Viskas, ko užpuolikui reikia, yra laikas ir motyvacija įsilaužti į jūsų tinklą. Tačiau mūsų darbas yra neleisti jam to padaryti arba bent kiek įmanoma apsunkinti šią užduotį. Pirmiausia turite nustatyti „Active Directory“ (toliau – AD) trūkumus, kuriuos užpuolikas gali naudoti, kad galėtų pasiekti tinklą ir judėti tinkle neaptiktas. Šiandien šiame straipsnyje apžvelgsime rizikos rodiklius, atspindinčius esamus jūsų organizacijos kibernetinės gynybos pažeidžiamumus, kaip pavyzdį naudodami AD Varonis prietaisų skydelį.
Užpuolikai naudoja tam tikras domeno konfigūracijas
Užpuolikai naudoja įvairius protingus metodus ir pažeidžiamumą, kad įsiskverbtų į įmonių tinklus ir padidintų privilegijas. Kai kurie iš šių pažeidžiamumų yra domeno konfigūracijos nustatymai, kuriuos galima lengvai pakeisti juos identifikavus.
AD prietaisų skydelis iš karto jus įspės, jei jūs (arba jūsų sistemos administratoriai) nepakeitėte KRBTGT slaptažodžio per pastarąjį mėnesį arba jei kas nors autentifikavosi naudodamas numatytąją integruotą administratoriaus paskyrą. Šios dvi paskyros suteikia neribotą prieigą prie jūsų tinklo: užpuolikai bandys prie jų patekti, kad lengvai apeitų bet kokius privilegijų ir prieigos leidimų apribojimus. Ir dėl to jie gauna prieigą prie bet kokių juos dominančių duomenų.
Žinoma, šias spragas galite atrasti patys: pavyzdžiui, nustatykite kalendoriaus priminimą, kad patikrintumėte, arba paleiskite PowerShell scenarijų šiai informacijai rinkti.
Varonis prietaisų skydelis atnaujinamas automatiškai kad būtų galima greitai matyti ir analizuoti pagrindines metrikas, kurios išryškina galimus pažeidžiamumus, kad galėtumėte nedelsiant imtis veiksmų jas pašalinti.
3 pagrindiniai domeno lygio rizikos rodikliai
Žemiau yra keletas „Varonis“ prietaisų skydelyje esančių valdiklių, kurių naudojimas žymiai padidins įmonės tinklo ir visos IT infrastruktūros apsaugą.
1. Domenų, kurių „Kerberos“ paskyros slaptažodis nebuvo pakeistas ilgą laiką, skaičius
KRBTGT paskyra yra speciali AD paskyra, kuri pasirašo viską . Užpuolikai, kurie gauna prieigą prie domeno valdiklio (DC), gali naudoti šią paskyrą kurdami , kuri suteiks jiems neribotą prieigą prie beveik bet kurios įmonės tinklo sistemos. Susidūrėme su situacija, kai sėkmingai gavęs „Auksinį bilietą“ užpuolikas turėjo prieigą prie organizacijos tinklo dvejus metus. Jei KRBTGT paskyros slaptažodis jūsų įmonėje per pastarąsias keturiasdešimt dienų nebuvo pakeistas, valdiklis apie tai jus informuos.
Keturiasdešimt dienų yra daugiau nei pakankamai laiko užpuolikui gauti prieigą prie tinklo. Tačiau jei priverstumėte ir standartizuosite šio slaptažodžio keitimo procesą reguliariai, užpuolikui bus daug sunkiau įsilaužti į jūsų įmonės tinklą.
Atminkite, kad pagal „Microsoft“ įdiegtą Kerberos protokolą turite KRBTGT.
Ateityje šis AD valdiklis jums primins, kai ateis laikas vėl pakeisti visų tinklo domenų KRBTGT slaptažodį.
2. Domenų, kuriuose neseniai buvo naudojama integruota administratoriaus paskyra, skaičius
Pagal — sistemos administratoriams suteikiamos dvi paskyros: pirmoji skirta kasdieniam naudojimui, o antroji skirta planiniam administraciniam darbui. Tai reiškia, kad niekas neturėtų naudoti numatytosios administratoriaus paskyros.
Integruota administratoriaus paskyra dažnai naudojama sistemos administravimo procesui supaprastinti. Tai gali tapti blogu įpročiu, dėl kurio galima įsilaužti. Jei taip atsitiks jūsų organizacijoje, jums bus sunku atskirti tinkamą šios paskyros naudojimą ir galimą kenkėjišką prieigą.
Jei valdiklis rodo ką nors kitą nei nulis, vadinasi, kažkas netinkamai dirba su administracinėmis paskyromis. Tokiu atveju turite imtis veiksmų, kad ištaisytumėte ir apribotumėte prieigą prie integruotos administratoriaus paskyros.
Kai valdiklio vertė bus lygi nuliui, o sistemos administratoriai nebenaudos šios paskyros savo darbui, ateityje bet koks jos pakeitimas parodys galimą kibernetinę ataką.
3. Domenų, kuriuose nėra saugomų vartotojų grupės, skaičius
Senesnės AD versijos palaikė silpną šifravimo tipą – RC4. Įsilaužėliai įsilaužė į RC4 prieš daugelį metų, o dabar labai nereikšminga užpuoliko užduotis nulaužti paskyrą, kuri vis dar naudoja RC4. „Windows Server 2012“ įdiegta „Active Directory“ versija pristatė naujo tipo vartotojų grupę, vadinamą „Apsaugotų vartotojų grupe“. Tai suteikia papildomų saugos įrankių ir neleidžia vartotojui autentifikuoti naudojant RC4 šifravimą.
Šis valdiklis parodys, ar kuriam nors organizacijos domenui trūksta tokios grupės, kad galėtumėte ją pataisyti, t.y. įjungti saugomų vartotojų grupę ir naudoti ją infrastruktūrai apsaugoti.
Lengvi taikiniai užpuolikams
Vartotojų paskyros yra pagrindinis užpuolikų taikinys – nuo pradinių bandymų įsilaužti iki nuolatinio privilegijų eskalavimo ir jų veiklos slėpimo. Užpuolikai ieško paprastų taikinių jūsų tinkle naudodami pagrindines „PowerShell“ komandas, kurias dažnai sunku aptikti. Pašalinkite kuo daugiau šių lengvų taikinių iš AD.
Užpuolikai ieško vartotojų su nesibaigiančiais slaptažodžiais (arba kuriems slaptažodžių nereikia), technologijų paskyrų, kurios yra administratoriai, ir paskyrų, kuriose naudojamas senas RC4 šifravimas.
Bet kuri iš šių paskyrų yra nereikšminga arba paprastai nėra stebima. Užpuolikai gali perimti šias paskyras ir laisvai judėti jūsų infrastruktūroje.
Kai užpuolikai prasiskverbs į saugumo perimetrą, jie greičiausiai gaus prieigą prie bent vienos paskyros. Ar galite neleisti jiems pasiekti neskelbtinų duomenų, kol ataka nėra aptikta ir sulaikoma?
Varonis AD prietaisų skydelis nurodys pažeidžiamas vartotojų paskyras, kad galėtumėte aktyviai šalinti triktis. Kuo sunkiau įsiskverbti į tinklą, tuo didesnė tikimybė neutralizuoti užpuoliką, kol jis nepadarys rimtos žalos.
4 pagrindiniai rizikos rodikliai naudotojų paskyroms
Žemiau pateikiami Varonis AD prietaisų skydelio valdiklių, paryškinančių labiausiai pažeidžiamas vartotojų paskyras, pavyzdžiai.
1. Aktyvių vartotojų su slaptažodžiais, kurių galiojimo laikas nesibaigia, skaičius
Bet kuriam užpuolikui gauti prieigą prie tokios paskyros visada pasiseka. Kadangi slaptažodis niekada nesibaigia, užpuolikas turi nuolatinę atramą tinkle, kurį vėliau galima naudoti arba judėjimas infrastruktūroje.
Užpuolikai turi milijonų vartotojų ir slaptažodžių derinių sąrašus, kuriuos jie naudoja kredencialų užpildymo atakose, ir tikėtina, kad
kad vartotojo derinys su „amžinuoju“ slaptažodžiu yra viename iš šių sąrašų, daug didesnis nei nulis.
Paskyras su nesibaigiančiais slaptažodžiais lengva valdyti, tačiau jos nėra saugios. Naudokite šį valdiklį, kad surastumėte visas paskyras, turinčias tokius slaptažodžius. Pakeiskite šį nustatymą ir atnaujinkite slaptažodį.
Nustačius šio valdiklio vertę į nulį, visos naujos paskyros, sukurtos naudojant tą slaptažodį, bus rodomos prietaisų skydelyje.
2. Administracinių sąskaitų su SPN skaičius
SPN (Pagrindinis paslaugos pavadinimas) yra unikalus paslaugos egzemplioriaus identifikatorius. Šis valdiklis rodo, kiek paslaugų paskyrų turi visas administratoriaus teises. Valdiklio vertė turi būti lygi nuliui. SPN su administravimo teisėmis atsiranda todėl, kad tokių teisių suteikimas patogus programinės įrangos pardavėjams ir programų administratoriams, tačiau kelia pavojų saugumui.
Suteikus paslaugos paskyrai administravimo teises, užpuolikas gali gauti visišką prieigą prie nenaudojamos paskyros. Tai reiškia, kad užpuolikai, turintys prieigą prie SPN paskyrų, gali laisvai veikti infrastruktūroje, be jų veiklos stebėjimo.
Šią problemą galite išspręsti pakeisdami paslaugų paskyrų leidimus. Tokioms sąskaitoms turėtų būti taikomas mažiausiųjų privilegijų principas ir turėtų būti suteikta tik tokia prieiga, kuri iš tikrųjų reikalinga jų veikimui.
Naudodami šį valdiklį galite aptikti visus SPN, turinčius administravimo teises, pašalinti tokias teises ir stebėti SPN naudodami tą patį mažiausiai privilegijuotos prieigos principą.
Naujai pasirodęs SPN bus rodomas prietaisų skydelyje ir galėsite stebėti šį procesą.
3. Vartotojų, kuriems nereikia išankstinio Kerberos autentifikavimo, skaičius
Idealiu atveju Kerberos užšifruoja autentifikavimo bilietą naudodama AES-256 šifravimą, kuris išlieka nepalaužiamas iki šiol.
Tačiau senesnėse Kerberos versijose buvo naudojamas RC4 šifravimas, kurį dabar galima sulaužyti per kelias minutes. Šis valdiklis rodo, kurios vartotojų paskyros vis dar naudoja RC4. „Microsoft“ vis dar palaiko RC4, kad būtų galima suderinti atgal, tačiau tai nereiškia, kad turėtumėte jį naudoti savo reklamoje.
Kai nustatysite tokias paskyras, turite panaikinti žymimąjį laukelį „nereikalauja išankstinio Kerberos prieigos teisės“ AD, kad priverstumėte paskyras naudoti sudėtingesnį šifravimą.
Šių paskyrų atradimas savarankiškai, be Varonis AD prietaisų skydelio, užima daug laiko. Tiesą sakant, žinoti visas paskyras, kurios yra redaguotos naudoti RC4 šifravimą, yra dar sunkesnė užduotis.
Jei valdiklio reikšmė pasikeičia, tai gali reikšti neteisėtą veiklą.
4. Vartotojų be slaptažodžio skaičius
Užpuolikai naudoja pagrindines „PowerShell“ komandas, kad paskyros nuosavybėse iš AD nuskaitytų žymą „PASSWD_NOTREQD“. Šios vėliavėlės naudojimas rodo, kad nėra slaptažodžio ar sudėtingumo reikalavimų.
Kaip lengva pavogti paskyrą naudojant paprastą arba tuščią slaptažodį? Dabar įsivaizduokite, kad viena iš šių paskyrų yra administratorius.
Ką daryti, jei viena iš tūkstančių visiems prieinamų konfidencialių failų yra būsima finansinė ataskaita?
Privalomo slaptažodžio reikalavimo nepaisymas yra dar vienas sistemos administravimo spartusis klavišas, kuris buvo dažnai naudojamas anksčiau, tačiau šiandien nėra nei priimtinas, nei saugus.
Išspręskite šią problemą atnaujindami šių paskyrų slaptažodžius.
Stebėdami šį valdiklį ateityje galėsite išvengti paskyrų be slaptažodžio.
Varonis išlygina šansus
Anksčiau šiame straipsnyje aprašytos metrikos rinkimo ir analizės darbas užtrukdavo daug valandų ir reikalavo gilių PowerShell žinių, todėl saugos komandos kas savaitę ar mėnesį paskirstytų išteklius tokioms užduotims atlikti. Tačiau rankinis šios informacijos rinkimas ir apdorojimas suteikia užpuolikams galimybę įsiskverbti ir pavogti duomenis.
С Sugaišite vieną dieną, kad įdiegtumėte AD prietaisų skydelį ir papildomus komponentus, surinktumėte visus aptartus pažeidžiamumus ir dar daugiau. Ateityje eksploatacijos metu stebėjimo pultas bus automatiškai atnaujinamas, pasikeitus infrastruktūros būklei.
Kibernetinių atakų vykdymas visada yra užpuolikų ir gynėjų lenktynės, užpuoliko noras pavogti duomenis, kol saugumo specialistai negali užblokuoti prieigos prie jų. Ankstyvas užpuolikų ir jų neteisėtos veiklos aptikimas kartu su stipria kibernetinė apsauga yra raktas į jūsų duomenų saugumą.
Šaltinis: www.habr.com