Uzbrucējam ir nepieciešams tikai laiks un motivācija, lai ielauztos jūsu tīklā. Bet mūsu uzdevums ir neļaut viņam to darīt vai vismaz padarīt šo uzdevumu pēc iespējas grūtāku. Vispirms ir jāidentificē Active Directory (turpmāk tekstā — AD) trūkumi, kurus uzbrucējs var izmantot, lai piekļūtu tīklam un pārvietotos pa to, netiekot atklāts. Šodien šajā rakstā mēs apskatīsim riska rādītājus, kas atspoguļo esošās jūsu organizācijas kiberaizsardzības ievainojamības, kā piemēru izmantojot AD Varonis informācijas paneli.
Uzbrucēji domēnā izmanto noteiktas konfigurācijas
Uzbrucēji izmanto dažādas gudras metodes un ievainojamības, lai iekļūtu korporatīvajos tīklos un palielinātu privilēģijas. Dažas no šīm ievainojamībām ir domēna konfigurācijas iestatījumi, kurus pēc identificēšanas var viegli mainīt.
AD informācijas panelis nekavējoties brīdinās, ja jūs (vai jūsu sistēmas administratori) neesat mainījis KRBTGT paroli pēdējā mēneša laikā vai ja kāds ir autentificējies ar noklusējuma iebūvēto administratora kontu. Šie divi konti nodrošina neierobežotu piekļuvi jūsu tīklam: uzbrucēji mēģinās tiem piekļūt, lai viegli apietu visus privilēģiju un piekļuves atļauju ierobežojumus. Rezultātā viņi iegūst piekļuvi jebkuriem datiem, kas viņus interesē.
Protams, jūs varat atklāt šīs ievainojamības pats: piemēram, iestatiet kalendāra atgādinājumu, lai pārbaudītu, vai palaidiet PowerShell skriptu šīs informācijas apkopošanai.
Varonis informācijas panelis tiek atjaunināts automātiski lai nodrošinātu ātru galveno rādītāju redzamību un analīzi, kas izceļ iespējamās ievainojamības, lai jūs varētu nekavējoties rīkoties, lai tās novērstu.
3 Galvenie domēna līmeņa riska rādītāji
Zemāk redzami vairāki Varonis informācijas panelī pieejami logrīki, kuru izmantošana būtiski uzlabos korporatīvā tīkla un IT infrastruktūras aizsardzību kopumā.
1. Domēnu skaits, kuriem Kerberos konta parole nav mainīta ilgu laiku
KRBTGT konts ir īpašs konts AD, kas paraksta visu . Uzbrucēji, kuri iegūst piekļuvi domēna kontrollerim (DC), var izmantot šo kontu, lai izveidotu , kas dos viņiem neierobežotu piekļuvi gandrīz jebkurai sistēmai korporatīvajā tīklā. Mēs saskārāmies ar situāciju, ka pēc veiksmīgas Zelta biļetes iegūšanas uzbrucējam divus gadus bija piekļuve organizācijas tīklam. Ja KRBTGT konta parole jūsu uzņēmumā nav mainīta pēdējo četrdesmit dienu laikā, logrīks jūs par to informēs.
Četrdesmit dienas ir vairāk nekā pietiekams laiks, lai uzbrucējs varētu piekļūt tīklam. Tomēr, ja regulāri piespiedīsit un standartizēsit šīs paroles maiņas procesu, uzbrucējam būs daudz grūtāk iekļūt jūsu uzņēmuma tīklā.
Atcerieties, ka saskaņā ar Microsoft ieviesto Kerberos protokolu jums tas ir jādara KRBTGT.
Nākotnē šis AD logrīks atgādinās, kad būs pienācis laiks vēlreiz mainīt KRBTGT paroli visiem jūsu tīkla domēniem.
2. Domēnu skaits, kuros nesen tika izmantots iebūvētais administratora konts
Saskaņā ar — sistēmas administratoriem tiek nodrošināti divi konti: pirmais konts ir ikdienas lietošanai, bet otrs paredzēts plānotajam administratīvajam darbam. Tas nozīmē, ka neviens nedrīkst izmantot noklusējuma administratora kontu.
Iebūvētais administratora konts bieži tiek izmantots, lai vienkāršotu sistēmas administrēšanas procesu. Tas var kļūt par sliktu ieradumu, kā rezultātā notiek uzlaušana. Ja tas notiek jūsu organizācijā, jums būs grūti atšķirt pareizu šī konta izmantošanu un potenciāli ļaunprātīgu piekļuvi.
Ja logrīks parāda neko citu, nevis nulli, kāds nedarbojas pareizi ar administratīvajiem kontiem. Šādā gadījumā jums ir jāveic darbības, lai labotu un ierobežotu piekļuvi iebūvētajam administratora kontam.
Kad logrīka vērtība būs nulle un sistēmas administratori vairs neizmantos šo kontu savam darbam, turpmāk jebkuras izmaiņas tajā norāda uz iespējamu kiberuzbrukumu.
3. Domēnu skaits, kuriem nav aizsargāto lietotāju grupas
Vecākas AD versijas atbalstīja vāju šifrēšanas veidu, ko sauca par RC4. Hakeri uzlauza RC4 pirms daudziem gadiem, un tagad uzbrucējam ir diezgan vienkārši uzlauzt kontu, kas joprojām izmanto RC4. Active Directory versijā, kas tika ieviesta 2006. gadā Windows Server 2012. gadā tika ieviests jauna veida lietotāju grupa ar nosaukumu “Aizsargātie lietotāji”. Tā nodrošina papildu drošības rīkus un novērš lietotāju autentifikāciju, izmantojot RC4 šifrēšanu.
Šis logrīks parādīs, vai kādam organizācijas domēnam trūkst šādas grupas, lai jūs varētu to labot, t.i. iespējot aizsargātu lietotāju grupu un izmantot to infrastruktūras aizsardzībai.
Viegli mērķi uzbrucējiem
Lietotāju konti ir uzbrucēju galvenais mērķis, sākot no sākotnējiem ielaušanās mēģinājumiem un beidzot ar nepārtrauktu privilēģiju eskalāciju un viņu darbību slēpšanu. Uzbrucēji meklē vienkāršus mērķus jūsu tīklā, izmantojot pamata PowerShell komandas, kuras bieži ir grūti noteikt. Noņemiet pēc iespējas vairāk no šiem vienkāršajiem mērķiem no AD.
Uzbrucēji meklē lietotājus ar parolēm, kuru derīguma termiņš nebeidzas (vai kurām paroles nav nepieciešamas), tehnoloģiju kontus, kas ir administratori, un kontus, kas izmanto mantoto RC4 šifrēšanu.
Jebkurš no šiem kontiem ir vai nu niecīgs, lai piekļūtu, vai arī parasti netiek uzraudzīts. Uzbrucēji var pārņemt šos kontus un brīvi pārvietoties jūsu infrastruktūrā.
Kad uzbrucēji iekļūst drošības perimetrā, viņi, visticamāk, iegūs piekļuvi vismaz vienam kontam. Vai varat neļaut viņiem piekļūt sensitīviem datiem, pirms uzbrukums tiek atklāts un ierobežots?
Varonis AD informācijas panelis norādīs uz neaizsargātiem lietotāju kontiem, lai jūs varētu aktīvi novērst problēmas. Jo grūtāk ir iekļūt tīklā, jo lielākas ir jūsu iespējas neitralizēt uzbrucēju, pirms tas nodara nopietnus bojājumus.
4 Galvenie riska rādītāji lietotāju kontiem
Tālāk ir sniegti Varonis AD informācijas paneļa logrīku piemēri, kas izceļ visneaizsargātākos lietotāju kontus.
1. To aktīvo lietotāju skaits, kuru paroles nekad nebeidzas
Piekļuve šādam kontam vienmēr ir liels panākums jebkuram uzbrucējam. Tā kā paroles derīguma termiņš nekad nebeidzas, uzbrucējam ir pastāvīga vieta tīklā, ko pēc tam var izmantot vai kustību infrastruktūrā.
Uzbrucējiem ir saraksti ar miljoniem lietotāju un paroļu kombināciju, ko viņi izmanto akreditācijas datu papildināšanas uzbrukumos, un pastāv iespēja, ka
ka lietotāja kombinācija ar “mūžīgo” paroli atrodas vienā no šiem sarakstiem, daudz lielāka par nulli.
Kontus ar parolēm, kurām nebeidzas derīguma termiņš, ir viegli pārvaldīt, taču tie nav droši. Izmantojiet šo logrīku, lai atrastu visus kontus, kuriem ir šādas paroles. Mainiet šo iestatījumu un atjauniniet savu paroli.
Kad šī logrīka vērtība ir iestatīta uz nulli, visi jaunie konti, kas izveidoti ar šo paroli, tiks parādīti informācijas panelī.
2. Administratīvo kontu skaits ar SPN
SPN (pakalpojuma galvenais nosaukums) ir unikāls pakalpojuma gadījuma identifikators. Šis logrīks parāda, cik pakalpojumu kontiem ir pilnas administratora tiesības. Logrīka vērtībai ir jābūt nullei. SPN ar administratora tiesībām rodas tāpēc, ka šādu tiesību piešķiršana ir ērta programmatūras pārdevējiem un lietojumprogrammu administratoriem, taču rada drošības risku.
Pakalpojuma konta administratīvo tiesību piešķiršana ļauj uzbrucējam iegūt pilnu piekļuvi kontam, kas netiek izmantots. Tas nozīmē, ka uzbrucēji, kuriem ir piekļuve SPN kontiem, var brīvi darboties infrastruktūrā, neuzraugot viņu darbības.
Šo problēmu var atrisināt, mainot pakalpojumu kontu atļaujas. Uz šādiem kontiem būtu jāattiecina mazāko privilēģiju princips, un tiem ir jābūt tikai tādai piekļuvei, kas faktiski ir nepieciešama to darbībai.
Izmantojot šo logrīku, varat noteikt visus SPN, kuriem ir administratīvās tiesības, noņemt šādas privilēģijas un pēc tam pārraudzīt SPN, izmantojot to pašu vismazāk priviliģētās piekļuves principu.
Jaunais SPN tiks parādīts informācijas panelī, un jūs varēsiet pārraudzīt šo procesu.
3. Lietotāju skaits, kuriem nav nepieciešama Kerberos iepriekšēja autentifikācija
Ideālā gadījumā Kerberos šifrē autentifikācijas biļeti, izmantojot AES-256 šifrēšanu, kas joprojām ir nesalaužama līdz šai dienai.
Tomēr vecākajās Kerberos versijās tika izmantota RC4 šifrēšana, ko tagad var uzlauzt dažu minūšu laikā. Šis logrīks parāda, kuri lietotāju konti joprojām izmanto RC4. Microsoft joprojām atbalsta RC4, lai nodrošinātu atpakaļsaderību, taču tas nenozīmē, ka jums tas ir jāizmanto savā reklāmā.
Kad esat identificējis šādus kontus, noņemiet atzīmi no izvēles rūtiņas “nav nepieciešama Kerberos iepriekšēja autorizācija” AD, lai piespiestu kontiem izmantot sarežģītāku šifrēšanu.
Šo kontu atklāšana bez Varonis AD informācijas paneļa aizņem daudz laika. Patiesībā apzināties visus kontus, kas ir rediģēti, lai izmantotu RC4 šifrēšanu, ir vēl grūtāks uzdevums.
Ja logrīka vērtība mainās, tas var norādīt uz nelikumīgu darbību.
4. Lietotāju skaits bez paroles
Uzbrucēji izmanto pamata PowerShell komandas, lai konta rekvizītos nolasītu karodziņu “PASSWD_NOTREQD” no AD. Šī karoga lietošana norāda, ka nav paroles vai sarežģītības prasību.
Cik viegli ir nozagt kontu, izmantojot vienkāršu vai tukšu paroli? Tagad iedomājieties, ka viens no šiem kontiem ir administrators.
Ko darīt, ja viens no tūkstošiem konfidenciālu failu, kas ir pieejams ikvienam, ir gaidāmais finanšu pārskats?
Obligātās paroles prasības ignorēšana ir vēl viena sistēmas administrēšanas saīsne, kas bieži tika izmantota agrāk, taču mūsdienās tā nav ne pieņemama, ne droša.
Novērsiet šo problēmu, atjauninot šo kontu paroles.
Šī logrīka pārraudzība nākotnē palīdzēs izvairīties no kontiem bez paroles.
Varonis izlīdzina izredzes
Agrāk šajā rakstā aprakstīto rādītāju apkopošanas un analīzes darbs aizņēma daudzas stundas un prasīja dziļas zināšanas par PowerShell, tāpēc drošības komandām katru nedēļu vai mēnesi bija jāpiešķir resursi šādiem uzdevumiem. Taču šīs informācijas manuāla vākšana un apstrāde dod uzbrucējiem iespēju iefiltrēties un nozagt datus.
С Jūs pavadīsit vienu dienu, lai izvietotu AD informācijas paneli un papildu komponentus, apkopotu visas apspriestās ievainojamības un daudz ko citu. Turpmāk darbības laikā uzraudzības panelis tiks automātiski atjaunināts, mainoties infrastruktūras stāvoklim.
Kiberuzbrukumu veikšana vienmēr ir sacensība starp uzbrucējiem un aizstāvjiem, uzbrucēja vēlme nozagt datus, pirms drošības speciālisti var bloķēt piekļuvi tiem. Agrīna uzbrucēju un viņu nelikumīgo darbību atklāšana kopā ar spēcīgu kiberaizsardzību ir jūsu datu drošības saglabāšanas atslēga.
Avots: www.habr.com
