UzbrucÄjam ir nepiecieÅ”ams tikai laiks un motivÄcija, lai ielauztos jÅ«su tÄ«klÄ. Bet mÅ«su uzdevums ir neļaut viÅam to darÄ«t vai vismaz padarÄ«t Å”o uzdevumu pÄc iespÄjas grÅ«tÄku. Vispirms ir jÄidentificÄ Active Directory (turpmÄk tekstÄ ā AD) trÅ«kumi, kurus uzbrucÄjs var izmantot, lai piekļūtu tÄ«klam un pÄrvietotos pa to, netiekot atklÄts. Å odien Å”ajÄ rakstÄ mÄs apskatÄ«sim riska rÄdÄ«tÄjus, kas atspoguļo esoÅ”Äs jÅ«su organizÄcijas kiberaizsardzÄ«bas ievainojamÄ«bas, kÄ piemÄru izmantojot AD Varonis informÄcijas paneli.
UzbrucÄji domÄnÄ izmanto noteiktas konfigurÄcijas
UzbrucÄji izmanto dažÄdas gudras metodes un ievainojamÄ«bas, lai iekļūtu korporatÄ«vajos tÄ«klos un palielinÄtu privilÄÄ£ijas. Dažas no Ŕīm ievainojamÄ«bÄm ir domÄna konfigurÄcijas iestatÄ«jumi, kurus pÄc identificÄÅ”anas var viegli mainÄ«t.
AD informÄcijas panelis nekavÄjoties brÄ«dinÄs, ja jÅ«s (vai jÅ«su sistÄmas administratori) neesat mainÄ«jis KRBTGT paroli pÄdÄjÄ mÄneÅ”a laikÄ vai ja kÄds ir autentificÄjies ar noklusÄjuma iebÅ«vÄto administratora kontu. Å ie divi konti nodroÅ”ina neierobežotu piekļuvi jÅ«su tÄ«klam: uzbrucÄji mÄÄ£inÄs tiem piekļūt, lai viegli apietu visus privilÄÄ£iju un piekļuves atļauju ierobežojumus. RezultÄtÄ viÅi iegÅ«st piekļuvi jebkuriem datiem, kas viÅus interesÄ.
Protams, jÅ«s varat atklÄt Ŕīs ievainojamÄ«bas pats: piemÄram, iestatiet kalendÄra atgÄdinÄjumu, lai pÄrbaudÄ«tu, vai palaidiet PowerShell skriptu Ŕīs informÄcijas apkopoÅ”anai.
Varonis informÄcijas panelis tiek atjauninÄts automÄtiski lai nodroÅ”inÄtu Ätru galveno rÄdÄ«tÄju redzamÄ«bu un analÄ«zi, kas izceļ iespÄjamÄs ievainojamÄ«bas, lai jÅ«s varÄtu nekavÄjoties rÄ«koties, lai tÄs novÄrstu.
3 Galvenie domÄna lÄ«meÅa riska rÄdÄ«tÄji
ZemÄk redzami vairÄki Varonis informÄcijas panelÄ« pieejami logrÄ«ki, kuru izmantoÅ”ana bÅ«tiski uzlabos korporatÄ«vÄ tÄ«kla un IT infrastruktÅ«ras aizsardzÄ«bu kopumÄ.
1. DomÄnu skaits, kuriem Kerberos konta parole nav mainÄ«ta ilgu laiku
KRBTGT konts ir īpaŔs konts AD, kas paraksta visu
Äetrdesmit dienas ir vairÄk nekÄ pietiekams laiks, lai uzbrucÄjs varÄtu piekļūt tÄ«klam. TomÄr, ja regulÄri piespiedÄ«sit un standartizÄsit Ŕīs paroles maiÅas procesu, uzbrucÄjam bÅ«s daudz grÅ«tÄk iekļūt jÅ«su uzÅÄmuma tÄ«klÄ.
Atcerieties, ka saskaÅÄ ar Microsoft ieviesto Kerberos protokolu jums tas ir jÄdara
NÄkotnÄ Å”is AD logrÄ«ks atgÄdinÄs, kad bÅ«s pienÄcis laiks vÄlreiz mainÄ«t KRBTGT paroli visiem jÅ«su tÄ«kla domÄniem.
2. DomÄnu skaits, kuros nesen tika izmantots iebÅ«vÄtais administratora konts
SaskaÅÄ ar
IebÅ«vÄtais administratora konts bieži tiek izmantots, lai vienkÄrÅ”otu sistÄmas administrÄÅ”anas procesu. Tas var kļūt par sliktu ieradumu, kÄ rezultÄtÄ notiek uzlauÅ”ana. Ja tas notiek jÅ«su organizÄcijÄ, jums bÅ«s grÅ«ti atŔķirt pareizu Ŕī konta izmantoÅ”anu un potenciÄli ļaunprÄtÄ«gu piekļuvi.
Ja logrÄ«ks parÄda neko citu, nevis nulli, kÄds nedarbojas pareizi ar administratÄ«vajiem kontiem. Å ÄdÄ gadÄ«jumÄ jums ir jÄveic darbÄ«bas, lai labotu un ierobežotu piekļuvi iebÅ«vÄtajam administratora kontam.
Kad logrÄ«ka vÄrtÄ«ba bÅ«s nulle un sistÄmas administratori vairs neizmantos Å”o kontu savam darbam, turpmÄk jebkuras izmaiÅas tajÄ norÄda uz iespÄjamu kiberuzbrukumu.
3. DomÄnu skaits, kuriem nav aizsargÄto lietotÄju grupas
VecÄkÄs AD versijas atbalstÄ«ja vÄju Å”ifrÄÅ”anas veidu - RC4. Hakeri uzlauza RC4 pirms daudziem gadiem, un tagad uzbrucÄjam ir ļoti mazsvarÄ«gs uzdevums uzlauzt kontu, kurÄ joprojÄm tiek izmantots RC4. SistÄmÄ Windows Server 2012 ieviestÄ Active Directory versija ieviesa jauna veida lietotÄju grupu, ko sauc par aizsargÄto lietotÄju grupu. Tas nodroÅ”ina papildu droŔības rÄ«kus un novÄrÅ” lietotÄja autentifikÄciju, izmantojot RC4 Å”ifrÄÅ”anu.
Å is logrÄ«ks parÄdÄ«s, vai kÄdam organizÄcijas domÄnam trÅ«kst Å”Ädas grupas, lai jÅ«s varÄtu to labot, t.i. iespÄjot aizsargÄtu lietotÄju grupu un izmantot to infrastruktÅ«ras aizsardzÄ«bai.
Viegli mÄrÄ·i uzbrucÄjiem
LietotÄju konti ir uzbrucÄju galvenais mÄrÄ·is, sÄkot no sÄkotnÄjiem ielauÅ”anÄs mÄÄ£inÄjumiem un beidzot ar nepÄrtrauktu privilÄÄ£iju eskalÄciju un viÅu darbÄ«bu slÄpÅ”anu. UzbrucÄji meklÄ vienkÄrÅ”us mÄrÄ·us jÅ«su tÄ«klÄ, izmantojot pamata PowerShell komandas, kuras bieži ir grÅ«ti noteikt. NoÅemiet pÄc iespÄjas vairÄk no Å”iem vienkÄrÅ”ajiem mÄrÄ·iem no AD.
UzbrucÄji meklÄ lietotÄjus ar parolÄm, kuru derÄ«guma termiÅÅ” nebeidzas (vai kurÄm paroles nav nepiecieÅ”amas), tehnoloÄ£iju kontus, kas ir administratori, un kontus, kas izmanto mantoto RC4 Å”ifrÄÅ”anu.
JebkurÅ” no Å”iem kontiem ir vai nu niecÄ«gs, lai piekļūtu, vai arÄ« parasti netiek uzraudzÄ«ts. UzbrucÄji var pÄrÅemt Å”os kontus un brÄ«vi pÄrvietoties jÅ«su infrastruktÅ«rÄ.
Kad uzbrucÄji iekļūst droŔības perimetrÄ, viÅi, visticamÄk, iegÅ«s piekļuvi vismaz vienam kontam. Vai varat neļaut viÅiem piekļūt sensitÄ«viem datiem, pirms uzbrukums tiek atklÄts un ierobežots?
Varonis AD informÄcijas panelis norÄdÄ«s uz neaizsargÄtiem lietotÄju kontiem, lai jÅ«s varÄtu aktÄ«vi novÄrst problÄmas. Jo grÅ«tÄk ir iekļūt tÄ«klÄ, jo lielÄkas ir jÅ«su iespÄjas neitralizÄt uzbrucÄju, pirms tas nodara nopietnus bojÄjumus.
4 Galvenie riska rÄdÄ«tÄji lietotÄju kontiem
TÄlÄk ir sniegti Varonis AD informÄcijas paneļa logrÄ«ku piemÄri, kas izceļ visneaizsargÄtÄkos lietotÄju kontus.
1. To aktÄ«vo lietotÄju skaits, kuru paroles nekad nebeidzas
Piekļuve Å”Ädam kontam vienmÄr ir liels panÄkums jebkuram uzbrucÄjam. TÄ kÄ paroles derÄ«guma termiÅÅ” nekad nebeidzas, uzbrucÄjam ir pastÄvÄ«ga vieta tÄ«klÄ, ko pÄc tam var izmantot
UzbrucÄjiem ir saraksti ar miljoniem lietotÄju un paroļu kombinÄciju, ko viÅi izmanto akreditÄcijas datu papildinÄÅ”anas uzbrukumos, un pastÄv iespÄja, ka
ka lietotÄja kombinÄcija ar āmūžīgoā paroli atrodas vienÄ no Å”iem sarakstiem, daudz lielÄka par nulli.
Kontus ar parolÄm, kurÄm nebeidzas derÄ«guma termiÅÅ”, ir viegli pÄrvaldÄ«t, taÄu tie nav droÅ”i. Izmantojiet Å”o logrÄ«ku, lai atrastu visus kontus, kuriem ir Å”Ädas paroles. Mainiet Å”o iestatÄ«jumu un atjauniniet savu paroli.
Kad Ŕī logrÄ«ka vÄrtÄ«ba ir iestatÄ«ta uz nulli, visi jaunie konti, kas izveidoti ar Å”o paroli, tiks parÄdÄ«ti informÄcijas panelÄ«.
2. Administratīvo kontu skaits ar SPN
SPN (pakalpojuma galvenais nosaukums) ir unikÄls pakalpojuma gadÄ«juma identifikators. Å is logrÄ«ks parÄda, cik pakalpojumu kontiem ir pilnas administratora tiesÄ«bas. LogrÄ«ka vÄrtÄ«bai ir jÄbÅ«t nullei. SPN ar administratora tiesÄ«bÄm rodas tÄpÄc, ka Å”Ädu tiesÄ«bu pieŔķirÅ”ana ir Ärta programmatÅ«ras pÄrdevÄjiem un lietojumprogrammu administratoriem, taÄu rada droŔības risku.
Pakalpojuma konta administratÄ«vo tiesÄ«bu pieŔķirÅ”ana ļauj uzbrucÄjam iegÅ«t pilnu piekļuvi kontam, kas netiek izmantots. Tas nozÄ«mÄ, ka uzbrucÄji, kuriem ir piekļuve SPN kontiem, var brÄ«vi darboties infrastruktÅ«rÄ, neuzraugot viÅu darbÄ«bas.
Å o problÄmu var atrisinÄt, mainot pakalpojumu kontu atļaujas. Uz Å”Ädiem kontiem bÅ«tu jÄattiecina mazÄko privilÄÄ£iju princips, un tiem ir jÄbÅ«t tikai tÄdai piekļuvei, kas faktiski ir nepiecieÅ”ama to darbÄ«bai.
Izmantojot Å”o logrÄ«ku, varat noteikt visus SPN, kuriem ir administratÄ«vÄs tiesÄ«bas, noÅemt Å”Ädas privilÄÄ£ijas un pÄc tam pÄrraudzÄ«t SPN, izmantojot to paÅ”u vismazÄk priviliÄ£ÄtÄs piekļuves principu.
Jaunais SPN tiks parÄdÄ«ts informÄcijas panelÄ«, un jÅ«s varÄsiet pÄrraudzÄ«t Å”o procesu.
3. LietotÄju skaits, kuriem nav nepiecieÅ”ama Kerberos iepriekÅ”Äja autentifikÄcija
IdeÄlÄ gadÄ«jumÄ Kerberos Å”ifrÄ autentifikÄcijas biļeti, izmantojot AES-256 Å”ifrÄÅ”anu, kas joprojÄm ir nesalaužama lÄ«dz Å”ai dienai.
TomÄr vecÄkajÄs Kerberos versijÄs tika izmantota RC4 Å”ifrÄÅ”ana, ko tagad var uzlauzt dažu minÅ«Å”u laikÄ. Å is logrÄ«ks parÄda, kuri lietotÄju konti joprojÄm izmanto RC4. Microsoft joprojÄm atbalsta RC4, lai nodroÅ”inÄtu atpakaļsaderÄ«bu, taÄu tas nenozÄ«mÄ, ka jums tas ir jÄizmanto savÄ reklÄmÄ.
Kad esat identificÄjis Å”Ädus kontus, noÅemiet atzÄ«mi no izvÄles rÅ«tiÅas ānav nepiecieÅ”ama Kerberos iepriekÅ”Äja autorizÄcijaā AD, lai piespiestu kontiem izmantot sarežģītÄku Å”ifrÄÅ”anu.
Å o kontu atklÄÅ”ana bez Varonis AD informÄcijas paneļa aizÅem daudz laika. PatiesÄ«bÄ apzinÄties visus kontus, kas ir rediÄ£Äti, lai izmantotu RC4 Å”ifrÄÅ”anu, ir vÄl grÅ«tÄks uzdevums.
Ja logrÄ«ka vÄrtÄ«ba mainÄs, tas var norÄdÄ«t uz nelikumÄ«gu darbÄ«bu.
4. LietotÄju skaits bez paroles
UzbrucÄji izmanto pamata PowerShell komandas, lai konta rekvizÄ«tos nolasÄ«tu karodziÅu āPASSWD_NOTREQDā no AD. Å Ä« karoga lietoÅ”ana norÄda, ka nav paroles vai sarežģītÄ«bas prasÄ«bu.
Cik viegli ir nozagt kontu, izmantojot vienkÄrÅ”u vai tukÅ”u paroli? Tagad iedomÄjieties, ka viens no Å”iem kontiem ir administrators.
Ko darÄ«t, ja viens no tÅ«kstoÅ”iem konfidenciÄlu failu, kas ir pieejams ikvienam, ir gaidÄmais finanÅ”u pÄrskats?
ObligÄtÄs paroles prasÄ«bas ignorÄÅ”ana ir vÄl viena sistÄmas administrÄÅ”anas saÄ«sne, kas bieži tika izmantota agrÄk, taÄu mÅ«sdienÄs tÄ nav ne pieÅemama, ne droÅ”a.
NovÄrsiet Å”o problÄmu, atjauninot Å”o kontu paroles.
Å Ä« logrÄ«ka pÄrraudzÄ«ba nÄkotnÄ palÄ«dzÄs izvairÄ«ties no kontiem bez paroles.
Varonis izlīdzina izredzes
AgrÄk Å”ajÄ rakstÄ aprakstÄ«to rÄdÄ«tÄju apkopoÅ”anas un analÄ«zes darbs aizÅÄma daudzas stundas un prasÄ«ja dziļas zinÄÅ”anas par PowerShell, tÄpÄc droŔības komandÄm katru nedÄļu vai mÄnesi bija jÄpieŔķir resursi Å”Ädiem uzdevumiem. TaÄu Ŕīs informÄcijas manuÄla vÄkÅ”ana un apstrÄde dod uzbrucÄjiem iespÄju iefiltrÄties un nozagt datus.
Š”
Kiberuzbrukumu veikÅ”ana vienmÄr ir sacensÄ«ba starp uzbrucÄjiem un aizstÄvjiem, uzbrucÄja vÄlme nozagt datus, pirms droŔības speciÄlisti var bloÄ·Ät piekļuvi tiem. AgrÄ«na uzbrucÄju un viÅu nelikumÄ«go darbÄ«bu atklÄÅ”ana kopÄ ar spÄcÄ«gu kiberaizsardzÄ«bu ir jÅ«su datu droŔības saglabÄÅ”anas atslÄga.
Avots: www.habr.com