Tutto ciò di cui un utente malintenzionato ha bisogno è tempo e motivazione per entrare nella tua rete. Ma il nostro compito è impedirgli di farlo, o almeno rendere questo compito il più difficile possibile. È necessario iniziare identificando i punti deboli in Active Directory (di seguito denominato AD) che un utente malintenzionato può utilizzare per accedere e spostarsi nella rete senza essere scoperto. Oggi in questo articolo esamineremo gli indicatori di rischio che riflettono le vulnerabilità esistenti nella difesa informatica della tua organizzazione, utilizzando come esempio la dashboard di AD Varonis.
Gli aggressori utilizzano determinate configurazioni nel dominio
Gli aggressori utilizzano una varietà di tecniche e vulnerabilità intelligenti per penetrare nelle reti aziendali e aumentare i privilegi. Alcune di queste vulnerabilità sono impostazioni di configurazione del dominio che possono essere facilmente modificate una volta identificate.
La dashboard di AD ti avviserà immediatamente se tu (o i tuoi amministratori di sistema) non avete modificato la password KRBTGT nell'ultimo mese o se qualcuno si è autenticato con l'account amministratore integrato predefinito. Questi due account forniscono un accesso illimitato alla tua rete: gli aggressori cercheranno di accedervi per aggirare facilmente eventuali restrizioni sui privilegi e sui permessi di accesso. E, di conseguenza, hanno accesso a tutti i dati che li interessano.
Naturalmente potete scoprire voi stessi queste vulnerabilità: ad esempio, impostate un promemoria sul calendario per controllare o eseguite uno script PowerShell per raccogliere queste informazioni.
La dashboard di Varonis è in fase di aggiornamento автоматически per fornire visibilità e analisi rapide dei parametri chiave che evidenziano potenziali vulnerabilità in modo da poter intraprendere azioni immediate per affrontarle.
3 indicatori chiave di rischio a livello di dominio
Di seguito sono riportati alcuni widget disponibili sulla dashboard Varonis, il cui utilizzo migliorerà notevolmente la protezione della rete aziendale e dell'infrastruttura IT nel suo complesso.
1. Numero di domini per i quali la password dell'account Kerberos non è stata modificata per un periodo di tempo significativo
L'account KRBTGT è un account speciale in AD che firma tutto . Gli utenti malintenzionati che ottengono l'accesso a un controller di dominio (DC) possono utilizzare questo account per creare , che darà loro accesso illimitato a quasi tutti i sistemi della rete aziendale. Abbiamo riscontrato una situazione in cui, dopo aver ottenuto con successo un Golden Ticket, un utente malintenzionato ha avuto accesso alla rete dell’organizzazione per due anni. Se la password dell'account KRBTGT nella tua azienda non è stata modificata negli ultimi quaranta giorni, il widget ti avviserà di ciò.
Quaranta giorni sono più che sufficienti perché un utente malintenzionato possa accedere alla rete. Tuttavia, se si applica e standardizza il processo di modifica di questa password su base regolare, sarà molto più difficile per un utente malintenzionato penetrare nella rete aziendale.
Ricorda che secondo l'implementazione di Microsoft del protocollo Kerberos, devi KRBTGT.
In futuro, questo widget AD ti ricorderà quando è il momento di cambiare nuovamente la password KRBTGT per tutti i domini della tua rete.
2. Numero di domini in cui è stato utilizzato recentemente l'account amministratore integrato
Secondo — Agli amministratori di sistema vengono forniti due account: il primo è un account per l'uso quotidiano e il secondo è per il lavoro amministrativo pianificato. Ciò significa che nessuno dovrebbe utilizzare l'account amministratore predefinito.
L'account amministratore integrato viene spesso utilizzato per semplificare il processo di amministrazione del sistema. Questa può diventare una cattiva abitudine, con conseguente pirateria informatica. Se ciò accade nella tua organizzazione, avrai difficoltà a distinguere tra un uso corretto di questo account e un accesso potenzialmente dannoso.
Se il widget mostra qualcosa di diverso da zero, qualcuno non funziona correttamente con gli account amministrativi. In questo caso, è necessario adottare misure per correggere e limitare l'accesso all'account amministratore integrato.
Una volta raggiunto un valore widget pari a zero e gli amministratori di sistema non utilizzano più questo account per il loro lavoro, in futuro qualsiasi modifica ad esso indicherà un potenziale attacco informatico.
3. Numero di domini che non dispongono di un gruppo di Utenti Protetti
Le versioni precedenti di AD supportavano un tipo di crittografia debole: RC4. Gli hacker hanno violato RC4 molti anni fa e ora è un compito molto banale per un utente malintenzionato hackerare un account che utilizza ancora RC4. La versione di Active Directory introdotta in Windows Server 2012 ha introdotto un nuovo tipo di gruppo di utenti denominato Gruppo utenti protetti. Fornisce strumenti di sicurezza aggiuntivi e impedisce l'autenticazione dell'utente utilizzando la crittografia RC4.
Questo widget mostrerà se in qualche dominio dell'organizzazione manca un gruppo di questo tipo in modo che tu possa risolverlo, ad es. abilitare un gruppo di utenti protetti e utilizzarlo per proteggere l'infrastruttura.
Obiettivi facili per gli aggressori
Gli account utente sono l'obiettivo numero uno degli aggressori, dai tentativi iniziali di intrusione alla continua escalation di privilegi e all'occultamento delle loro attività. Gli aggressori cercano obiettivi semplici sulla tua rete utilizzando comandi PowerShell di base che spesso sono difficili da rilevare. Rimuovi il maggior numero possibile di questi facili bersagli da AD.
Gli aggressori cercano utenti con password senza scadenza (o che non richiedono password), account tecnologici che siano amministratori e account che utilizzano la crittografia RC4 legacy.
L'accesso a ognuno di questi account è banale o generalmente non viene monitorato. Gli aggressori possono impossessarsi di questi account e muoversi liberamente all'interno della tua infrastruttura.
Una volta che gli aggressori penetrano nel perimetro di sicurezza, probabilmente otterranno l’accesso ad almeno un account. Puoi impedire loro di accedere a dati sensibili prima che l'attacco venga rilevato e contenuto?
La dashboard di Varonis AD indicherà gli account utente vulnerabili in modo da poter risolvere i problemi in modo proattivo. Più difficile è penetrare nella tua rete, maggiori saranno le possibilità di neutralizzare un aggressore prima che causi gravi danni.
4 Indicatori chiave di rischio per gli account utente
Di seguito sono riportati esempi di widget della dashboard di Varonis AD che evidenziano gli account utente più vulnerabili.
1. Numero di utenti attivi con password che non scadono mai
Per qualsiasi utente malintenzionato ottenere l'accesso a un account di questo tipo è sempre un grande successo. Poiché la password non scade mai, l'aggressore ha un punto d'appoggio permanente nella rete, che può poi essere sfruttato o movimenti all'interno dell'infrastruttura.
Gli aggressori dispongono di elenchi di milioni di combinazioni utente-password che utilizzano negli attacchi di credential stuffing ed è probabile che
che la combinazione per l'utente con la password “eterna” si trova in una di queste liste, molto maggiore di zero.
Gli account con password senza scadenza sono facili da gestire, ma non sono sicuri. Utilizza questo widget per trovare tutti gli account che dispongono di tali password. Modifica questa impostazione e aggiorna la tua password.
Una volta impostato il valore di questo widget su zero, tutti i nuovi account creati con quella password verranno visualizzati nella dashboard.
2. Numero di account amministrativi con SPN
SPN (nome dell'entità servizio) è un identificatore univoco di un'istanza del servizio. Questo widget mostra quanti account di servizio hanno diritti di amministratore completi. Il valore sul widget deve essere zero. L'SPN con diritti amministrativi si verifica perché la concessione di tali diritti è conveniente per i fornitori di software e gli amministratori delle applicazioni, ma rappresenta un rischio per la sicurezza.
Concedere diritti amministrativi all'account di servizio consente a un utente malintenzionato di ottenere l'accesso completo a un account che non è in uso. Ciò significa che gli aggressori con accesso agli account SPN possono operare liberamente all'interno dell'infrastruttura senza che le loro attività vengano monitorate.
Puoi risolvere questo problema modificando le autorizzazioni sugli account di servizio. Tali conti dovrebbero essere soggetti al principio del privilegio minimo e avere solo l'accesso effettivamente necessario per il loro funzionamento.
Utilizzando questo widget è possibile rilevare tutti gli SPN che dispongono di diritti amministrativi, rimuovere tali privilegi e quindi monitorare gli SPN utilizzando lo stesso principio di accesso con privilegi minimi.
Il nuovo SPN visualizzato verrà visualizzato sulla dashboard e sarai in grado di monitorare questo processo.
3. Numero di utenti che non richiedono la preautenticazione Kerberos
Idealmente, Kerberos crittografa il ticket di autenticazione utilizzando la crittografia AES-256, che rimane indistruttibile fino ad oggi.
Tuttavia, le versioni precedenti di Kerberos utilizzavano la crittografia RC4, che ora può essere violata in pochi minuti. Questo widget mostra quali account utente utilizzano ancora RC4. Microsoft supporta ancora RC4 per la compatibilità con le versioni precedenti, ma ciò non significa che dovresti usarlo nel tuo AD.
Una volta identificati tali account, è necessario deselezionare la casella di controllo "non richiede la pre-autorizzazione Kerberos" in AD per forzare gli account a utilizzare una crittografia più sofisticata.
Scoprire questi account da solo, senza la dashboard di Varonis AD, richiede molto tempo. In realtà, essere a conoscenza di tutti gli account modificati per utilizzare la crittografia RC4 è un compito ancora più difficile.
Se il valore sul widget cambia, ciò potrebbe indicare un'attività illegale.
4. Numero di utenti senza password
Gli aggressori utilizzano i comandi di base di PowerShell per leggere il flag "PASSWD_NOTREQD" da AD nelle proprietà dell'account. L'uso di questo flag indica che non sono presenti requisiti di password o requisiti di complessità.
Quanto è facile rubare un account con una password semplice o vuota? Ora immagina che uno di questi account sia un amministratore.
Cosa succederebbe se uno delle migliaia di file riservati aperti a tutti fosse un prossimo rapporto finanziario?
Ignorare il requisito della password obbligatoria è un'altra scorciatoia di amministrazione del sistema spesso utilizzata in passato, ma che oggi non è né accettabile né sicura.
Risolvi questo problema aggiornando le password per questi account.
Il monitoraggio di questo widget in futuro ti aiuterà a evitare account senza password.
Varonis pareggia le probabilità
In passato, il lavoro di raccolta e analisi dei parametri descritti in questo articolo richiedeva molte ore e una conoscenza approfondita di PowerShell, richiedendo ai team di sicurezza di allocare risorse a tali attività ogni settimana o mese. Ma la raccolta e l’elaborazione manuale di queste informazioni offrono agli aggressori un vantaggio per infiltrarsi e rubare dati.
С Trascorrerai un giorno per distribuire la dashboard AD e componenti aggiuntivi, raccogliere tutte le vulnerabilità discusse e molto altro ancora. In futuro, durante il funzionamento, il pannello di monitoraggio verrà aggiornato automaticamente al variare dello stato dell'infrastruttura.
L'esecuzione di attacchi informatici è sempre una gara tra aggressori e difensori, il desiderio dell'aggressore di rubare i dati prima che gli specialisti della sicurezza possano bloccarne l'accesso. Il rilevamento tempestivo degli aggressori e delle loro attività illegali, abbinato a forti difese informatiche, è la chiave per mantenere i tuoi dati al sicuro.
Fonte: habr.com