Чабуулчуга сиздин тармакка кирүүгө убакыт жана мотивация гана керек. Бирок биздин ишибиз анын мындай кылуусуна жол бербөө, же жок дегенде бул ишти мүмкүн болушунча кыйындатуу. Сиз Active Directoryдеги (мындан ары AD деп аталат) алсыз жактарын аныктоо менен башташыңыз керек, аларды чабуулчу жетүү үчүн колдоно ала турган жана аныкталбастан тармакты айланып өтүүгө болот. Бүгүн бул макалада биз AD Varonis башкаруу тактасын мисал катары колдонуп, сиздин уюмуңуздун киберкоргонуусундагы алсыздыктарды чагылдырган тобокелдик көрсөткүчтөрүн карап чыгабыз.
Чабуулчулар домендеги белгилүү конфигурацияларды колдонушат
Чабуулчулар корпоративдик тармактарга кирип, артыкчылыктарды жогорулатуу үчүн ар кандай акылдуу ыкмаларды жана аялуу жерлерди колдонушат. Бул кемчиликтердин айрымдары домен конфигурациясынын жөндөөлөрү болуп саналат, алар аныкталгандан кийин оңой эле өзгөртө алат.
Эгерде сиз (же сиздин тутум администраторлоруңуз) акыркы айда KRBTGT сырсөзүн өзгөртпөсөңүз, же кимдир бирөө демейки орнотулган Администратор эсеби менен аныктыгын текшерген болсо, AD панели дароо эскертет. Бул эки эсеп сиздин тармагыңызга чексиз кирүү мүмкүнчүлүгүн берет: чабуулчулар артыкчылыктардагы жана кирүү уруксаттарындагы бардык чектөөлөрдү оңой эле айланып өтүү үчүн аларга кирүү мүмкүнчүлүгүн алууга аракет кылышат. Натыйжада, алар аларды кызыктырган бардык маалыматтарга мүмкүнчүлүк алышат.
Албетте, бул кемчиликтерди өзүңүз ача аласыз: мисалы, бул маалыматты чогултуу үчүн PowerShell скриптин текшерүү же иштетүү үчүн календардык эстеткичти орнотуңуз.
Varonis тактасы жаңыртылууда жазуусу мүмкүн болгон аялуу жерлерди баса белгилеген негизги көрсөткүчтөрдүн тез көрүнө тургандыгын жана талдоосун камсыз кылуу, андыктан сиз аларды жоюу үчүн дароо чараларды көрө аласыз.
3 Негизги домен деңгээлинин тобокелдик көрсөткүчтөрү
Төмөндө Varonis тактасында жеткиликтүү болгон бир катар виджеттер бар, аларды колдонуу корпоративдик тармакты жана бүтүндөй IT инфраструктурасын коргоону кыйла күчөтөт.
1. Kerberos каттоо эсебинин сырсөзү бир топ убакыттан бери өзгөртүлбөгөн домендердин саны
KRBTGT эсеби - бул ADдагы атайын эсеп, ал бардыгына кол коёт . Домен контроллерине (DC) кирүү мүмкүнчүлүгүнө ээ болгон чабуулчулар бул каттоо эсебин түзүү үчүн колдоно алышат , бул аларга корпоративдик тармактагы дээрлик бардык системаларга чексиз мүмкүнчүлүк берет. Биз Алтын билетти ийгиликтүү алгандан кийин, чабуулчу уюмдун тармагына эки жыл кире алган кырдаалга туш болдук. Эгерде сиздин компанияңыздагы KRBTGT аккаунтунун сырсөзү акыркы кырк күндүн ичинде өзгөртүлбөсө, виджет бул тууралуу сизге кабарлайт.
Тармакка кирүү үчүн чабуулчу үчүн кырк күн жетиштүү убакыт. Бирок, эгер сиз бул сырсөздү үзгүлтүксүз түрдө өзгөртүү процессин күчөтүп, стандартташтырсаңыз, анда чабуулчу сиздин корпоративдик тармагыңызды бузуп алуусун бир топ кыйындатат.
Microsoftтун Kerberos протоколун ишке ашыруусуна ылайык, сиз керек экенин унутпаңыз КРБТГТ.
Келечекте бул AD виджети сиздин тармагыңыздагы бардык домендер үчүн KRBTGT сырсөзүн кайра өзгөртүүгө убакыт келгенде эскертет.
2. Камтылган Администратор эсеби жакында колдонулган домендердин саны
ылайык — системалык администраторлорго эки аккаунт берилет: биринчиси – күнүмдүк колдонуу үчүн эсеп, экинчиси – пландуу башкаруу иштери үчүн. Бул эч ким демейки администратор эсебин колдонбошу керек дегенди билдирет.
Камтылган администратор эсеби көбүнчө системаны башкаруу процессин жөнөкөйлөтүү үчүн колдонулат. Бул жаман адатка айланып, хакерликке алып келиши мүмкүн. Эгер бул сиздин уюмуңузда болсо, сиз бул каттоо эсебин туура колдонуу менен зыяндуу кирүү мүмкүнчүлүгүн айырмалай албай каласыз.
Эгерде виджет нөлдөн башка нерсени көрсөтсө, анда кимдир бирөө административдик каттоо эсептери менен туура иштебей жатат. Бул учурда, сиз орнотулган администратор эсебине кирүүнү оңдоо жана чектөө үчүн кадамдарды жасашыңыз керек.
Виджеттин нөлдүк маанисине жеткениңизден кийин жана системалык администраторлор бул аккаунтту өз иштери үчүн колдонбой калышса, келечекте ага кандайдыр бир өзгөртүү мүмкүн болуучу кибер чабуулду көрсөтөт.
3. Корголгон колдонуучулар тобу жок домендердин саны
AD эски версиялары начар шифрлөө түрүн колдогон - RC4. Хакерлер көп жылдар мурун RC4ти бузушкан, эми RC4 колдонуп жаткан аккаунтту бузуп алуу чабуулчу үчүн өтө маанилүү иш. Windows Server 2012де киргизилген Active Directory версиясы Корголгон колдонуучулар тобу деп аталган колдонуучулар тобунун жаңы түрүн киргизди. Бул кошумча коопсуздук куралдарын камсыз кылат жана RC4 шифрлөө аркылуу колдонуучунун аутентификациясын алдын алат.
Бул виджет уюмдагы кандайдыр бир доменде андай топ жок болсо, аны оңдой аласыз, б.а. корголгон колдонуучулардын тобун иштетип, аны инфраструктураны коргоо үчүн колдонуңуз.
Чабуулчулар үчүн жеңил буталар
Колдонуучулардын каттоо эсептери чабуулчулар үчүн биринчи максат болуп саналат, биринчи чабуул аракеттеринен тартып артыкчылыктарды улантууга жана алардын иш-аракеттерин жашырууга чейин. Чабуулчулар тармагыңыздан жөнөкөй буталарды табуу үчүн көбүнчө кыйын болгон PowerShell буйруктарын колдонуп издешет. Мүмкүн болушунча бул жеңил максаттардын көбүн ADдан алып салыңыз.
Чабуулчулар мөөнөтү бүтпөгөн сырсөздөрү (же сырсөздөрдү талап кылбаган) колдонуучуларды, администратор болгон технологиялык эсептерди жана эски RC4 шифрлөөсүн колдонгон аккаунттарды издеп жатышат.
Бул эсептердин кайсынысы болбосун кирүү үчүн анча маанилүү эмес же жалпысынан көзөмөлдөнбөйт. Чабуулчулар бул эсептерди басып алып, инфраструктураңыздын ичинде эркин жүрө алышат.
Чабуулчулар коопсуздук периметрине киргенден кийин, алар жок дегенде бир аккаунтка кире алышат. Чабуул аныкталып, камтылганга чейин алардын купуя маалыматтарга кирүүсүнө бөгөт коё аласызбы?
Varonis AD инструменталдык тактасы аялуу колдонуучу каттоо эсептерин көрсөтөт, андыктан көйгөйлөрдү алдын ала чече аласыз. Тармагыңызга кирүү канчалык кыйын болсо, чабуулчу олуттуу зыян келтире электе зыянсыздандыруу мүмкүнчүлүгүңүз ошончолук жогору болот.
4 Колдонуучунун каттоо эсеби үчүн тобокелдиктин негизги көрсөткүчтөрү
Төмөндө Varonis AD панелинин виджеттеринин мисалдары келтирилген, алар эң аялуу колдонуучу аккаунттарын баса белгилешет.
1. Эч качан мөөнөтү бүтпөй турган сырсөздөрү бар активдүү колдонуучулардын саны
Ар бир чабуулчу үчүн мындай эсепке кирүү мүмкүнчүлүгү ар дайым чоң ийгилик. Сырсөздүн мөөнөтү эч качан бүтпөгөндүктөн, чабуулчу тармактын ичинде туруктуу таянычка ээ, андан кийин аны колдонууга болот же инфраструктуранын ичиндеги кыймылдар.
Чабуулчуларда эсептик дайындарды толтуруу чабуулдарында колдонгон миллиондогон колдонуучу сырсөз айкалыштарынын тизмеси бар.
"түбөлүк" сырсөз менен колдонуучу үчүн айкалышы бул тизмелердин биринде, нөлдөн алда канча чоң.
Мөөнөтү бүтө элек сырсөздөрү бар эсептерди башкаруу оңой, бирок алар коопсуз эмес. Мындай сырсөздөрү бар бардык эсептерди табуу үчүн бул виджетти колдонуңуз. Бул жөндөөнү өзгөртүп, сырсөзүңүздү жаңыртыңыз.
Бул виджеттин мааниси нөлгө коюлгандан кийин, ошол сырсөз менен түзүлгөн бардык жаңы каттоо эсептер панелинде пайда болот.
2. SPN менен административдик эсептердин саны
SPN (Кызматтын негизги аталышы) кызмат инстанциясынын уникалдуу идентификатору. Бул виджет канча кызмат эсептеринин толук администратор укуктары бар экенин көрсөтөт. Виджеттеги маани нөл болушу керек. Административдик укуктарга ээ SPN мындай укуктарды берүү программалык камсыздоону сатуучулар жана колдонмолордун администраторлору үчүн ыңгайлуу болгондуктан пайда болот, бирок бул коопсуздук коркунучун жаратат.
Кызмат каттоо эсебине административдик укуктарды берүү чабуулчуга колдонулбаган каттоо эсебине толук кирүү мүмкүнчүлүгүн берет. Бул SPN эсептерине кирүү мүмкүнчүлүгү бар чабуулчулар инфраструктуранын ичинде алардын иш-аракеттерине көз салбастан эркин иштей алат дегенди билдирет.
Сиз бул маселени тейлөө каттоо эсептериндеги уруксаттарды өзгөртүү менен чече аласыз. Мындай эсептер эң аз артыкчылык принцибине баш ийиши керек жана алардын иштөөсү үчүн иш жүзүндө зарыл болгон жеткиликтүүлүккө гана ээ болушу керек.
Бул виджетти колдонуу менен сиз административдик укуктарга ээ болгон бардык SPNлерди таап, мындай артыкчылыктарды алып салсаңыз, андан кийин эң аз артыкчылыктуу кирүү принцибинин жардамы менен SPNлерге мониторинг жүргүзө аласыз.
Жаңы пайда болгон SPN башкаруу панелинде көрсөтүлөт жана сиз бул процессти көзөмөлдөй аласыз.
3. Kerberos алдын ала аутентификациясын талап кылбаган колдонуучулардын саны
Идеалында, Kerberos AES-256 шифрлөө аркылуу аутентификация билетин шифрлейт, ал ушул күнгө чейин бузулбайт.
Бирок, Kerberos'тун эски версиялары RC4 шифрлөөсүн колдонушкан, аны азыр бир нече мүнөттө бузуп салса болот. Бул виджет кайсы колдонуучу каттоо эсептери дагы эле RC4 колдонуп жатканын көрсөтөт. Microsoft дагы эле артка карай шайкештик үчүн RC4ти колдойт, бирок бул сиз аны ADңызда колдонушуңуз керек дегенди билдирбейт.
Мындай эсептерди аныктагандан кийин, эсептерди татаалыраак шифрлөөнү колдонууга мажбурлоо үчүн ADдагы "Kerberos алдын ала авторизациясын талап кылбайт" кутучасын алып салышыңыз керек.
Varonis AD панелисиз бул эсептерди өз алдынча табуу көп убакытты талап кылат. Чындыгында, RC4 шифрлөөсүн колдонуу үчүн түзөтүлгөн бардык эсептерди билүү андан да татаал иш.
Эгерде виджеттеги маани өзгөрсө, бул мыйзамсыз иш-аракетти көрсөтөт.
4. Сырсөзсүз колдонуучулардын саны
Чабуулчулар негизги PowerShell буйруктарын каттоо эсебинин касиеттеринде ADдан “PASSWD_NOTREQD” желегин окуу үчүн колдонушат. Бул желекти колдонуу сырсөз талаптары же татаалдык талаптары жок экенин көрсөтүп турат.
Жөнөкөй же бош сырсөз менен аккаунтту уурдоо канчалык оңой? Эми бул эсептердин бири администратор экенин элестетиңиз.
Баарына ачык миңдеген купуя файлдардын бири алдыдагы каржылык отчет болсочу?
Милдеттүү сырсөз талабын этибарга албоо - мурун көп колдонулган системаны башкаруунун дагы бир жарлыгы, бирок бүгүнкү күндө алгылыктуу да, коопсуз да эмес.
Бул эсептердин сырсөздөрүн жаңыртуу менен бул маселени чечиңиз.
Келечекте бул виджетти көзөмөлдөө сырсөзсүз аккаунттардан качууга жардам берет.
Варонис каршылыктарды теңдейт
Мурда, бул макалада сүрөттөлгөн метрикаларды чогултуу жана талдоо иши көп саатты талап кылган жана PowerShell боюнча терең билимди талап кылган, коопсуздук топторунан мындай тапшырмаларга ресурстарды жума сайын же ай сайын бөлүштүрүүнү талап кылган. Бирок бул маалыматты кол менен чогултуу жана иштетүү чабуулчуларга маалыматтарды кирип, уурдап кетүүгө мүмкүнчүлүк берет.
С Сиз бир күндү AD панелин жана кошумча компоненттерди жайылтууга, талкууланган бардык кемчиликтерди жана башка көптөгөн нерселерди чогултууга жумшайсыз. Келечекте, иштөө учурунда инфраструктуранын абалы өзгөргөн сайын мониторинг панели автоматтык түрдө жаңыртылып турат.
Киберчабуулдарды ишке ашыруу ар дайым чабуулчулар менен коргоочулардын ортосундагы жарыш болуп саналат, чабуулчунун коопсуздук адистери ага кирүү мүмкүнчүлүгүн бөгөттөй электе, маалыматтарды уурдоо каалоосу. Чабуулчуларды жана алардын мыйзамсыз иш-аракеттерин эрте аныктоо, күчтүү кибер коргонуу каражаттары менен бирге, маалыматтарыңыздын коопсуздугун сактоонун ачкычы болуп саналат.
Source: www.habr.com