem kynnt var í Windows Server 2012 kynnti nýja tegund af notendahópi sem kallast verndaður notendahópur. Það veitir viðbótaröryggisverkfæri og kemur í veg fyrir auðkenningu notenda með RC4 dulkóðun.
Þessi búnaður mun sýna fram á hvort eitthvað lén í fyrirtækinu vantar slíkan hóp svo þú getir lagað það, þ.e. gera hópi verndaðra notenda kleift og nota það til að vernda innviðina.
Auðveld skotmörk fyrir árásarmenn
Notendareikningar eru númer eitt skotmark fyrir árásarmenn, allt frá fyrstu innbrotstilraunum til áframhaldandi aukningar á forréttindum og leyndu starfsemi þeirra. Árásarmenn leita að einföldum skotmörkum á netinu þínu með því að nota grunn PowerShell skipanir sem oft er erfitt að greina. Fjarlægðu eins mörg af þessum auðveldu skotmörkum úr AD og mögulegt er.
Árásarmenn eru að leita að notendum með lykilorð sem aldrei renna út (eða sem þurfa ekki lykilorð), tæknireikningum sem eru stjórnendur og reikningum sem nota eldri RC4 dulkóðun.
Einhver þessara reikninga er annað hvort léttvægur að fá aðgang að eða almennt ekki fylgst með. Árásarmenn geta tekið yfir þessa reikninga og hreyft sig frjálslega innan innviða þinna.
Þegar árásarmenn hafa komist inn í öryggissvæðið munu þeir líklega fá aðgang að að minnsta kosti einum reikningi. Geturðu komið í veg fyrir að þeir fái aðgang að viðkvæmum gögnum áður en árásin er greind og stöðvuð?
Varonis AD mælaborðið mun benda á viðkvæma notendareikninga svo þú getir leyst vandamál með fyrirbyggjandi hætti. Því erfiðara sem það er að komast inn í netið þitt, því meiri líkur eru á að gera árásarmann óvirkan áður en hann veldur alvarlegum skaða.
4 Helstu áhættuvísar fyrir notendareikninga
Hér að neðan eru dæmi um Varonis AD mælaborðsgræjur sem varpa ljósi á viðkvæmustu notendareikningana.
1. Fjöldi virkra notenda með lykilorð sem renna aldrei út
Fyrir hvaða árásarmann sem er að fá aðgang að slíkum reikningi er alltaf mikill árangur. Vegna þess að lykilorðið rennur aldrei út hefur árásarmaðurinn varanlega fótfestu innan netsins, sem síðan er hægt að nota til eða hreyfingar innan innviða.
Árásarmenn eru með lista yfir milljónir notenda-lykilorðasamsetninga sem þeir nota í persónuskilríkisfyllingarárásum og líkurnar eru á því að
að samsetningin fyrir notandann með „eilífa“ lykilorðinu er í einum af þessum listum, miklu meiri en núll.
Auðvelt er að stjórna reikningum með lykilorðum sem renna út en þeir eru ekki öruggir. Notaðu þessa græju til að finna alla reikninga sem hafa slík lykilorð. Breyttu þessari stillingu og uppfærðu lykilorðið þitt.
Þegar gildi þessarar græju er stillt á núll munu allir nýir reikningar sem eru búnir til með því lykilorði birtast á mælaborðinu.
2. Fjöldi stjórnunarreikninga hjá SPN
SPN (Service Principal Name) er einstakt auðkenni þjónustutilviks. Þessi græja sýnir hversu margir þjónustureikningar hafa full stjórnandaréttindi. Gildið á græjunni verður að vera núll. SPN með stjórnunarréttindum á sér stað vegna þess að veiting slíkra réttinda er þægilegt fyrir hugbúnaðarframleiðendur og forritastjórnendur, en það hefur í för með sér öryggisáhættu.
Að veita þjónustureikningnum stjórnunarréttindi gerir árásarmanni kleift að fá fullan aðgang að reikningi sem er ekki í notkun. Þetta þýðir að árásarmenn með aðgang að SPN reikningum geta starfað frjálst innan innviða án þess að hafa eftirlit með starfsemi þeirra.
Þú getur leyst þetta mál með því að breyta heimildum á þjónustureikningum. Slíkir reikningar ættu að lúta meginreglunni um minnstu forréttindi og hafa aðeins þann aðgang sem raunverulega er nauðsynlegur fyrir starfsemi þeirra.
Með því að nota þessa græju geturðu greint öll SPN sem hafa stjórnunarréttindi, fjarlægt slík réttindi og síðan fylgst með SPN með sömu reglu um minnst réttindaaðgang.
SPN sem nýlega birtist mun birtast á mælaborðinu og þú munt geta fylgst með þessu ferli.
3. Fjöldi notenda sem krefjast ekki Kerberos forauðkenningar
Helst dulkóðar Kerberos auðkenningarmiðann með AES-256 dulkóðun, sem er óbrjótandi enn þann dag í dag.
Hins vegar notuðu eldri útgáfur af Kerberos RC4 dulkóðun, sem nú er hægt að brjóta á nokkrum mínútum. Þessi búnaður sýnir hvaða notendareikningar eru enn að nota RC4. Microsoft styður enn RC4 fyrir afturábak eindrægni, en það þýðir ekki að þú ættir að nota það í AD þinni.
Þegar þú hefur borið kennsl á slíka reikninga þarftu að taka hakið úr gátreitnum „þarf ekki Kerberos forheimild“ í AD til að þvinga reikningana til að nota flóknari dulkóðun.
Að uppgötva þessa reikninga á eigin spýtur, án Varonis AD mælaborðsins, tekur mikinn tíma. Í raun og veru er enn erfiðara verkefni að vera meðvitaður um alla reikninga sem eru breyttir til að nota RC4 dulkóðun.
Ef gildið á græjunni breytist gæti það bent til ólöglegrar virkni.
4. Fjöldi notenda án lykilorðs
Árásarmenn nota grunn PowerShell skipanir til að lesa „PASSWD_NOTREQD“ fánann frá AD í eiginleikum reikningsins. Notkun þessa fána gefur til kynna að það séu engar kröfur um lykilorð eða flóknar kröfur.
Hversu auðvelt er að stela reikningi með einföldu eða auðu lykilorði? Ímyndaðu þér nú að einn af þessum reikningum sé stjórnandi.
Hvað ef ein af þúsundum trúnaðarskjala sem eru opin öllum er væntanleg fjárhagsskýrsla?
Að hunsa lögboðna lykilorðakröfuna er önnur kerfisstjórnunarflýtileið sem var oft notuð áður fyrr, en er hvorki ásættanleg né örugg í dag.
Lagaðu þetta mál með því að uppfæra lykilorðin fyrir þessa reikninga.
Að fylgjast með þessari græju í framtíðinni mun hjálpa þér að forðast reikninga án lykilorðs.
Varonis jafnar líkurnar
Áður fyrr tók vinnan við að safna og greina mælikvarðana sem lýst er í þessari grein margar klukkustundir og krafðist djúprar þekkingar á PowerShell, sem krafðist öryggisteyma til að úthluta fjármagni til slíkra verkefna í hverri viku eða mánuði. En handvirk söfnun og vinnsla þessara upplýsinga gefur árásarmönnum forskot á að síast inn og stela gögnum.
С Þú munt eyða einum degi í að setja upp AD mælaborðið og viðbótaríhluti, safna öllum veikleikum sem fjallað er um og margt fleira. Í framtíðinni, meðan á notkun stendur, verður eftirlitsborðið sjálfkrafa uppfært eftir því sem ástand innviða breytist.
Að framkvæma netárásir er alltaf kapphlaup milli árásarmanna og varnarmanna, löngun árásarmannsins til að stela gögnum áður en öryggissérfræðingar geta lokað fyrir aðgang að þeim. Snemma uppgötvun árásarmanna og ólöglegra athafna þeirra, ásamt sterkum netvörnum, er lykillinn að því að halda gögnunum þínum öruggum.
Heimild: www.habr.com