Халдагчид хэрэгтэй зүйл бол таны сүлжээнд нэвтрэх цаг хугацаа, хүсэл эрмэлзэл юм. Гэхдээ бидний ажил бол түүнийг үүнийг хийхээс урьдчилан сэргийлэх, эсвэл ядаж энэ ажлыг аль болох хүндрүүлэх явдал юм. Та Active Directory (цаашид AD гэх)-ийн сул талуудыг олж илрүүлэхээс эхлэх хэрэгтэй бөгөөд халдагч нэвтэрч, сүлжээг тойрон эргэлдэж, илрүүлэхгүйгээр ашиглах боломжтой. Өнөөдөр энэ нийтлэлд бид AD Varonis хяналтын самбарыг жишээ болгон ашиглан танай байгууллагын кибер хамгаалалтад байгаа сул талуудыг тусгасан эрсдэлийн үзүүлэлтүүдийг авч үзэх болно.
Халдагчид домайн дахь тодорхой тохиргоог ашигладаг
Халдагчид корпорацийн сүлжээнд нэвтэрч, давуу эрхээ нэмэгдүүлэхийн тулд янз бүрийн ухаалаг арга техник, эмзэг байдлыг ашигладаг. Эдгээр эмзэг байдлын зарим нь тодорхойлогдсоны дараа амархан өөрчлөх боломжтой домэйн тохиргооны тохиргоо юм.
Хэрэв та (эсвэл таны системийн администраторууд) сүүлийн сард KRBTGT нууц үгээ өөрчлөөгүй эсвэл хэн нэгэн анхдагч суулгасан администраторын бүртгэлээр баталгаажуулсан бол AD хяналтын самбар танд нэн даруй мэдэгдэх болно. Эдгээр хоёр бүртгэл нь таны сүлжээнд хязгааргүй нэвтрэх боломжийг олгодог: халдагчид давуу эрх, хандалтын зөвшөөрлийн аливаа хязгаарлалтыг хялбархан давахын тулд тэдгээрт нэвтрэхийг оролдох болно. Үүний үр дүнд тэд өөрсдийн сонирхсон аливаа өгөгдөлд хандах боломжтой болно.
Мэдээжийн хэрэг та эдгээр эмзэг байдлыг өөрөө олж мэдэх боломжтой: жишээлбэл, энэ мэдээллийг цуглуулахын тулд PowerShell скриптийг шалгах эсвэл ажиллуулахын тулд календарийн сануулагчийг тохируулаарай.
Varonis хяналтын самбарыг шинэчилж байна автоматаар Болзошгүй эмзэг байдлыг онцолсон гол хэмжигдэхүүнүүдийг хурдан харуулах, дүн шинжилгээ хийх замаар тэдгээрийг арилгахын тулд яаралтай арга хэмжээ авах боломжтой.
Домэйн түвшний эрсдэлийн 3 үндсэн үзүүлэлт
Varonis хяналтын самбар дээр байгаа хэд хэдэн виджетийг доор харуулав, тэдгээрийн хэрэглээ нь корпорацийн сүлжээ болон мэдээллийн технологийн дэд бүтцийн хамгаалалтыг ихээхэн нэмэгдүүлэх болно.
1. Kerberos дансны нууц үг нь тодорхой хугацаанд өөрчлөгдөөгүй домайнуудын тоо
KRBTGT данс нь МЭ-д бүх зүйлд гарын үсэг зурдаг тусгай данс юм . Домэйн хянагч (DC) руу нэвтэрсэн халдагчид энэ бүртгэлийг үүсгэхийн тулд ашиглаж болно , энэ нь тэдэнд корпорацийн сүлжээн дэх бараг бүх системд хязгааргүй нэвтрэх боломжийг олгоно. Алтан тасалбарыг амжилттай авсны дараа халдлага үйлдэгч хоёр жилийн турш байгууллагын сүлжээнд нэвтрэх эрхтэй болсон нөхцөл байдалтай бид тулгарсан. Хэрэв танай компанийн KRBTGT дансны нууц үг сүүлийн дөчин хоногт өөрчлөгдөөгүй бол виджет энэ талаар танд мэдэгдэх болно.
Дөчин хоног бол халдагч сүлжээнд нэвтрэхэд хангалттай хугацаа юм. Гэсэн хэдий ч, хэрэв та энэ нууц үгийг өөрчлөх үйл явцыг тогтмол хэрэгжүүлж, стандартчилах юм бол халдагчид танай байгууллагын сүлжээнд нэвтрэхэд илүү хэцүү болно.
Майкрософт Kerberos протоколын хэрэгжилтийн дагуу та хийх ёстой гэдгийг санаарай KRBTGT.
Ирээдүйд энэхүү AD виджет нь таны сүлжээн дэх бүх домэйны KRBTGT нууц үгийг дахин өөрчлөх цаг болсныг танд сануулах болно.
2. Суулгасан Администраторын бүртгэлийг саяхан ашигласан домэйнуудын тоо
Дагуу — системийн администраторууд хоёр дансаар хангагдсан байдаг: эхнийх нь өдөр тутмын хэрэглээнд зориулагдсан данс, хоёр дахь нь төлөвлөсөн захиргааны ажилд зориулагдсан данс юм. Энэ нь хэн ч анхдагч администраторын бүртгэлийг ашиглах ёсгүй гэсэн үг юм.
Системийн удирдлагын үйл явцыг хялбарчлахын тулд суулгасан администраторын бүртгэлийг ихэвчлэн ашигладаг. Энэ нь муу зуршил болж, улмаар хакердах аюултай. Хэрэв танай байгууллагад ийм зүйл тохиолдвол та энэ акаунтыг зөв ашиглах болон болзошгүй хорлонтой хандалтыг ялгахад хэцүү байх болно.
Хэрэв виджет нь тэгээс өөр зүйлийг харуулсан бол хэн нэгэн удирдлагын бүртгэлтэй зөв ажиллахгүй байна гэсэн үг. Энэ тохиолдолд та суулгасан администраторын бүртгэлд хандах хандалтыг засах, хязгаарлах арга хэмжээ авах ёстой.
Нэгэнт та виджетийн утгыг тэг болгож, системийн администраторууд энэ бүртгэлийг ажилдаа ашиглахаа больсон бол ирээдүйд түүнд өөрчлөлт оруулах нь кибер халдлагад өртөж болзошгүйг илтгэнэ.
3. Хамгаалагдсан хэрэглэгчдийн бүлэг байхгүй домайнуудын тоо
AD-ийн хуучин хувилбарууд нь сул шифрлэлтийн төрлийг дэмждэг - RC4. Хакерууд олон жилийн өмнө RC4-ийг хакердсан бөгөөд одоо бол RC4-ийг ашиглаж байгаа акаунтыг хакердах нь халдагчийн хувьд маш энгийн ажил юм. Windows Server 2012-д нэвтрүүлсэн Active Directory хувилбар нь Хамгаалагдсан хэрэглэгчдийн бүлэг хэмээх шинэ төрлийн хэрэглэгчийн бүлгийг нэвтрүүлсэн. Энэ нь нэмэлт хамгаалалтын хэрэгслээр хангаж, RC4 шифрлэлт ашиглан хэрэглэгчийн баталгаажуулалтаас сэргийлдэг.
Энэ виджет нь тухайн байгууллагын аль нэг домэйнд ийм бүлэг байхгүй байгаа эсэхийг харуулах бөгөөд ингэснээр та үүнийг засах боломжтой болно. хамгаалагдсан хэрэглэгчдийн бүлгийг идэвхжүүлж, дэд бүтцийг хамгаалахад ашиглах.
Халдагчдад зориулсан хялбар бай
Хэрэглэгчийн бүртгэл нь халдагчдын хувьд эхний ээлжинд халдлага хийх оролдлого, эрх мэдлийг үргэлжлүүлэн нэмэгдүүлэх, үйл ажиллагааг нь нуун дарагдуулах хүртэл байдаг. Халдагчид илрүүлэхэд хэцүү PowerShell-ийн үндсэн командуудыг ашиглан таны сүлжээнээс энгийн байг хайж олдог. Эдгээр хялбар зорилтуудыг AD-аас аль болох устга.
Халдагчид хугацаа нь дуусдаггүй нууц үгтэй (эсвэл нууц үг шаарддаггүй), администратор болох технологийн бүртгэлтэй, хуучин RC4 шифрлэлтийг ашигладаг бүртгэлтэй хэрэглэгчдийг хайж байна.
Эдгээр акаунтуудын аль нэг нь нэвтрэхэд хялбар эсвэл ерөнхийдөө хянагддаггүй. Халдагчид эдгээр дансыг булаан авч, таны дэд бүтцийн хүрээнд чөлөөтэй хөдөлж болно.
Халдагчид аюулгүй байдлын периметрт нэвтэрсний дараа тэд дор хаяж нэг данс руу нэвтрэх боломжтой болно. Та халдлагыг илрүүлж, таслан зогсоохоос өмнө нууц мэдээлэлд хандах эрхийг нь зогсоож чадах уу?
Varonis AD хяналтын самбар нь эмзэг хэрэглэгчийн бүртгэлийг зааж өгөх бөгөөд ингэснээр та асуудлыг идэвхтэй шийдвэрлэх боломжтой болно. Таны сүлжээнд нэвтрэхэд хэцүү байх тусам халдагчийг ноцтой хохирол учруулахаас нь өмнө саармагжуулах магадлал өндөр болно.
Хэрэглэгчийн дансны эрсдэлийн 4 үндсэн үзүүлэлт
Хамгийн эмзэг хэрэглэгчийн бүртгэлийг онцолсон Varonis AD хяналтын самбарын жишээг доор харуулав.
1. Хугацаа нь дуусдаггүй нууц үгтэй идэвхтэй хэрэглэгчдийн тоо
Аливаа халдагчийн хувьд ийм данс руу нэвтрэх нь үргэлж том амжилт байдаг. Нууц үгийн хугацаа хэзээ ч дуусдаггүй тул халдагч нь сүлжээнд байнгын байр суурьтай байдаг бөгөөд үүнийг ашиглаж болно эсвэл дэд бүтцийн доторх хөдөлгөөн.
Халдагчид итгэмжлэл бөглөх халдлагад ашигладаг сая сая хэрэглэгчийн нууц үгийн жагсаалттай байдаг бөгөөд ийм магадлал өндөр байдаг.
"мөнхийн" нууц үгтэй хэрэглэгчийн хослол нь эдгээр жагсаалтын аль нэгэнд байгаа нь тэгээс хамаагүй их байна.
Хугацаа нь дуусаагүй нууц үгтэй акаунтуудыг удирдахад хялбар боловч аюулгүй биш. Ийм нууц үгтэй бүх бүртгэлийг олохын тулд энэ виджетийг ашиглана уу. Энэ тохиргоог өөрчилж, нууц үгээ шинэчилнэ үү.
Энэ виджетийн утгыг тэг болгосны дараа тухайн нууц үгээр үүсгэсэн шинэ бүртгэлүүд хяналтын самбар дээр гарч ирнэ.
2. SPN-тэй захиргааны дансны тоо
SPN (Үйлчилгээний үндсэн нэр) нь үйлчилгээний жишээний өвөрмөц танигч юм. Энэ виджет нь хэдэн үйлчилгээний бүртгэл администраторын бүрэн эрхтэй болохыг харуулдаг. Виджет дээрх утга нь тэг байх ёстой. Захиргааны эрхтэй SPN нь ийм эрхийг олгох нь програм хангамжийн үйлдвэрлэгчид болон програмын администраторуудад тохиромжтой боловч аюулгүй байдалд эрсдэл учруулдаг тул үүсдэг.
Үйлчилгээний акаунтын захиргааны эрхийг өгснөөр халдагчид ашиглагдаагүй байгаа акаунтад бүрэн хандах боломжтой болно. Энэ нь SPN данс руу нэвтрэх эрхтэй халдагчид өөрсдийн үйл ажиллагааг хянахгүйгээр дэд бүтцийн хүрээнд чөлөөтэй ажиллах боломжтой гэсэн үг юм.
Та үйлчилгээний дансны зөвшөөрлийг өөрчлөх замаар энэ асуудлыг шийдэж болно. Ийм дансууд нь хамгийн бага давуу эрхийн зарчимд захирагдах ёстой бөгөөд зөвхөн тэдний үйл ажиллагаанд зайлшгүй шаардлагатай хандалттай байх ёстой.
Энэхүү виджетийг ашигласнаар та захиргааны эрхтэй бүх SPN-г илрүүлж, ийм эрхийг хасч, дараа нь хамгийн бага давуу эрхтэй хандалтын ижил зарчмыг ашиглан SPN-г хянах боломжтой.
Шинээр гарч ирсэн SPN нь хяналтын самбар дээр харагдах бөгөөд та энэ үйл явцыг хянах боломжтой болно.
3. Kerberos-ын урьдчилсан баталгаажуулалтыг шаарддаггүй хэрэглэгчдийн тоо
Хамгийн тохиромжтой нь Kerberos AES-256 шифрлэлт ашиглан баталгаажуулалтын тасалбарыг шифрлэдэг бөгөөд энэ нь өнөөг хүртэл эвдэрдэггүй.
Гэсэн хэдий ч Kerberos-ийн хуучин хувилбарууд нь RC4 шифрлэлтийг ашигласан бөгөөд одоо үүнийг хэдхэн минутын дотор эвдэж болно. Энэ виджет нь ямар хэрэглэгчийн бүртгэлүүд RC4-ийг ашигласаар байгааг харуулдаг. Майкрософт нь RC4-ийг буцаан нийцүүлэхийн тулд дэмждэг хэвээр байгаа ч энэ нь та үүнийг AD-даа ашиглах ёстой гэсэн үг биш юм.
Ийм акаунтуудыг олж мэдсэнийхээ дараа та акаунтуудыг илүү боловсронгуй шифрлэлт ашиглахыг албадахын тулд AD дээрх "Kerberos-д урьдчилан зөвшөөрөл авах шаардлагагүй" гэсэн сонголтыг арилгах хэрэгтэй.
Varonis AD хяналтын самбаргүйгээр эдгээр акаунтуудыг бие даан нээхэд маш их цаг зарцуулдаг. Бодит байдал дээр RC4 шифрлэлтийг ашиглахын тулд засварласан бүх дансны талаар мэдэх нь бүр ч хэцүү ажил юм.
Хэрэв виджет дээрх утга өөрчлөгдвөл энэ нь хууль бус үйлдлийг илэрхийлж болно.
4. Нууц үггүй хэрэглэгчдийн тоо
Халдагчид үндсэн PowerShell командуудыг ашиглан дансны шинж чанаруудаас AD-аас “PASSWD_NOTREQD” тугийг уншдаг. Энэ тугийг ашиглах нь нууц үг, нарийн төвөгтэй байдлын шаардлага байхгүй гэдгийг харуулж байна.
Энгийн эсвэл хоосон нууц үгээр данс хулгайлах нь хэр амархан вэ? Одоо эдгээр дансны нэг нь администратор байна гэж төсөөлөөд үз дээ.
Хүн бүрт нээлттэй олон мянган нууц файлуудын нэг нь удахгүй гарах санхүүгийн тайлан байвал яах вэ?
Заавал нууц үг оруулах шаардлагыг үл тоомсорлох нь өмнө нь ихэвчлэн ашигладаг байсан системийн удирдлагын өөр нэг товчлол боловч өнөөдөр хүлээн зөвшөөрөгдөхгүй, аюулгүй биш юм.
Эдгээр дансны нууц үгийг шинэчлэх замаар энэ асуудлыг засаарай.
Ирээдүйд энэ виджетийг хянах нь нууц үггүй бүртгэлээс зайлсхийхэд тусална.
Варонис магадлалыг тэнцүүлэв
Өмнө нь энэ нийтлэлд дурдсан хэмжүүрүүдийг цуглуулж, дүн шинжилгээ хийхэд олон цаг зарцуулдаг бөгөөд PowerShell-ийн талаар гүн гүнзгий мэдлэг шаардагддаг байсан тул хамгаалалтын багууд долоо хоног, сар бүр ийм ажлуудад нөөц хуваарилахыг шаарддаг байв. Гэхдээ энэ мэдээллийг гараар цуглуулж, боловсруулах нь халдагчдад мэдээлэл нэвтэрч, хулгайлах эхлэлийг өгдөг.
С Та AD хяналтын самбар болон нэмэлт бүрэлдэхүүн хэсгүүдийг байрлуулах, хэлэлцсэн бүх эмзэг байдлыг цуглуулах болон бусад олон зүйлийг хийхэд нэг өдөр зарцуулах болно. Цаашид ашиглалтын явцад дэд бүтцийн төлөв байдал өөрчлөгдөхөд хяналтын самбар автоматаар шинэчлэгдэх болно.
Кибер халдлага үйлдэх нь үргэлж халдагчид болон хамгаалагчдын хоорондох уралдаан бөгөөд халдагч этгээд аюулгүй байдлын мэргэжилтнүүд мэдээлэлд хандах хандалтыг хаахаас өмнө хулгайлах хүсэлтэй байдаг. Халдагчид болон тэдний хууль бус үйлдлүүдийг эрт илрүүлэх, хүчирхэг кибер хамгаалалттай хослуулах нь таны өгөгдлийг аюулгүй байлгах түлхүүр юм.
Эх сурвалж: www.habr.com