Varonis ダッシュボードの 7 つの主要な Active Directory リスク指標

攻撃者に必要なのは、ネットワークに侵入するための時間と動機だけです。 しかし、私たちの仕事は、彼がこれを行うのを防ぐこと、または少なくともこの作業を可能な限り困難にすることです。 まず、Active Directory (以下、AD と呼びます) の弱点を特定することから始める必要があります。攻撃者は、この弱点を利用して、検出されずにネットワークにアクセスし、移動することができます。 この記事では、例として AD Varonis ダッシュボードを使用して、組織のサイバー防御における既存の脆弱性を反映するリスク指標を見ていきます。

攻撃者はドメイン内で特定の構成を使用します

攻撃者はさまざまな巧妙な手法と脆弱性を利用して企業ネットワークに侵入し、権限を昇格させます。 これらの脆弱性の一部は、特定されると簡単に変更できるドメイン構成設定です。

あなた (またはシステム管理者) が先月 KRBTGT パスワードを変更していない場合、または誰かがデフォルトの組み込み管理者アカウントで認証した場合、AD ダッシュボードはすぐに警告を発します。 これら XNUMX つのアカウントは、ネットワークへの無制限のアクセスを提供します。攻撃者は、特権やアクセス許可の制限を簡単に回避するために、これらのアカウントにアクセスしようとします。 その結果、興味のあるあらゆるデータにアクセスできるようになります。

もちろん、これらの脆弱性を自分で発見することもできます。たとえば、カレンダーのリマインダーを設定してチェックしたり、PowerShell スクリプトを実行してこの情報を収集したりできます。

Varonis ダッシュボードが更新されています 自動的に 潜在的な脆弱性を浮き彫りにする重要な指標を迅速に可視化して分析できるため、脆弱性に対処するための措置をすぐに講じることができます。

3 つの主要なドメイン レベルのリスク指標

以下は、Varonis ダッシュボードで利用できる多数のウィジェットです。これらを使用すると、企業ネットワークと IT インフラストラクチャ全体の保護が大幅に強化されます。

1. Kerberos アカウントのパスワードが長期間変更されていないドメインの数

KRBTGT アカウントは、すべてに署名する AD の特別なアカウントです。 ケルベロスチケット 。 ドメイン コントローラー (DC) へのアクセスを取得した攻撃者は、このアカウントを使用して ゴールデンチケットこれにより、企業ネットワーク上のほぼすべてのシステムに無制限にアクセスできるようになります。 攻撃者がゴールデン チケットの取得に成功した後、XNUMX 年間組織のネットワークにアクセスできるという状況に遭遇しました。 会社の KRBTGT アカウントのパスワードが過去 XNUMX 日間変更されていない場合、ウィジェットによってそのことが通知されます。

XNUMX 日は、攻撃者がネットワークにアクセスするのに十分な時間です。 ただし、このパスワードを定期的に変更するプロセスを強制および標準化すると、攻撃者が企業ネットワークに侵入することがはるかに困難になります。

Microsoft の Kerberos プロトコルの実装に従って、次のことを行う必要があることに注意してください。 パスワードをXNUMX回変更する KRBTGT。

将来的には、この AD ウィジェットは、ネットワーク上のすべてのドメインの KRBTGT パスワードを再度変更する時期が来たことを通知します。

2. 組み込みの管理者アカウントが最近使用されたドメインの数

による 最小特権の原則 — システム管理者には XNUMX つのアカウントが提供されます。XNUMX つ目は日常使用用のアカウントで、XNUMX つ目は計画された管理作業用です。 これは、誰もデフォルトの管理者アカウントを使用すべきではないことを意味します。

組み込みの管理者アカウントは、システム管理プロセスを簡素化するためによく使用されます。 これが悪い習慣となり、ハッキングにつながる可能性があります。 組織内でこれが発生すると、このアカウントの適切な使用と潜在的に悪意のあるアクセスとを区別することが困難になります。

ウィジェットにゼロ以外の値が表示される場合は、管理者アカウントが正しく動作していません。 この場合、組み込み管理者アカウントを修正してアクセスを制限する手順を実行する必要があります。
ウィジェット値が XNUMX に達し、システム管理者がこのアカウントを業務に使用しなくなると、将来的にこのアカウントに変更が加えられると、サイバー攻撃の可能性が示されます。

3. 保護されたユーザーのグループを持たないドメインの数

AD の古いバージョンでは、弱い暗号化タイプ RC4 がサポートされていました。 ハッカーは何年も前に RC4 をハッキングしましたが、現在でも RC4 を使用しているアカウントを攻撃者がハッキングするのは非常に簡単な作業です。 Windows Server 2012 で導入された Active Directory のバージョンでは、Protected Users Group と呼ばれる新しいタイプのユーザー グループが導入されました。 追加のセキュリティ ツールを提供し、RC4 暗号化を使用したユーザー認証を防ぎます。

このウィジェットは、組織内のドメインにそのようなグループが欠落しているかどうかを示し、修正できるようにします。 保護されたユーザーのグループを有効にし、それを使用してインフラストラクチャを保護します。

攻撃者の格好のターゲット

ユーザー アカウントは、最初の侵入の試みから継続的な権限昇格やアクティビティの隠蔽に至るまで、攻撃者にとって最大のターゲットです。 攻撃者は、検出が困難なことが多い基本的な PowerShell コマンドを使用して、ネットワーク上の単純なターゲットを探します。 このような簡単なターゲットを AD からできるだけ多く削除してください。

攻撃者は、無期限のパスワードを持つユーザー (またはパスワードを必要としないユーザー)、管理者であるテクノロジ アカウント、従来の RC4 暗号化を使用するアカウントを探しています。

これらのアカウントはどれも、アクセスするのが簡単か、通常は監視されていません。 攻撃者はこれらのアカウントを乗っ取り、インフラストラクチャ内を自由に移動することができます。

攻撃者がセキュリティ境界に侵入すると、少なくとも XNUMX つのアカウントにアクセスできる可能性があります。 攻撃が検出され阻止される前に、彼らが機密データにアクセスするのを阻止できるでしょうか?

Varonis AD ダッシュボードは脆弱なユーザー アカウントを指摘するため、問題を積極的にトラブルシューティングできます。 ネットワークへの侵入が困難であればあるほど、重大な損害を引き起こす前に攻撃者を無力化できる可能性が高くなります。

ユーザーアカウントの 4 つの主要なリスク指標

以下は、最も脆弱なユーザー アカウントを強調表示する Varonis AD ダッシュボード ウィジェットの例です。

1. 有効期限のないパスワードを持つアクティブ ユーザーの数

攻撃者がそのようなアカウントにアクセスすることは、常に大成功です。 パスワードの有効期限が切れないため、攻撃者はネットワーク内に永続的な足場を築き、それを悪用することができます。 権限昇格 またはインフラ内の動き。
攻撃者は、クレデンシャル スタッフィング攻撃に使用する何百万ものユーザーとパスワードの組み合わせのリストを持っており、その可能性は次のとおりです。
ユーザーと「永久」パスワードの組み合わせがこれらのリストのいずれかに含まれており、ゼロよりもはるかに大きいことがわかります。

有効期限のないパスワードを持つアカウントは管理が簡単ですが、安全ではありません。 このウィジェットを使用して、そのようなパスワードを持つすべてのアカウントを検索します。 この設定を変更し、パスワードを更新してください。

このウィジェットの値をゼロに設定すると、そのパスワードで作成された新しいアカウントがダッシュボードに表示されます。

2. SPN を持つ管理者アカウントの数

SPN (サービス プリンシパル名) は、サービス インスタンスの一意の識別子です。 このウィジェットには、完全な管理者権限を持つサービス アカウントの数が表示されます。 ウィジェットの値はゼロでなければなりません。 管理者権限を持つ SPN は、そのような権限を付与することがソフトウェア ベンダーやアプリケーション管理者にとって便利であるために発生しますが、セキュリティ リスクが生じます。

サービス アカウントに管理者権限を付与すると、攻撃者は使用されていないアカウントへのフル アクセスを取得できるようになります。 これは、SPN アカウントにアクセスできる攻撃者が、アクティビティを監視されることなくインフラストラクチャ内で自由に活動できることを意味します。

この問題は、サービス アカウントのアクセス許可を変更することで解決できます。 このようなアカウントには最小特権の原則が適用され、その操作に実際に必要なアクセスのみが付与される必要があります。

このウィジェットを使用すると、管理者権限を持つすべての SPN を検出し、そのような権限を削除し、最小特権アクセスの同じ原則を使用して SPN を監視できます。

新しく表示された SPN がダッシュボードに表示され、このプロセスを監視できるようになります。

3. Kerberos事前認証を必要としないユーザーの数

理想的には、Kerberos は、現在でも解読不可能な AES-256 暗号化を使用して認証チケットを暗号化します。

ただし、古いバージョンの Kerberos では RC4 暗号化が使用されており、現在では数分で解読できるようになっています。 このウィジェットは、どのユーザー アカウントがまだ RC4 を使用しているかを示します。 Microsoft は下位互換性のために RC4 を引き続きサポートしていますが、AD で RCXNUMX を使用する必要があるという意味ではありません。

そのようなアカウントを特定したら、AD の「Kerberos 事前認証を必要としない」チェックボックスをオフにして、そのアカウントでより複雑な暗号化を使用するように強制する必要があります。

Varonis AD ダッシュボードを使用せずにこれらのアカウントを自分で検出するには、非常に時間がかかります。 実際には、RC4 暗号化を使用するように編集されたすべてのアカウントを認識することはさらに困難な作業です。

ウィジェットの値が変化した場合、これは違法なアクティビティを示している可能性があります。

4. パスワードを持たないユーザーの数

攻撃者は基本的な PowerShell コマンドを使用して、アカウント プロパティ内の AD から「PASSWD_NOTREQD」フラグを読み取ります。 このフラグを使用すると、パスワード要件や複雑さの要件がないことを示します。
Насколько легко украсть учетную запись с простым или пустым паролем? А теперь представьте, что одна из этих учетных записей является администратором.

誰でも公開される何千もの機密ファイルの XNUMX つが今後の財務報告書だったらどうなるでしょうか?

必須のパスワード要件を無視することは、過去によく使用されていたもう XNUMX つのシステム管理ショートカットですが、現在では許容されず、安全でもありません。

これらのアカウントのパスワードを更新して、この問題を解決してください。

今後このウィジェットを監視すると、パスワードのないアカウントを避けることができます。

ヴァロニスは確率を均等にする

以前は、この記事で説明されているメトリクスの収集と分析の作業には何時間もかかり、PowerShell に関する深い知識が必要であったため、セキュリティ チームはそのようなタスクに毎週または毎月リソースを割り当てる必要がありました。 しかし、この情報を手動で収集して処理すると、攻撃者は侵入してデータを盗むのに有利なスタートを切ることができます。

С ヴァロニス AD ダッシュボードと追加のコンポーネントを展開し、議論されたすべての脆弱性などを収集するには XNUMX 日かかります。 将来的には、運用中にインフラストラクチャの状態の変化に応じて監視パネルが自動的に更新されるようになります。

サイバー攻撃の実行は常に攻撃者と防御者の間の競争であり、攻撃者はセキュリティ専門家がデータへのアクセスをブロックする前にデータを盗もうとします。 強力なサイバー防御と組み合わせて、攻撃者とその違法行為を早期に検出することが、データを安全に保つ鍵となります。

出所： habr.com