Alles wat en Ugräifer brauch ass Zäit a Motivatioun fir an Äert Netzwierk ze briechen. Mä eis Aarbecht ass et ze verhënneren, datt hien dat mécht, oder op d'mannst dës Aufgab esou schwéier wéi méiglech ze maachen. Dir musst ufänken mat Schwächten am Active Directory z'identifizéieren (nodréiglech AD bezeechent) déi en Ugräifer benotze kann fir Zougang ze kréien an ronderëm d'Netz ze réckelen ouni ze erkennen. Haut an dësem Artikel wäerte mir Risikoindikatoren kucken, déi existéierend Schwachstelle an der Cyberverteidegung vun Ärer Organisatioun reflektéieren, andeems Dir den AD Varonis Dashboard als Beispill benotzt.
Ugräifer benotzen bestëmmte Konfiguratiounen am Domain
Ugräifer benotzen eng Vielfalt vu schlau Techniken a Schwachstelle fir Firmennetzwierker anzegräifen an Privilegien ze eskaléieren. E puer vun dëse Schwachstelle sinn Domainkonfiguratiounsastellungen déi einfach geännert kënne ginn nodeems se identifizéiert ginn.
D'AD Dashboard wäert Iech direkt alarméieren wann Dir (oder Är Systemadministrateuren) d'KRBTGT Passwuert am leschte Mount net geännert hutt, oder wann iergendeen sech mam Standard agebaute Administrator Kont authentifizéiert huet. Dës zwee Konte bidden onlimitéiert Zougang zu Ärem Netz: Ugräifer probéieren Zougang zu hinnen ze kréien fir all Restriktiounen a Privilegien an Zougangsrechter einfach z'iwwergoen. An, als Resultat, kréien se Zougang zu all Donnéeën, déi se interesséieren.
Natierlech kënnt Dir dës Schwachstelle selwer entdecken: zum Beispill setzen eng Kalenner Erënnerung fir ze kontrolléieren oder e PowerShell Skript auszeféieren fir dës Informatioun ze sammelen.
Varonis Dashboard gëtt aktualiséiert automatesch fir séier Visibilitéit an Analyse vu Schlësselmetriken ze bidden, déi potenziell Schwachstelle ervirhiewen, sou datt Dir direkt Handlung maache kënnt fir se unzegoen.
3 Schlëssel Domain Niveau Risiko Indicateuren
Drënner ass eng Zuel vu Widgets verfügbar um Varonis Dashboard, d'Benotzung vun deenen de Schutz vum Firmennetz an d'IT Infrastruktur als Ganzt wesentlech verbessert.
1. Zuel vun Domainen fir déi de Kerberos Kont Passwuert fir eng bedeitend Zäit net geännert gouf
De KRBTGT Kont ass e spezielle Kont an AD deen alles ënnerschreift . Ugräifer déi Zougang zu engem Domain Controller (DC) kréien, kënnen dëse Kont benotze fir ze kreéieren , wat hinnen onlimitéiert Zougang zu bal all System am Firmennetz gëtt. Mir hunn eng Situatioun begéint, wou, nodeems hien e Golden Ticket erfollegräich krut, en Ugräifer fir zwee Joer Zougang zum Netz vun der Organisatioun hat. Wann d'KRBTGT Kont Passwuert an Ärer Firma net an de leschten véierzeg Deeg geännert gouf, wäert de Widget Iech doriwwer informéieren.
Véierzeg Deeg ass méi wéi genuch Zäit fir en Ugräifer Zougang zum Netz ze kréien. Wéi och ëmmer, wann Dir de Prozess vun der Ännerung vun dësem Passwuert regelméisseg ëmsetzt an standardiséiert, wäert et et vill méi schwéier maachen fir en Ugräifer an Ärem Firmennetz ze briechen.
Denkt drun datt laut Microsoft senger Implementatioun vum Kerberos Protokoll Dir musst KRBTGT.
An Zukunft wäert dësen AD Widget Iech drun erënneren wann et Zäit ass d'KRBTGT Passwuert erëm fir all Domainen op Ärem Netz z'änneren.
2. Zuel vun Domainen wou de gebaut-an Administrator Kont viru kuerzem benotzt gouf
Nëmmen - System Administrateuren sinn mat zwee Konte gëtt: déi éischt ass e Kont fir alldeegleche Gebrauch, an déi zweet ass fir geplangt administrativ Aarbecht. Dëst bedeit datt keen den Default Administrator Kont benotze soll.
Den agebaute Administratorkonto gëtt dacks benotzt fir de Systemverwaltungsprozess ze vereinfachen. Dëst kann eng schlecht Gewunnecht ginn, wat zu Hacking resultéiert. Wann dat an Ärer Organisatioun geschitt, hutt Dir Schwieregkeeten tëscht der korrekter Notzung vun dësem Kont a potenziell béiswëllegen Zougang ze ënnerscheeden.
Wann de Widget eppes anescht wéi Null weist, da schafft een net richteg mat administrativen Konten. An dësem Fall musst Dir Schrëtt huelen fir den Zougang zum agebaute Administratorkonto ze korrigéieren an ze limitéieren.
Wann Dir e Widget-Wäert vun Null erreecht hutt an d'Systemadministratoren dëse Kont net méi fir hir Aarbecht benotzen, dann an Zukunft wäert all Ännerung dorun e potenziellen Cyberattack uginn.
3. Zuel vun Domainen déi net eng Grupp vu geschützte Benotzer hunn
Eeler Versioune vun AD ënnerstëtzt e schwaache Verschlësselungstyp - RC4. Hacker gehackt RC4 viru ville Joeren, an elo ass et eng ganz trivial Aufgab fir en Ugräifer e Kont ze hacken deen nach ëmmer RC4 benotzt. D'Versioun vum Active Directory, déi am Windows Server 2012 agefouert gouf, huet eng nei Aart vu Benotzergrupp genannt Protected Users Group agefouert. Et bitt zousätzlech Sécherheetsinstrumenter a verhënnert d'Benotzer Authentifikatioun mat RC4 Verschlësselung.
Dëse Widget weist ob iergendeng Domain an der Organisatioun esou e Grupp fehlt, fir datt Dir et fixéiere kënnt, d.h. aktivéiert eng Grupp vu geschützte Benotzer a benotzt se fir d'Infrastruktur ze schützen.
Einfach Ziler fir Ugräifer
Benotzerkonten sinn d'Nummer eent Zil fir Ugräifer, vun initialen Andréngenversuche bis weider Eskalatioun vu Privilegien a Verstoppen vun hiren Aktivitéiten. Ugräifer sichen no einfachen Ziler op Ärem Netz mat Basis PowerShell Kommandoen déi dacks schwéier z'entdecken. Ewechzehuelen esou vill vun dësen einfach Ziler aus AD wéi méiglech.
Ugräifer sichen no Benotzer mat Passwuert déi ni oflafen (oder déi keng Passwierder erfuerderen), Technologiekonten déi Administrateuren sinn, a Konten déi legacy RC4 Verschlësselung benotzen.
All vun dëse Konten sinn entweder trivial fir Zougang oder allgemeng net iwwerwaacht. Ugräifer kënnen dës Konten iwwerhuelen a sech fräi an Ärer Infrastruktur bewegen.
Wann Ugräifer de Sécherheetsperimeter penetréieren, kréien se méiglecherweis Zougang zu op d'mannst ee Kont. Kënnt Dir hinnen verhënneren Zougang zu sensiblen Donnéeën ze kréien ier d'Attack entdeckt a enthale gëtt?
D'Varonis AD Dashboard weist op vulnérabel Benotzerkonten, fir datt Dir Probleemer proaktiv léist. Wat méi schwéier et ass fir Äert Netz z'erreechen, wat besser Är Chancen fir en Ugräifer ze neutraliséieren ier se e seriöse Schued verursaachen.
4 Schlëssel Risiko Indicateuren fir Benotzerkonten
Drënner sinn Beispiller vu Varonis AD Dashboard Widgets déi déi vulnérabel Benotzerkonten ervirhiewen.
1. Zuel vun aktive Benotzer mat Passwierder déi ni oflafen
Fir all Ugräifer Zougang zu sou engem Kont ze kréien ass ëmmer e grousse Succès. Zënter datt d'Passwuert ni ofleeft, huet den Ugräifer e permanente Fouss am Netz, deen dann benotzt ka ginn oder Beweegunge bannent der Infrastruktur.
Ugräifer hunn Lëschte vu Millioune Benotzer-Passwuert Kombinatiounen déi se an Umeldungsstuff Attacken benotzen, an d'Wahrscheinlechkeet ass datt
datt d'Kombinatioun fir de Benotzer mam "éiwege" Passwuert an enger vun dësen Lëschten ass, vill méi grouss wéi null.
Konte mat Passwierder déi net oflafen sinn einfach ze verwalten, awer si sinn net sécher. Benotzt dëse Widget fir all Konten ze fannen déi sou Passwierder hunn. Ännert dës Astellung an update Äert Passwuert.
Wann de Wäert vun dësem Widget op Null gesat ass, erschéngen all nei Konte mat deem Passwuert am Dashboard.
2. Zuel vun administrativ Konte mat SPN
SPN (Service Principal Name) ass en eenzegaartegen Identifizéierer vun enger Serviceinstanz. Dëse Widget weist wéivill Servicekonten voll Administratorrechter hunn. De Wäert op de Widget muss null sinn. SPN mat Verwaltungsrechter geschitt well sou Rechter zouginn ass praktesch fir Software Ubidder an Applikatiounsadministratoren, awer et stellt e Sécherheetsrisiko.
D'Administratiounsrechter vum Servicekonto ginn erlaabt en Ugräifer vollen Zougang zu engem Kont ze kréien deen net am Gebrauch ass. Dëst bedeit datt Ugräifer mat Zougang zu SPN Konten fräi an der Infrastruktur operéiere kënnen ouni hir Aktivitéiten ze iwwerwaachen.
Dir kënnt dëst Thema léisen andeems Dir d'Permissiounen op Servicekonten ännert. Esou Konte sollen dem Prinzip vum mannsten Privileg ënnerleien an nëmmen den Zougang hunn, deen eigentlech fir hir Operatioun néideg ass.
Mat dësem Widget kënnt Dir all SPNs entdecken déi administrativ Rechter hunn, sou Privilegien ewechhuelen, an dann SPNs iwwerwaachen mat dem selwechte Prinzip vum mannst privilegiéierten Zougang.
Déi nei erscheinend SPN gëtt um Dashboard ugewisen, an Dir kënnt dëse Prozess iwwerwaachen.
3. Zuel vun de Benotzer déi net Kerberos Pre-Authentifikatioun verlaangen
Idealerweis verschlësselt Kerberos den Authentifikatiounsticket mat AES-256 Verschlësselung, déi bis haut onbriechbar bleift.
Wéi och ëmmer, méi al Versioune vu Kerberos hunn RC4 Verschlësselung benotzt, déi elo a Minutten gebrach ka ginn. Dëse Widget weist wéi eng Benotzerkonten nach ëmmer RC4 benotzen. Microsoft ënnerstëtzt nach ëmmer RC4 fir Réckkompatibilitéit, awer dat heescht net datt Dir et an Ärer AD benotze sollt.
Wann Dir esou Konten identifizéiert hutt, musst Dir d'Checkbox "erfuerdert keng Kerberos Pre-Autorisatioun" an AD fir d'Konten ze zwéngen méi komplex Verschlësselung ze benotzen.
Dës Konten eleng ze entdecken, ouni de Varonis AD Dashboard, brauch vill Zäit. A Wierklechkeet, bewosst vun all Konten déi geännert ginn fir RC4 Verschlësselung ze benotzen ass eng nach méi schwéier Aufgab.
Wann de Wäert op de Widget ännert, kann dëst op illegal Aktivitéit uginn.
4. Zuel vun de Benotzer ouni Passwuert
Ugräifer benotzen Basis PowerShell Kommandoen fir de "PASSWD_NOTREQD" Fändel vun der AD an de Konteigenschaften ze liesen. D'Benotzung vun dësem Fändel weist datt et keng Passwuertfuerderunge oder Komplexitéitsufuerderunge gëtt.
Wéi einfach ass et e Kont mat engem einfachen oder eidele Passwuert ze klauen? Stellt Iech elo vir datt ee vun dëse Konten en Administrateur ass.
Wat wann ee vun den Dausende vu vertraulechen Dateien, déi fir jiddereen op sinn, en zukünftege Finanzbericht ass?
D'Ignoréiere vun der obligatorescher Passwuertfuerderung ass eng aner Systemadministratioun Ofkiirzung déi dacks an der Vergaangenheet benotzt gouf, awer haut weder akzeptabel nach sécher ass.
Fix dëst Thema andeems Dir d'Passwierder fir dës Konten aktualiséieren.
Iwwerwaachung vun dësem Widget an Zukunft hëlleft Iech Konten ouni Passwuert ze vermeiden.
Varonis gläicht d'Chance
An der Vergaangenheet huet d'Aarbecht fir d'Metriken ze sammelen an ze analyséieren, déi an dësem Artikel beschriwwe ginn, vill Stonnen gedauert an déif Wësse vu PowerShell erfuerderen, wat Sécherheetsteams erfuerdert fir all Woch oder Mount Ressourcen un esou Aufgaben ze verdeelen. Awer manuell Sammlung a Veraarbechtung vun dëser Informatioun gëtt Ugräifer e Virsprong fir Daten ze infiltréieren an ze klauen.
С Dir verbréngt een Dag fir den AD Dashboard an zousätzlech Komponenten z'installéieren, all d'Schwächheeten déi diskutéiert ze sammelen a vill méi. An Zukunft, wärend der Operatioun, gëtt d'Iwwerwaachungspanel automatesch aktualiséiert wéi den Zoustand vun der Infrastruktur ännert.
Cyberattacken ausféieren ass ëmmer eng Course tëscht Ugräifer a Verteideger, dem Ugräifer säi Wonsch Daten ze klauen ier Sécherheetsspezialisten den Zougang dozou blockéiere kënnen. Fréi Detektioun vun Ugräifer an hir illegal Aktivitéiten, gekoppelt mat staarker Cyberverteidegung, ass de Schlëssel fir Är Donnéeën sécher ze halen.
Source: will.com