ಆಕ್ರಮಣಕಾರರಿಗೆ ಬೇಕಾಗಿರುವುದು ನಿಮ್ಮ ನೆಟ್ವರ್ಕ್ಗೆ ಪ್ರವೇಶಿಸಲು ಸಮಯ ಮತ್ತು ಪ್ರೇರಣೆ. ಆದರೆ ಅವನು ಇದನ್ನು ಮಾಡದಂತೆ ತಡೆಯುವುದು ಅಥವಾ ಕನಿಷ್ಠ ಈ ಕೆಲಸವನ್ನು ಸಾಧ್ಯವಾದಷ್ಟು ಕಷ್ಟಕರವಾಗಿಸುವುದು ನಮ್ಮ ಕೆಲಸ. ಆಕ್ಟಿವ್ ಡೈರೆಕ್ಟರಿಯಲ್ಲಿನ ದೌರ್ಬಲ್ಯಗಳನ್ನು ಗುರುತಿಸುವ ಮೂಲಕ ನೀವು ಪ್ರಾರಂಭಿಸಬೇಕು (ಇನ್ನು ಮುಂದೆ AD ಎಂದು ಉಲ್ಲೇಖಿಸಲಾಗುತ್ತದೆ) ಆಕ್ರಮಣಕಾರರು ಪ್ರವೇಶವನ್ನು ಪಡೆಯಲು ಮತ್ತು ಪತ್ತೆಹಚ್ಚದೆಯೇ ನೆಟ್ವರ್ಕ್ ಸುತ್ತಲೂ ಚಲಿಸಬಹುದು. ಇಂದು ಈ ಲೇಖನದಲ್ಲಿ ನಾವು AD Varonis ಡ್ಯಾಶ್ಬೋರ್ಡ್ ಅನ್ನು ಉದಾಹರಣೆಯಾಗಿ ಬಳಸಿಕೊಂಡು ನಿಮ್ಮ ಸಂಸ್ಥೆಯ ಸೈಬರ್ ರಕ್ಷಣೆಯಲ್ಲಿ ಅಸ್ತಿತ್ವದಲ್ಲಿರುವ ದುರ್ಬಲತೆಗಳನ್ನು ಪ್ರತಿಬಿಂಬಿಸುವ ಅಪಾಯದ ಸೂಚಕಗಳನ್ನು ನೋಡುತ್ತೇವೆ.
ಆಕ್ರಮಣಕಾರರು ಡೊಮೇನ್ನಲ್ಲಿ ಕೆಲವು ಕಾನ್ಫಿಗರೇಶನ್ಗಳನ್ನು ಬಳಸುತ್ತಾರೆ
ದಾಳಿಕೋರರು ಕಾರ್ಪೊರೇಟ್ ನೆಟ್ವರ್ಕ್ಗಳನ್ನು ಭೇದಿಸಲು ಮತ್ತು ಸವಲತ್ತುಗಳನ್ನು ಹೆಚ್ಚಿಸಲು ವಿವಿಧ ಬುದ್ಧಿವಂತ ತಂತ್ರಗಳು ಮತ್ತು ದುರ್ಬಲತೆಗಳನ್ನು ಬಳಸುತ್ತಾರೆ. ಈ ದುರ್ಬಲತೆಗಳಲ್ಲಿ ಕೆಲವು ಡೊಮೇನ್ ಕಾನ್ಫಿಗರೇಶನ್ ಸೆಟ್ಟಿಂಗ್ಗಳಾಗಿದ್ದು, ಅವುಗಳನ್ನು ಗುರುತಿಸಿದ ನಂತರ ಸುಲಭವಾಗಿ ಬದಲಾಯಿಸಬಹುದು.
ನೀವು (ಅಥವಾ ನಿಮ್ಮ ಸಿಸ್ಟಂ ನಿರ್ವಾಹಕರು) ಕಳೆದ ತಿಂಗಳಲ್ಲಿ KRBTGT ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ಬದಲಾಯಿಸದಿದ್ದರೆ ಅಥವಾ ಯಾರಾದರೂ ಡೀಫಾಲ್ಟ್ ಬಿಲ್ಟ್-ಇನ್ ನಿರ್ವಾಹಕ ಖಾತೆಯೊಂದಿಗೆ ದೃಢೀಕರಿಸಿದ್ದರೆ AD ಡ್ಯಾಶ್ಬೋರ್ಡ್ ತಕ್ಷಣವೇ ನಿಮ್ಮನ್ನು ಎಚ್ಚರಿಸುತ್ತದೆ. ಈ ಎರಡು ಖಾತೆಗಳು ನಿಮ್ಮ ನೆಟ್ವರ್ಕ್ಗೆ ಅನಿಯಮಿತ ಪ್ರವೇಶವನ್ನು ಒದಗಿಸುತ್ತವೆ: ಸವಲತ್ತುಗಳು ಮತ್ತು ಪ್ರವೇಶ ಅನುಮತಿಗಳಲ್ಲಿನ ಯಾವುದೇ ನಿರ್ಬಂಧಗಳನ್ನು ಸುಲಭವಾಗಿ ಬೈಪಾಸ್ ಮಾಡಲು ಆಕ್ರಮಣಕಾರರು ಅವರಿಗೆ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಲು ಪ್ರಯತ್ನಿಸುತ್ತಾರೆ. ಮತ್ತು, ಪರಿಣಾಮವಾಗಿ, ಅವರು ಆಸಕ್ತಿ ಹೊಂದಿರುವ ಯಾವುದೇ ಡೇಟಾಗೆ ಪ್ರವೇಶವನ್ನು ಪಡೆಯುತ್ತಾರೆ.
ಸಹಜವಾಗಿ, ಈ ದೋಷಗಳನ್ನು ನೀವೇ ಕಂಡುಹಿಡಿಯಬಹುದು: ಉದಾಹರಣೆಗೆ, ಈ ಮಾಹಿತಿಯನ್ನು ಸಂಗ್ರಹಿಸಲು ಪವರ್ಶೆಲ್ ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ಪರಿಶೀಲಿಸಲು ಅಥವಾ ರನ್ ಮಾಡಲು ಕ್ಯಾಲೆಂಡರ್ ಜ್ಞಾಪನೆಯನ್ನು ಹೊಂದಿಸಿ.
Varonis ಡ್ಯಾಶ್ಬೋರ್ಡ್ ಅನ್ನು ನವೀಕರಿಸಲಾಗುತ್ತಿದೆ ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಸಂಭಾವ್ಯ ದುರ್ಬಲತೆಗಳನ್ನು ಹೈಲೈಟ್ ಮಾಡುವ ಪ್ರಮುಖ ಮೆಟ್ರಿಕ್ಗಳ ತ್ವರಿತ ಗೋಚರತೆ ಮತ್ತು ವಿಶ್ಲೇಷಣೆಯನ್ನು ಒದಗಿಸಲು ಆದ್ದರಿಂದ ನೀವು ಅವುಗಳನ್ನು ಪರಿಹರಿಸಲು ತಕ್ಷಣದ ಕ್ರಮವನ್ನು ತೆಗೆದುಕೊಳ್ಳಬಹುದು.
3 ಪ್ರಮುಖ ಡೊಮೇನ್ ಮಟ್ಟದ ಅಪಾಯ ಸೂಚಕಗಳು
ವರೋನಿಸ್ ಡ್ಯಾಶ್ಬೋರ್ಡ್ನಲ್ಲಿ ಲಭ್ಯವಿರುವ ಹಲವಾರು ವಿಜೆಟ್ಗಳನ್ನು ಕೆಳಗೆ ನೀಡಲಾಗಿದೆ, ಇದರ ಬಳಕೆಯು ಕಾರ್ಪೊರೇಟ್ ನೆಟ್ವರ್ಕ್ ಮತ್ತು ಒಟ್ಟಾರೆಯಾಗಿ ಐಟಿ ಮೂಲಸೌಕರ್ಯದ ರಕ್ಷಣೆಯನ್ನು ಗಮನಾರ್ಹವಾಗಿ ಹೆಚ್ಚಿಸುತ್ತದೆ.
1. Kerberos ಖಾತೆಯ ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ಗಮನಾರ್ಹ ಸಮಯದವರೆಗೆ ಬದಲಾಯಿಸದಿರುವ ಡೊಮೇನ್ಗಳ ಸಂಖ್ಯೆ
KRBTGT ಖಾತೆಯು AD ಯಲ್ಲಿ ವಿಶೇಷ ಖಾತೆಯಾಗಿದ್ದು ಅದು ಎಲ್ಲವನ್ನೂ ಸಹಿ ಮಾಡುತ್ತದೆ . ಡೊಮೇನ್ ನಿಯಂತ್ರಕಕ್ಕೆ (DC) ಪ್ರವೇಶವನ್ನು ಪಡೆಯುವ ಆಕ್ರಮಣಕಾರರು ಈ ಖಾತೆಯನ್ನು ರಚಿಸಲು ಬಳಸಬಹುದು , ಇದು ಕಾರ್ಪೊರೇಟ್ ನೆಟ್ವರ್ಕ್ನಲ್ಲಿರುವ ಯಾವುದೇ ಸಿಸ್ಟಮ್ಗೆ ಅನಿಯಮಿತ ಪ್ರವೇಶವನ್ನು ನೀಡುತ್ತದೆ. ಗೋಲ್ಡನ್ ಟಿಕೆಟ್ ಅನ್ನು ಯಶಸ್ವಿಯಾಗಿ ಪಡೆದ ನಂತರ, ಆಕ್ರಮಣಕಾರರು ಎರಡು ವರ್ಷಗಳವರೆಗೆ ಸಂಸ್ಥೆಯ ನೆಟ್ವರ್ಕ್ಗೆ ಪ್ರವೇಶವನ್ನು ಹೊಂದಿರುವ ಪರಿಸ್ಥಿತಿಯನ್ನು ನಾವು ಎದುರಿಸಿದ್ದೇವೆ. ಕಳೆದ ನಲವತ್ತು ದಿನಗಳಲ್ಲಿ ನಿಮ್ಮ ಕಂಪನಿಯಲ್ಲಿ KRBTGT ಖಾತೆಯ ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ಬದಲಾಯಿಸದಿದ್ದರೆ, ವಿಜೆಟ್ ಈ ಬಗ್ಗೆ ನಿಮಗೆ ತಿಳಿಸುತ್ತದೆ.
ನೆಟ್ವರ್ಕ್ಗೆ ಪ್ರವೇಶ ಪಡೆಯಲು ಆಕ್ರಮಣಕಾರರಿಗೆ ನಲವತ್ತು ದಿನಗಳು ಸಾಕಷ್ಟು ಸಮಯಕ್ಕಿಂತ ಹೆಚ್ಚು. ಆದಾಗ್ಯೂ, ಈ ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ನಿಯಮಿತವಾಗಿ ಬದಲಾಯಿಸುವ ಪ್ರಕ್ರಿಯೆಯನ್ನು ನೀವು ಜಾರಿಗೊಳಿಸಿದರೆ ಮತ್ತು ಪ್ರಮಾಣೀಕರಿಸಿದರೆ, ನಿಮ್ಮ ಕಾರ್ಪೊರೇಟ್ ನೆಟ್ವರ್ಕ್ಗೆ ಪ್ರವೇಶಿಸಲು ಆಕ್ರಮಣಕಾರರಿಗೆ ಇದು ಹೆಚ್ಚು ಕಷ್ಟಕರವಾಗುತ್ತದೆ.
ಮೈಕ್ರೋಸಾಫ್ಟ್ನ Kerberos ಪ್ರೋಟೋಕಾಲ್ನ ಅನುಷ್ಠಾನದ ಪ್ರಕಾರ, ನೀವು ಮಾಡಬೇಕು ಎಂಬುದನ್ನು ನೆನಪಿಡಿ ಕೆಆರ್ಬಿಟಿಜಿಟಿ.
ಭವಿಷ್ಯದಲ್ಲಿ, ನಿಮ್ಮ ನೆಟ್ವರ್ಕ್ನಲ್ಲಿರುವ ಎಲ್ಲಾ ಡೊಮೇನ್ಗಳಿಗೆ ಮತ್ತೆ KRBTGT ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ಬದಲಾಯಿಸುವ ಸಮಯ ಬಂದಾಗ ಈ AD ವಿಜೆಟ್ ನಿಮಗೆ ನೆನಪಿಸುತ್ತದೆ.
2. ಅಂತರ್ನಿರ್ಮಿತ ನಿರ್ವಾಹಕ ಖಾತೆಯನ್ನು ಇತ್ತೀಚೆಗೆ ಬಳಸಿದ ಡೊಮೇನ್ಗಳ ಸಂಖ್ಯೆ
ಪ್ರಕಾರ — ಸಿಸ್ಟಮ್ ನಿರ್ವಾಹಕರಿಗೆ ಎರಡು ಖಾತೆಗಳನ್ನು ಒದಗಿಸಲಾಗಿದೆ: ಮೊದಲನೆಯದು ದೈನಂದಿನ ಬಳಕೆಗಾಗಿ ಖಾತೆ, ಮತ್ತು ಎರಡನೆಯದು ಯೋಜಿತ ಆಡಳಿತಾತ್ಮಕ ಕೆಲಸಕ್ಕಾಗಿ. ಇದರರ್ಥ ಯಾರೂ ಡೀಫಾಲ್ಟ್ ನಿರ್ವಾಹಕ ಖಾತೆಯನ್ನು ಬಳಸಬಾರದು.
ಅಂತರ್ನಿರ್ಮಿತ ನಿರ್ವಾಹಕ ಖಾತೆಯನ್ನು ಸಾಮಾನ್ಯವಾಗಿ ಸಿಸ್ಟಮ್ ಆಡಳಿತ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಸರಳಗೊಳಿಸಲು ಬಳಸಲಾಗುತ್ತದೆ. ಇದು ಕೆಟ್ಟ ಅಭ್ಯಾಸವಾಗಬಹುದು, ಇದು ಹ್ಯಾಕಿಂಗ್ಗೆ ಕಾರಣವಾಗುತ್ತದೆ. ನಿಮ್ಮ ಸಂಸ್ಥೆಯಲ್ಲಿ ಇದು ಸಂಭವಿಸಿದಲ್ಲಿ, ಈ ಖಾತೆಯ ಸರಿಯಾದ ಬಳಕೆ ಮತ್ತು ಸಂಭಾವ್ಯ ದುರುದ್ದೇಶಪೂರಿತ ಪ್ರವೇಶದ ನಡುವೆ ವ್ಯತ್ಯಾಸವನ್ನು ಕಂಡುಹಿಡಿಯಲು ನಿಮಗೆ ಕಷ್ಟವಾಗುತ್ತದೆ.
ವಿಜೆಟ್ ಶೂನ್ಯವನ್ನು ಹೊರತುಪಡಿಸಿ ಯಾವುದನ್ನಾದರೂ ತೋರಿಸಿದರೆ, ಯಾರಾದರೂ ಆಡಳಿತಾತ್ಮಕ ಖಾತೆಗಳೊಂದಿಗೆ ಸರಿಯಾಗಿ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತಿಲ್ಲ. ಈ ಸಂದರ್ಭದಲ್ಲಿ, ಅಂತರ್ನಿರ್ಮಿತ ನಿರ್ವಾಹಕ ಖಾತೆಗೆ ಪ್ರವೇಶವನ್ನು ಸರಿಪಡಿಸಲು ಮತ್ತು ಮಿತಿಗೊಳಿಸಲು ನೀವು ಕ್ರಮಗಳನ್ನು ತೆಗೆದುಕೊಳ್ಳಬೇಕು.
ಒಮ್ಮೆ ನೀವು ಶೂನ್ಯದ ವಿಜೆಟ್ ಮೌಲ್ಯವನ್ನು ಸಾಧಿಸಿದ ನಂತರ ಮತ್ತು ಸಿಸ್ಟಮ್ ನಿರ್ವಾಹಕರು ಇನ್ನು ಮುಂದೆ ಈ ಖಾತೆಯನ್ನು ತಮ್ಮ ಕೆಲಸಕ್ಕಾಗಿ ಬಳಸುವುದಿಲ್ಲ, ನಂತರ ಭವಿಷ್ಯದಲ್ಲಿ, ಅದರಲ್ಲಿ ಯಾವುದೇ ಬದಲಾವಣೆಯು ಸಂಭಾವ್ಯ ಸೈಬರ್ ದಾಳಿಯನ್ನು ಸೂಚಿಸುತ್ತದೆ.
3. ಸಂರಕ್ಷಿತ ಬಳಕೆದಾರರ ಗುಂಪನ್ನು ಹೊಂದಿರದ ಡೊಮೇನ್ಗಳ ಸಂಖ್ಯೆ
AD ಯ ಹಳೆಯ ಆವೃತ್ತಿಗಳು ದುರ್ಬಲ ಎನ್ಕ್ರಿಪ್ಶನ್ ಪ್ರಕಾರವನ್ನು ಬೆಂಬಲಿಸಿದವು - RC4. ಹ್ಯಾಕರ್ಗಳು ಹಲವು ವರ್ಷಗಳ ಹಿಂದೆ RC4 ಅನ್ನು ಹ್ಯಾಕ್ ಮಾಡಿದ್ದಾರೆ ಮತ್ತು ಈಗ RC4 ಅನ್ನು ಬಳಸುತ್ತಿರುವ ಖಾತೆಯನ್ನು ಆಕ್ರಮಣಕಾರರು ಹ್ಯಾಕ್ ಮಾಡುವುದು ಬಹಳ ಕ್ಷುಲ್ಲಕ ಕೆಲಸವಾಗಿದೆ. ವಿಂಡೋಸ್ ಸರ್ವರ್ 2012 ರಲ್ಲಿ ಪರಿಚಯಿಸಲಾದ ಆಕ್ಟಿವ್ ಡೈರೆಕ್ಟರಿಯ ಆವೃತ್ತಿಯು ರಕ್ಷಿತ ಬಳಕೆದಾರರ ಗುಂಪು ಎಂಬ ಹೊಸ ರೀತಿಯ ಬಳಕೆದಾರರ ಗುಂಪನ್ನು ಪರಿಚಯಿಸಿತು. ಇದು ಹೆಚ್ಚುವರಿ ಭದ್ರತಾ ಸಾಧನಗಳನ್ನು ಒದಗಿಸುತ್ತದೆ ಮತ್ತು RC4 ಗೂಢಲಿಪೀಕರಣವನ್ನು ಬಳಸಿಕೊಂಡು ಬಳಕೆದಾರರ ದೃಢೀಕರಣವನ್ನು ತಡೆಯುತ್ತದೆ.
ಸಂಸ್ಥೆಯಲ್ಲಿ ಯಾವುದೇ ಡೊಮೇನ್ ಅಂತಹ ಗುಂಪನ್ನು ಕಳೆದುಕೊಂಡಿದ್ದರೆ ಈ ವಿಜೆಟ್ ಪ್ರದರ್ಶಿಸುತ್ತದೆ ಇದರಿಂದ ನೀವು ಅದನ್ನು ಸರಿಪಡಿಸಬಹುದು, ಅಂದರೆ. ಸಂರಕ್ಷಿತ ಬಳಕೆದಾರರ ಗುಂಪನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿ ಮತ್ತು ಮೂಲಸೌಕರ್ಯವನ್ನು ರಕ್ಷಿಸಲು ಅದನ್ನು ಬಳಸಿ.
ದಾಳಿಕೋರರಿಗೆ ಸುಲಭ ಗುರಿಗಳು
ಬಳಕೆದಾರರ ಖಾತೆಗಳು ಆಕ್ರಮಣಕಾರರಿಗೆ ಮೊದಲ ಗುರಿಯಾಗಿದೆ, ಆರಂಭಿಕ ಒಳನುಗ್ಗುವಿಕೆಯ ಪ್ರಯತ್ನಗಳಿಂದ ಸವಲತ್ತುಗಳ ನಿರಂತರ ಹೆಚ್ಚಳ ಮತ್ತು ಅವರ ಚಟುವಟಿಕೆಗಳನ್ನು ಮರೆಮಾಚುವವರೆಗೆ. ದಾಳಿಕೋರರು ನಿಮ್ಮ ನೆಟ್ವರ್ಕ್ನಲ್ಲಿ ಮೂಲಭೂತ ಪವರ್ಶೆಲ್ ಆಜ್ಞೆಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಸರಳ ಗುರಿಗಳನ್ನು ಹುಡುಕುತ್ತಾರೆ, ಅದನ್ನು ಪತ್ತೆಹಚ್ಚಲು ಕಷ್ಟವಾಗುತ್ತದೆ. AD ಯಿಂದ ಸಾಧ್ಯವಾದಷ್ಟು ಈ ಸುಲಭ ಗುರಿಗಳನ್ನು ತೆಗೆದುಹಾಕಿ.
ಆಕ್ರಮಣಕಾರರು ಎಂದಿಗೂ ಅವಧಿ ಮೀರದ ಪಾಸ್ವರ್ಡ್ಗಳನ್ನು ಹೊಂದಿರುವ ಬಳಕೆದಾರರನ್ನು (ಅಥವಾ ಪಾಸ್ವರ್ಡ್ಗಳ ಅಗತ್ಯವಿಲ್ಲದ), ನಿರ್ವಾಹಕರಾಗಿರುವ ತಂತ್ರಜ್ಞಾನ ಖಾತೆಗಳು ಮತ್ತು ಲೆಗಸಿ RC4 ಎನ್ಕ್ರಿಪ್ಶನ್ ಬಳಸುವ ಖಾತೆಗಳನ್ನು ಹುಡುಕುತ್ತಿದ್ದಾರೆ.
ಈ ಯಾವುದೇ ಖಾತೆಗಳನ್ನು ಪ್ರವೇಶಿಸಲು ಕ್ಷುಲ್ಲಕ ಅಥವಾ ಸಾಮಾನ್ಯವಾಗಿ ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಲಾಗುವುದಿಲ್ಲ. ದಾಳಿಕೋರರು ಈ ಖಾತೆಗಳನ್ನು ಸ್ವಾಧೀನಪಡಿಸಿಕೊಳ್ಳಬಹುದು ಮತ್ತು ನಿಮ್ಮ ಮೂಲಸೌಕರ್ಯದಲ್ಲಿ ಮುಕ್ತವಾಗಿ ಚಲಿಸಬಹುದು.
ಒಮ್ಮೆ ದಾಳಿಕೋರರು ಭದ್ರತಾ ಪರಿಧಿಯನ್ನು ಭೇದಿಸಿದರೆ, ಅವರು ಕನಿಷ್ಠ ಒಂದು ಖಾತೆಗೆ ಪ್ರವೇಶವನ್ನು ಪಡೆಯುವ ಸಾಧ್ಯತೆಯಿದೆ. ದಾಳಿಯನ್ನು ಪತ್ತೆಹಚ್ಚುವ ಮತ್ತು ಒಳಗೊಂಡಿರುವ ಮೊದಲು ಸೂಕ್ಷ್ಮ ಡೇಟಾಗೆ ಪ್ರವೇಶವನ್ನು ಪಡೆಯುವುದನ್ನು ನೀವು ತಡೆಯಬಹುದೇ?
Varonis AD ಡ್ಯಾಶ್ಬೋರ್ಡ್ ದುರ್ಬಲ ಬಳಕೆದಾರ ಖಾತೆಗಳನ್ನು ತೋರಿಸುತ್ತದೆ ಆದ್ದರಿಂದ ನೀವು ಸಮಸ್ಯೆಗಳನ್ನು ಪೂರ್ವಭಾವಿಯಾಗಿ ನಿವಾರಿಸಬಹುದು. ನಿಮ್ಮ ನೆಟ್ವರ್ಕ್ ಅನ್ನು ಭೇದಿಸುವುದು ಹೆಚ್ಚು ಕಷ್ಟಕರವಾಗಿರುತ್ತದೆ, ಆಕ್ರಮಣಕಾರರು ಗಂಭೀರ ಹಾನಿಯನ್ನುಂಟುಮಾಡುವ ಮೊದಲು ಅವರನ್ನು ತಟಸ್ಥಗೊಳಿಸುವ ಸಾಧ್ಯತೆಗಳು ಉತ್ತಮವಾಗಿರುತ್ತದೆ.
ಬಳಕೆದಾರರ ಖಾತೆಗಳಿಗಾಗಿ 4 ಪ್ರಮುಖ ಅಪಾಯ ಸೂಚಕಗಳು
ಅತ್ಯಂತ ದುರ್ಬಲ ಬಳಕೆದಾರ ಖಾತೆಗಳನ್ನು ಹೈಲೈಟ್ ಮಾಡುವ Varonis AD ಡ್ಯಾಶ್ಬೋರ್ಡ್ ವಿಜೆಟ್ಗಳ ಉದಾಹರಣೆಗಳನ್ನು ಕೆಳಗೆ ನೀಡಲಾಗಿದೆ.
1. ಎಂದಿಗೂ ಅವಧಿ ಮೀರದ ಪಾಸ್ವರ್ಡ್ಗಳನ್ನು ಹೊಂದಿರುವ ಸಕ್ರಿಯ ಬಳಕೆದಾರರ ಸಂಖ್ಯೆ
ಯಾವುದೇ ಆಕ್ರಮಣಕಾರರಿಗೆ ಅಂತಹ ಖಾತೆಗೆ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಲು ಯಾವಾಗಲೂ ಉತ್ತಮ ಯಶಸ್ಸು. ಪಾಸ್ವರ್ಡ್ ಎಂದಿಗೂ ಅವಧಿ ಮೀರುವುದಿಲ್ಲವಾದ್ದರಿಂದ, ದಾಳಿಕೋರರು ನೆಟ್ವರ್ಕ್ನಲ್ಲಿ ಶಾಶ್ವತವಾದ ಹಿಡಿತವನ್ನು ಹೊಂದಿದ್ದಾರೆ, ಅದನ್ನು ನಂತರ ಬಳಸಬಹುದು ಅಥವಾ ಮೂಲಸೌಕರ್ಯದಲ್ಲಿನ ಚಲನೆಗಳು.
ದಾಳಿಕೋರರು ರುಜುವಾತು ಸ್ಟಫಿಂಗ್ ದಾಳಿಗಳಲ್ಲಿ ಬಳಸುವ ಲಕ್ಷಾಂತರ ಬಳಕೆದಾರ-ಪಾಸ್ವರ್ಡ್ ಸಂಯೋಜನೆಗಳ ಪಟ್ಟಿಗಳನ್ನು ಹೊಂದಿದ್ದಾರೆ ಮತ್ತು ಸಂಭವನೀಯತೆ ಏನೆಂದರೆ
"ಶಾಶ್ವತ" ಪಾಸ್ವರ್ಡ್ನೊಂದಿಗೆ ಬಳಕೆದಾರರ ಸಂಯೋಜನೆಯು ಈ ಪಟ್ಟಿಗಳಲ್ಲಿ ಒಂದರಲ್ಲಿದೆ, ಶೂನ್ಯಕ್ಕಿಂತ ಹೆಚ್ಚು.
ಅವಧಿ ಮುಗಿಯದ ಪಾಸ್ವರ್ಡ್ಗಳನ್ನು ಹೊಂದಿರುವ ಖಾತೆಗಳನ್ನು ನಿರ್ವಹಿಸುವುದು ಸುಲಭ, ಆದರೆ ಅವು ಸುರಕ್ಷಿತವಾಗಿಲ್ಲ. ಅಂತಹ ಪಾಸ್ವರ್ಡ್ಗಳನ್ನು ಹೊಂದಿರುವ ಎಲ್ಲಾ ಖಾತೆಗಳನ್ನು ಹುಡುಕಲು ಈ ವಿಜೆಟ್ ಅನ್ನು ಬಳಸಿ. ಈ ಸೆಟ್ಟಿಂಗ್ ಅನ್ನು ಬದಲಾಯಿಸಿ ಮತ್ತು ನಿಮ್ಮ ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ನವೀಕರಿಸಿ.
ಒಮ್ಮೆ ಈ ವಿಜೆಟ್ನ ಮೌಲ್ಯವನ್ನು ಶೂನ್ಯಕ್ಕೆ ಹೊಂದಿಸಿದರೆ, ಆ ಪಾಸ್ವರ್ಡ್ನೊಂದಿಗೆ ರಚಿಸಲಾದ ಯಾವುದೇ ಹೊಸ ಖಾತೆಗಳು ಡ್ಯಾಶ್ಬೋರ್ಡ್ನಲ್ಲಿ ಗೋಚರಿಸುತ್ತವೆ.
2. SPN ನೊಂದಿಗೆ ಆಡಳಿತಾತ್ಮಕ ಖಾತೆಗಳ ಸಂಖ್ಯೆ
SPN (ಸೇವೆಯ ಪ್ರಮುಖ ಹೆಸರು) ಸೇವಾ ನಿದರ್ಶನದ ವಿಶಿಷ್ಟ ಗುರುತಿಸುವಿಕೆಯಾಗಿದೆ. ಎಷ್ಟು ಸೇವಾ ಖಾತೆಗಳು ಪೂರ್ಣ ನಿರ್ವಾಹಕ ಹಕ್ಕುಗಳನ್ನು ಹೊಂದಿವೆ ಎಂಬುದನ್ನು ಈ ವಿಜೆಟ್ ತೋರಿಸುತ್ತದೆ. ವಿಜೆಟ್ನಲ್ಲಿನ ಮೌಲ್ಯವು ಶೂನ್ಯವಾಗಿರಬೇಕು. ಆಡಳಿತಾತ್ಮಕ ಹಕ್ಕುಗಳೊಂದಿಗೆ SPN ಸಂಭವಿಸುತ್ತದೆ ಏಕೆಂದರೆ ಅಂತಹ ಹಕ್ಕುಗಳನ್ನು ನೀಡುವುದು ಸಾಫ್ಟ್ವೇರ್ ಮಾರಾಟಗಾರರು ಮತ್ತು ಅಪ್ಲಿಕೇಶನ್ ನಿರ್ವಾಹಕರಿಗೆ ಅನುಕೂಲಕರವಾಗಿದೆ, ಆದರೆ ಇದು ಭದ್ರತಾ ಅಪಾಯವನ್ನು ಉಂಟುಮಾಡುತ್ತದೆ.
ಸೇವಾ ಖಾತೆಗೆ ಆಡಳಿತಾತ್ಮಕ ಹಕ್ಕುಗಳನ್ನು ನೀಡುವುದರಿಂದ ಆಕ್ರಮಣಕಾರರು ಬಳಕೆಯಲ್ಲಿಲ್ಲದ ಖಾತೆಗೆ ಪೂರ್ಣ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಲು ಅನುಮತಿಸುತ್ತದೆ. ಇದರರ್ಥ SPN ಖಾತೆಗಳಿಗೆ ಪ್ರವೇಶ ಹೊಂದಿರುವ ಆಕ್ರಮಣಕಾರರು ತಮ್ಮ ಚಟುವಟಿಕೆಗಳನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡದೆಯೇ ಮೂಲಸೌಕರ್ಯದಲ್ಲಿ ಮುಕ್ತವಾಗಿ ಕಾರ್ಯನಿರ್ವಹಿಸಬಹುದು.
ಸೇವಾ ಖಾತೆಗಳಲ್ಲಿನ ಅನುಮತಿಗಳನ್ನು ಬದಲಾಯಿಸುವ ಮೂಲಕ ನೀವು ಈ ಸಮಸ್ಯೆಯನ್ನು ಪರಿಹರಿಸಬಹುದು. ಅಂತಹ ಖಾತೆಗಳು ಕನಿಷ್ಠ ಸವಲತ್ತುಗಳ ತತ್ವಕ್ಕೆ ಒಳಪಟ್ಟಿರಬೇಕು ಮತ್ತು ಅವುಗಳ ಕಾರ್ಯಾಚರಣೆಗೆ ವಾಸ್ತವವಾಗಿ ಅಗತ್ಯವಿರುವ ಪ್ರವೇಶವನ್ನು ಮಾತ್ರ ಹೊಂದಿರಬೇಕು.
ಈ ವಿಜೆಟ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು, ನೀವು ಆಡಳಿತಾತ್ಮಕ ಹಕ್ಕುಗಳನ್ನು ಹೊಂದಿರುವ ಎಲ್ಲಾ SPN ಗಳನ್ನು ಪತ್ತೆಹಚ್ಚಬಹುದು, ಅಂತಹ ಸವಲತ್ತುಗಳನ್ನು ತೆಗೆದುಹಾಕಬಹುದು ಮತ್ತು ನಂತರ SPN ಗಳನ್ನು ಕನಿಷ್ಠ ಸವಲತ್ತು ಪ್ರವೇಶದ ಅದೇ ತತ್ವವನ್ನು ಬಳಸಿಕೊಂಡು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಬಹುದು.
ಹೊಸದಾಗಿ ಕಾಣಿಸಿಕೊಳ್ಳುವ SPN ಅನ್ನು ಡ್ಯಾಶ್ಬೋರ್ಡ್ನಲ್ಲಿ ಪ್ರದರ್ಶಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ನೀವು ಈ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಲು ಸಾಧ್ಯವಾಗುತ್ತದೆ.
3. Kerberos ಪೂರ್ವ ದೃಢೀಕರಣದ ಅಗತ್ಯವಿಲ್ಲದ ಬಳಕೆದಾರರ ಸಂಖ್ಯೆ
ತಾತ್ತ್ವಿಕವಾಗಿ, Kerberos AES-256 ಗೂಢಲಿಪೀಕರಣವನ್ನು ಬಳಸಿಕೊಂಡು ದೃಢೀಕರಣದ ಟಿಕೆಟ್ ಅನ್ನು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡುತ್ತದೆ, ಇದು ಇಂದಿಗೂ ಮುರಿಯಲಾಗದಂತೆ ಉಳಿದಿದೆ.
ಆದಾಗ್ಯೂ, Kerberos ನ ಹಳೆಯ ಆವೃತ್ತಿಗಳು RC4 ಗೂಢಲಿಪೀಕರಣವನ್ನು ಬಳಸಿದವು, ಅದನ್ನು ಈಗ ನಿಮಿಷಗಳಲ್ಲಿ ಮುರಿಯಬಹುದು. ಯಾವ ಬಳಕೆದಾರರ ಖಾತೆಗಳು ಇನ್ನೂ RC4 ಅನ್ನು ಬಳಸುತ್ತಿವೆ ಎಂಬುದನ್ನು ಈ ವಿಜೆಟ್ ತೋರಿಸುತ್ತದೆ. ಮೈಕ್ರೋಸಾಫ್ಟ್ ಇನ್ನೂ RC4 ಅನ್ನು ಹಿಮ್ಮುಖ ಹೊಂದಾಣಿಕೆಗಾಗಿ ಬೆಂಬಲಿಸುತ್ತದೆ, ಆದರೆ ನೀವು ಅದನ್ನು ನಿಮ್ಮ AD ಯಲ್ಲಿ ಬಳಸಬೇಕೆಂದು ಅರ್ಥವಲ್ಲ.
ಒಮ್ಮೆ ನೀವು ಅಂತಹ ಖಾತೆಗಳನ್ನು ಗುರುತಿಸಿದ ನಂತರ, ಹೆಚ್ಚು ಸಂಕೀರ್ಣವಾದ ಎನ್ಕ್ರಿಪ್ಶನ್ ಅನ್ನು ಬಳಸಲು ಖಾತೆಗಳನ್ನು ಒತ್ತಾಯಿಸಲು ನೀವು AD ಯಲ್ಲಿ "Kerberos ಪೂರ್ವ-ಅಧಿಕಾರದ ಅಗತ್ಯವಿಲ್ಲ" ಚೆಕ್ಬಾಕ್ಸ್ ಅನ್ನು ಅನ್ಚೆಕ್ ಮಾಡಬೇಕಾಗುತ್ತದೆ.
ವರೋನಿಸ್ ಎಡಿ ಡ್ಯಾಶ್ಬೋರ್ಡ್ ಇಲ್ಲದೆಯೇ ಈ ಖಾತೆಗಳನ್ನು ನಿಮ್ಮದೇ ಆದ ಮೇಲೆ ಅನ್ವೇಷಿಸಲು ಸಾಕಷ್ಟು ಸಮಯ ತೆಗೆದುಕೊಳ್ಳುತ್ತದೆ. ವಾಸ್ತವದಲ್ಲಿ, RC4 ಗೂಢಲಿಪೀಕರಣವನ್ನು ಬಳಸಲು ಸಂಪಾದಿಸಲಾದ ಎಲ್ಲಾ ಖಾತೆಗಳ ಬಗ್ಗೆ ತಿಳಿದಿರುವುದು ಇನ್ನೂ ಕಷ್ಟಕರವಾದ ಕೆಲಸವಾಗಿದೆ.
ವಿಜೆಟ್ನಲ್ಲಿನ ಮೌಲ್ಯವು ಬದಲಾದರೆ, ಇದು ಕಾನೂನುಬಾಹಿರ ಚಟುವಟಿಕೆಯನ್ನು ಸೂಚಿಸುತ್ತದೆ.
4. ಪಾಸ್ವರ್ಡ್ ಇಲ್ಲದ ಬಳಕೆದಾರರ ಸಂಖ್ಯೆ
ದಾಳಿಕೋರರು ಖಾತೆಯ ಗುಣಲಕ್ಷಣಗಳಲ್ಲಿ AD ಯಿಂದ "PASSWD_NOTREQD" ಫ್ಲ್ಯಾಗ್ ಅನ್ನು ಓದಲು ಮೂಲಭೂತ PowerShell ಆಜ್ಞೆಗಳನ್ನು ಬಳಸುತ್ತಾರೆ. ಈ ಧ್ವಜದ ಬಳಕೆಯು ಯಾವುದೇ ಪಾಸ್ವರ್ಡ್ ಅವಶ್ಯಕತೆಗಳು ಅಥವಾ ಸಂಕೀರ್ಣತೆಯ ಅವಶ್ಯಕತೆಗಳಿಲ್ಲ ಎಂದು ಸೂಚಿಸುತ್ತದೆ.
ಸರಳ ಅಥವಾ ಖಾಲಿ ಪಾಸ್ವರ್ಡ್ನೊಂದಿಗೆ ಖಾತೆಯನ್ನು ಕದಿಯುವುದು ಎಷ್ಟು ಸುಲಭ? ಈಗ ಈ ಖಾತೆಗಳಲ್ಲಿ ಒಂದು ನಿರ್ವಾಹಕರು ಎಂದು ಊಹಿಸಿ.
ಎಲ್ಲರಿಗೂ ತೆರೆದಿರುವ ಸಾವಿರಾರು ಗೌಪ್ಯ ಫೈಲ್ಗಳಲ್ಲಿ ಒಂದು ಮುಂಬರುವ ಹಣಕಾಸು ವರದಿಯಾಗಿದ್ದರೆ ಏನು?
ಕಡ್ಡಾಯ ಪಾಸ್ವರ್ಡ್ ಅಗತ್ಯವನ್ನು ನಿರ್ಲಕ್ಷಿಸುವುದು ಮತ್ತೊಂದು ಸಿಸ್ಟಮ್ ಆಡಳಿತ ಶಾರ್ಟ್ಕಟ್ ಆಗಿದ್ದು, ಇದನ್ನು ಹಿಂದೆ ಹೆಚ್ಚಾಗಿ ಬಳಸಲಾಗುತ್ತಿತ್ತು, ಆದರೆ ಇಂದು ಸ್ವೀಕಾರಾರ್ಹ ಅಥವಾ ಸುರಕ್ಷಿತವಲ್ಲ.
ಈ ಖಾತೆಗಳಿಗೆ ಪಾಸ್ವರ್ಡ್ಗಳನ್ನು ನವೀಕರಿಸುವ ಮೂಲಕ ಈ ಸಮಸ್ಯೆಯನ್ನು ಪರಿಹರಿಸಿ.
ಭವಿಷ್ಯದಲ್ಲಿ ಈ ವಿಜೆಟ್ ಅನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡುವುದರಿಂದ ಪಾಸ್ವರ್ಡ್ ಇಲ್ಲದ ಖಾತೆಗಳನ್ನು ತಪ್ಪಿಸಲು ನಿಮಗೆ ಸಹಾಯ ಮಾಡುತ್ತದೆ.
ವರೋನಿಸ್ ಆಡ್ಸ್ ಅನ್ನು ಸಮಗೊಳಿಸುತ್ತಾನೆ
ಹಿಂದೆ, ಈ ಲೇಖನದಲ್ಲಿ ವಿವರಿಸಿದ ಮೆಟ್ರಿಕ್ಗಳನ್ನು ಸಂಗ್ರಹಿಸುವ ಮತ್ತು ವಿಶ್ಲೇಷಿಸುವ ಕೆಲಸವು ಹಲವು ಗಂಟೆಗಳನ್ನು ತೆಗೆದುಕೊಂಡಿತು ಮತ್ತು ಪವರ್ಶೆಲ್ನ ಆಳವಾದ ಜ್ಞಾನದ ಅಗತ್ಯವಿತ್ತು, ಪ್ರತಿ ವಾರ ಅಥವಾ ತಿಂಗಳು ಅಂತಹ ಕಾರ್ಯಗಳಿಗೆ ಸಂಪನ್ಮೂಲಗಳನ್ನು ನಿಯೋಜಿಸಲು ಭದ್ರತಾ ತಂಡಗಳಿಗೆ ಅಗತ್ಯವಿರುತ್ತದೆ. ಆದರೆ ಈ ಮಾಹಿತಿಯ ಹಸ್ತಚಾಲಿತ ಸಂಗ್ರಹಣೆ ಮತ್ತು ಪ್ರಕ್ರಿಯೆಯು ದಾಳಿಕೋರರಿಗೆ ಒಳನುಸುಳಲು ಮತ್ತು ಡೇಟಾವನ್ನು ಕದಿಯಲು ತಲೆಯ ಪ್ರಾರಂಭವನ್ನು ನೀಡುತ್ತದೆ.
С AD ಡ್ಯಾಶ್ಬೋರ್ಡ್ ಮತ್ತು ಹೆಚ್ಚುವರಿ ಘಟಕಗಳನ್ನು ನಿಯೋಜಿಸಲು ನೀವು ಒಂದು ದಿನವನ್ನು ಕಳೆಯುತ್ತೀರಿ, ಚರ್ಚಿಸಿದ ಎಲ್ಲಾ ದುರ್ಬಲತೆಗಳನ್ನು ಮತ್ತು ಇನ್ನೂ ಹೆಚ್ಚಿನದನ್ನು ಸಂಗ್ರಹಿಸುತ್ತೀರಿ. ಭವಿಷ್ಯದಲ್ಲಿ, ಕಾರ್ಯಾಚರಣೆಯ ಸಮಯದಲ್ಲಿ, ಮೂಲಸೌಕರ್ಯ ಬದಲಾವಣೆಗಳ ಸ್ಥಿತಿಯಂತೆ ಮೇಲ್ವಿಚಾರಣಾ ಫಲಕವನ್ನು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ನವೀಕರಿಸಲಾಗುತ್ತದೆ.
ಸೈಬರ್ ದಾಳಿಯನ್ನು ನಡೆಸುವುದು ಯಾವಾಗಲೂ ದಾಳಿಕೋರರು ಮತ್ತು ರಕ್ಷಕರ ನಡುವಿನ ಓಟವಾಗಿದೆ, ಭದ್ರತಾ ತಜ್ಞರು ಅದಕ್ಕೆ ಪ್ರವೇಶವನ್ನು ನಿರ್ಬಂಧಿಸುವ ಮೊದಲು ಡೇಟಾವನ್ನು ಕದಿಯಲು ಆಕ್ರಮಣಕಾರರ ಬಯಕೆ. ದಾಳಿಕೋರರು ಮತ್ತು ಅವರ ಕಾನೂನುಬಾಹಿರ ಚಟುವಟಿಕೆಗಳ ಆರಂಭಿಕ ಪತ್ತೆ, ಜೊತೆಗೆ ಬಲವಾದ ಸೈಬರ್ ರಕ್ಷಣೆಗಳು ನಿಮ್ಮ ಡೇಟಾವನ್ನು ಸುರಕ್ಷಿತವಾಗಿರಿಸುವ ಕೀಲಿಯಾಗಿದೆ.
ಮೂಲ: www.habr.com