Kabeh sing dibutuhake panyerang yaiku wektu lan motivasi kanggo mlebu jaringan sampeyan. Nanging tugas kita yaiku nyegah dheweke nindakake iki, utawa paling ora nggawe tugas iki dadi angel. Sampeyan kudu miwiti kanthi ngenali kelemahane ing Active Directory (sabanjure diarani AD) sing bisa digunakake panyerang kanggo entuk akses lan ngubengi jaringan tanpa dideteksi. Dina iki ing artikel iki kita bakal ndeleng indikator risiko sing nggambarake kerentanan sing ana ing pertahanan cyber organisasi sampeyan, nggunakake dasbor AD Varonis minangka conto.
Penyerang nggunakake konfigurasi tartamtu ing domain
Penyerang nggunakake macem-macem teknik lan kerentanan sing cerdas kanggo nembus jaringan perusahaan lan nambah hak istimewa. Sawetara kerentanan kasebut minangka setelan konfigurasi domain sing bisa gampang diganti sawise diidentifikasi.
Dashboard AD bakal langsung menehi tandha yen sampeyan (utawa administrator sistem) durung ngganti sandi KRBTGT ing sasi pungkasan, utawa yen wong wis otentikasi karo standar dibangun ing akun Administrator. Akun loro iki nyedhiyakake akses tanpa wates menyang jaringan sampeyan: panyerang bakal nyoba entuk akses menyang akun kasebut supaya gampang ngliwati watesan hak istimewa lan ijin akses. Lan, minangka asil, dheweke entuk akses menyang data apa wae sing disenengi.
Mesthi, sampeyan bisa nemokake kerentanan kasebut dhewe: contone, nyetel pangeling tanggalan kanggo mriksa utawa mbukak skrip PowerShell kanggo ngumpulake informasi iki.
Dashboard Varonis lagi dianyari kanthi otomatis kanggo nyedhiyakake visibilitas cepet lan analisis metrik kunci sing nyorot kerentanan potensial supaya sampeyan bisa njupuk tindakan langsung kanggo ngatasi.
3 Indikator Risiko Level Domain Utama
Ing ngisor iki ana sawetara widget sing kasedhiya ing dashboard Varonis, panggunaan sing bakal nambah proteksi jaringan perusahaan lan infrastruktur IT sacara sakabehe.
1. Jumlah domain sing sandi akun Kerberos durung diganti kanggo wektu pinunjul
Akun KRBTGT minangka akun khusus ing AD sing menehi tandha kabeh . Penyerang sing entuk akses menyang kontroler domain (DC) bisa nggunakake akun iki kanggo nggawe , sing bakal menehi akses tanpa wates menyang meh kabeh sistem ing jaringan perusahaan. Kita nemoni kahanan nalika, sawise kasil entuk Tiket Emas, panyerang nduweni akses menyang jaringan organisasi sajrone rong taun. Yen tembung sandi akun KRBTGT ing perusahaan sampeyan durung diganti sajrone patang puluh dina pungkasan, widget bakal menehi kabar babagan iki.
Patang puluh dina luwih saka cukup wektu kanggo penyerang entuk akses menyang jaringan. Nanging, yen sampeyan ngetrapake lan nggawe standar proses ngganti tembung sandhi iki kanthi rutin, bakal dadi luwih angel kanggo panyerang mlebu jaringan perusahaan sampeyan.
Elinga yen miturut implementasine protokol Kerberos Microsoft, sampeyan kudu KRBTGT.
Ing mangsa ngarep, widget AD iki bakal ngelingake sampeyan nalika wektune ngganti tembung sandi KRBTGT maneh kanggo kabeh domain ing jaringan sampeyan.
2. Jumlah domain ngendi akun Administrator dibangun ing bubar digunakake
Miturut - Administrator sistem diwenehake karo rong akun: sing pisanan yaiku akun kanggo panggunaan saben dina, lan sing nomer loro kanggo karya administratif sing direncanakake. Iki tegese ora ana sing kudu nggunakake akun administrator standar.
Akun administrator sing dibangun asring digunakake kanggo nyederhanakake proses administrasi sistem. Iki bisa dadi pakulinan ala, nyebabake hacking. Yen kedadeyan kasebut ing organisasi sampeyan, sampeyan bakal angel mbedakake antarane panggunaan akun iki sing bener lan akses sing bisa mbebayani.
Yen widget nuduhake apa-apa liyane saka nol, banjur wong ora bisa digunakake kanthi bener karo akun administratif. Ing kasus iki, sampeyan kudu njupuk langkah kanggo mbenerake lan matesi akses menyang akun administrator sing dibangun ing.
Sawise sampeyan wis entuk nilai widget saka nol lan administrator sistem ora nggunakake akun iki kanggo karya, banjur ing mangsa, sembarang owah-owahan bakal nuduhake serangan cyber potensial.
3. Jumlah domain sing ora duwe klompok Pangguna sing dilindhungi
Versi lawas AD ndhukung jinis enkripsi sing lemah - RC4. Peretas hack RC4 pirang-pirang taun kepungkur, lan saiki dadi tugas sing ora pati penting kanggo panyerang kanggo hack akun sing isih nggunakake RC4. Versi Active Directory sing dienal ing Windows Server 2012 ngenalake jinis grup pangguna anyar sing diarani Grup Pangguna sing Dilindungi. Nyedhiyakake alat keamanan tambahan lan nyegah otentikasi pangguna nggunakake enkripsi RC4.
Widget iki bakal nduduhake yen ana domain ing organisasi sing ilang grup kasebut supaya sampeyan bisa ndandani, yaiku. ngaktifake klompok pangguna sing dilindhungi lan gunakake kanggo nglindhungi infrastruktur kasebut.
Target gampang kanggo panyerang
Akun pangguna minangka target nomer siji kanggo panyerang, saka upaya intrusi awal kanggo terus nambah hak istimewa lan ndhelikake aktivitase. Penyerang nggoleki target sing gampang ing jaringan sampeyan nggunakake printah PowerShell dhasar sing asring angel dideteksi. Mbusak akeh target sing gampang saka AD.
Panyerang nggoleki pangguna sing duwe sandhi sing ora tau kadaluwarsa (utawa sing ora mbutuhake sandhi), akun teknologi sing dadi pangurus, lan akun sing nggunakake enkripsi RC4 warisan.
Sembarang akun kasebut ora pati penting kanggo diakses utawa umume ora diawasi. Penyerang bisa njupuk alih akun kasebut lan pindhah kanthi bebas ing infrastruktur sampeyan.
Sawise panyerang nembus perimeter keamanan, mesthine bakal entuk akses menyang paling ora siji akun. Apa sampeyan bisa nyegah dheweke entuk akses menyang data sensitif sadurunge serangan kasebut dideteksi lan ana?
Dashboard Varonis AD bakal nuduhake akun pangguna sing rentan supaya sampeyan bisa ngatasi masalah kanthi proaktif. Sing luwih angel nembus jaringan sampeyan, luwih apik kemungkinan sampeyan netralake panyerang sadurunge nyebabake karusakan serius.
4 Indikator Risiko Utama kanggo Akun Panganggo
Ing ngisor iki ana conto widget dashboard Varonis AD sing nyorot akun pangguna sing paling rentan.
1. Jumlah pangguna aktif nganggo sandhi sing ora tau kadaluwarsa
Kanggo sapa wae panyerang entuk akses menyang akun kasebut mesthi sukses. Wiwit tembung sandhi ora tau kadaluwarsa, panyerang nduweni pijakan permanen ing jaringan, sing banjur bisa digunakake utawa gerakan ing infrastruktur.
Penyerang duwe dhaptar mayuta-yuta kombinasi tembung sandhi pangguna sing digunakake ing serangan isi kredensial, lan kemungkinan kasebut
sing kombinasi kanggo pangguna karo sandi "langgeng" ing salah siji saka dhaptar iki, luwih saka nul.
Akun sing nganggo tembung sandhi sing ora kadaluwarsa gampang diatur, nanging ora aman. Gunakake widget iki kanggo nemokake kabeh akun sing duwe sandhi kasebut. Ganti setelan iki lan nganyari sandhi.
Sawise nilai widget iki disetel menyang nol, akun anyar sing digawe nganggo tembung sandhi kasebut bakal katon ing dashboard.
2. Jumlah akun administratif karo SPN
SPN (Service Principal Name) minangka pengenal unik saka conto layanan. Widget iki nuduhake jumlah akun layanan sing nduweni hak administrator lengkap. Nilai ing widget kudu nol. SPN kanthi hak administratif dumadi amarga menehi hak kasebut trep kanggo vendor piranti lunak lan administrator aplikasi, nanging nyebabake risiko keamanan.
Menehi hak administratif akun layanan ngidini panyerang entuk akses lengkap menyang akun sing ora digunakake. Iki tegese panyerang sing duwe akses menyang akun SPN bisa mlaku kanthi bebas ing infrastruktur kasebut tanpa dipantau aktivitase.
Sampeyan bisa ngatasi masalah iki kanthi ngganti ijin ing akun layanan. Akun kasebut kudu tundhuk karo prinsip hak istimewa sing paling sithik lan mung nduweni akses sing bener-bener perlu kanggo operasi kasebut.
Nggunakake widget iki, sampeyan bisa ndeteksi kabeh SPNs sing duwe hak administratif, mbusak hak istimewa kuwi, lan banjur ngawasi SPNs nggunakake prinsip padha akses paling ndarbeni hak istimewa.
SPN sing mentas katon bakal ditampilake ing dashboard, lan sampeyan bakal bisa ngawasi proses iki.
3. Jumlah pangguna sing ora mbutuhake Kerberos pre-otentikasi
Saenipun, Kerberos ndhelik tiket otentikasi nggunakake enkripsi AES-256, sing tetep ora bisa dipecah nganti saiki.
Nanging, versi lawas Kerberos nggunakake enkripsi RC4, sing saiki bisa rusak sajrone sawetara menit. Widget iki nuduhake akun pangguna sing isih nggunakake RC4. Microsoft isih ndhukung RC4 kanggo kompatibilitas mundur, nanging ora ateges sampeyan kudu nggunakake ing AD.
Sawise sampeyan nemtokake akun kasebut, sampeyan kudu mbusak centhang "ora mbutuhake pra-wewenang Kerberos" ing AD kanggo meksa akun kasebut nggunakake enkripsi sing luwih canggih.
Nemokake akun kasebut dhewe, tanpa dashboard Varonis AD, mbutuhake wektu akeh. Ing kasunyatan, ngerti kabeh akun sing diowahi kanggo nggunakake enkripsi RC4 minangka tugas sing luwih angel.
Yen nilai ing widget diganti, iki bisa nuduhake kegiatan ilegal.
4. Jumlah pangguna tanpa sandhi
Penyerang nggunakake printah PowerShell dhasar kanggo maca gendera "PASSWD_NOTREQD" saka AD ing properti akun. Panganggone gendera iki nuduhake yen ora ana syarat sandi utawa syarat kerumitan.
Carane gampang iku kanggo nyolong akun karo sandi prasaja utawa kosong? Saiki bayangake yen salah sawijining akun kasebut minangka administrator.
Apa yen salah siji saka ewonan file rahasia sing mbukak kanggo kabeh wong minangka laporan keuangan sing bakal teka?
Nglirwakake syarat sandhi wajib minangka trabasan administrasi sistem liyane sing asring digunakake ing jaman biyen, nanging saiki ora bisa ditampa lan ora aman.
Ndandani masalah iki kanthi nganyari sandhi kanggo akun kasebut.
Ngawasi widget iki ing mangsa ngarep bakal mbantu sampeyan ngindhari akun tanpa sandhi.
Varonis evens rintangan
Ing jaman biyen, pakaryan ngumpulake lan nganalisa metrik sing diterangake ing artikel iki butuh pirang-pirang jam lan mbutuhake kawruh jero babagan PowerShell, sing mbutuhake tim keamanan kanggo nyedhiyakake sumber daya kanggo tugas kasebut saben minggu utawa wulan. Nanging koleksi manual lan pangolahan informasi iki menehi panyerang wiwitan kanggo nyusup lan nyolong data.
Π‘ Sampeyan bakal nglampahi sedina kanggo masang dashboard AD lan komponen tambahan, ngumpulake kabeh kerentanan sing dibahas lan liya-liyane. Ing mangsa ngarep, sajrone operasi, panel ngawasi bakal dianyari kanthi otomatis amarga owah-owahan prasarana.
Nindakake serangan cyber tansah dadi balapan antarane penyerang lan pembela, kepinginan penyerang kanggo nyolong data sadurunge spesialis keamanan bisa mblokir akses menyang. Deteksi awal panyerang lan aktivitas ilegal, ditambah karo pertahanan cyber sing kuwat, minangka kunci kanggo njaga data sampeyan kanthi aman.
Source: www.habr.com