Apa yang diperlukan oleh penyerang ialah masa dan motivasi untuk menceroboh rangkaian anda. Tetapi tugas kita adalah untuk menghalangnya daripada melakukan ini, atau sekurang-kurangnya untuk membuat tugas ini sesukar mungkin. Anda perlu bermula dengan mengenal pasti kelemahan dalam Active Directory (selepas ini dirujuk sebagai AD) yang boleh digunakan oleh penyerang untuk mendapatkan akses dan bergerak di sekitar rangkaian tanpa dikesan. Hari ini dalam artikel ini kita akan melihat penunjuk risiko yang mencerminkan kelemahan sedia ada dalam pertahanan siber organisasi anda, menggunakan papan pemuka AD Varonis sebagai contoh.
Penyerang menggunakan konfigurasi tertentu dalam domain
Penyerang menggunakan pelbagai teknik pintar dan kelemahan untuk menembusi rangkaian korporat dan meningkatkan keistimewaan. Sebahagian daripada kelemahan ini ialah parameter konfigurasi domain yang boleh diubah dengan mudah setelah ia dikenal pasti.
Papan pemuka AD akan segera memaklumkan anda jika anda (atau pentadbir sistem anda) tidak menukar kata laluan KRBTGT pada bulan lepas, atau jika seseorang telah mengesahkan dengan akaun Pentadbir terbina dalam lalai. Kedua-dua akaun ini menyediakan akses tanpa had kepada rangkaian anda: penyerang akan cuba mendapatkan akses kepada mereka untuk memintas dengan mudah sebarang sekatan dalam keistimewaan dan kebenaran akses. Dan, akibatnya, mereka mendapat akses kepada mana-mana data yang menarik minat mereka.
Sudah tentu, anda boleh menemui sendiri kelemahan ini: contohnya, tetapkan peringatan kalendar untuk menyemak atau menjalankan skrip PowerShell untuk mengumpul maklumat ini.
Papan pemuka Varonis sedang dikemas kini secara automatik untuk memberikan keterlihatan pantas dan analisis metrik utama yang menyerlahkan potensi kelemahan supaya anda boleh mengambil tindakan segera untuk menanganinya.
3 Petunjuk Risiko Tahap Domain Utama
Di bawah ialah beberapa widget yang tersedia pada papan pemuka Varonis, penggunaannya akan meningkatkan perlindungan rangkaian korporat dan infrastruktur IT secara keseluruhan dengan ketara.
1. Bilangan domain yang kata laluan akaun Kerberos tidak ditukar untuk tempoh masa yang ketara
Akaun KRBTGT ialah akaun khas dalam AD yang menandatangani segala-galanya . Penyerang yang mendapat akses kepada pengawal domain (DC) boleh menggunakan akaun ini untuk membuat , yang akan memberi mereka akses tanpa had kepada hampir mana-mana sistem pada rangkaian korporat. Kami menghadapi situasi di mana, selepas berjaya mendapatkan Tiket Emas, penyerang mempunyai akses kepada rangkaian organisasi selama dua tahun. Jika kata laluan akaun KRBTGT dalam syarikat anda tidak ditukar dalam tempoh empat puluh hari yang lalu, widget akan memberitahu anda tentang perkara ini.
Empat puluh hari adalah lebih daripada masa yang mencukupi untuk penyerang mendapat akses kepada rangkaian. Walau bagaimanapun, jika anda menguatkuasakan dan menyeragamkan proses menukar kata laluan ini secara tetap, ia akan menyukarkan penyerang untuk menceroboh rangkaian korporat anda.
Ingat bahawa menurut pelaksanaan protokol Kerberos Microsoft, anda mesti KRBTGT.
Pada masa hadapan, widget AD ini akan mengingatkan anda apabila tiba masanya untuk menukar kata laluan KRBTGT sekali lagi untuk semua domain pada rangkaian anda.
2. Bilangan domain di mana akaun Pentadbir terbina dalam digunakan baru-baru ini
Menurut β pentadbir sistem disediakan dengan dua akaun: yang pertama adalah akaun untuk kegunaan harian, dan yang kedua adalah untuk kerja pentadbiran yang dirancang. Ini bermakna tiada siapa yang harus menggunakan akaun pentadbir lalai.
Akaun pentadbir terbina dalam sering digunakan untuk memudahkan proses pentadbiran sistem. Ini boleh menjadi tabiat buruk, mengakibatkan penggodaman. Jika ini berlaku dalam organisasi anda, anda akan menghadapi kesukaran untuk membezakan antara penggunaan akaun ini yang betul dan akses yang mungkin berniat jahat.
Jika widget menunjukkan apa-apa selain sifar, maka seseorang tidak berfungsi dengan betul dengan akaun pentadbiran. Dalam kes ini, anda mesti mengambil langkah untuk membetulkan dan mengehadkan akses kepada akaun pentadbir terbina dalam.
Sebaik sahaja anda telah mencapai nilai widget sifar dan pentadbir sistem tidak lagi menggunakan akaun ini untuk kerja mereka, maka pada masa hadapan, sebarang perubahan padanya akan menunjukkan kemungkinan serangan siber.
3. Bilangan domain yang tidak mempunyai kumpulan Pengguna Dilindungi
Versi lama AD menyokong jenis penyulitan yang lemah - RC4. Penggodam telah menggodam RC4 bertahun-tahun yang lalu, dan kini adalah tugas yang sangat remeh bagi penyerang untuk menggodam akaun yang masih menggunakan RC4. Versi Active Directory yang diperkenalkan dalam Windows Server 2012 memperkenalkan jenis kumpulan pengguna baharu yang dipanggil Kumpulan Pengguna Dilindungi. Ia menyediakan alat keselamatan tambahan dan menghalang pengesahan pengguna menggunakan penyulitan RC4.
Widget ini akan menunjukkan jika mana-mana domain dalam organisasi kehilangan kumpulan sedemikian supaya anda boleh membetulkannya, i.e. membolehkan sekumpulan pengguna yang dilindungi dan menggunakannya untuk melindungi infrastruktur.
Sasaran mudah untuk penyerang
Akaun pengguna ialah sasaran nombor satu penyerang, daripada percubaan pencerobohan awal hingga peningkatan hak istimewa dan penyembunyian aktiviti mereka. Penyerang mencari sasaran mudah pada rangkaian anda menggunakan perintah PowerShell asas yang selalunya sukar dikesan. Alih keluar sebanyak mungkin sasaran mudah ini daripada AD.
Penyerang mencari pengguna dengan kata laluan yang tidak pernah tamat tempoh (atau yang tidak memerlukan kata laluan), akaun teknologi yang merupakan pentadbir dan akaun yang menggunakan penyulitan RC4 warisan.
Mana-mana akaun ini sama ada remeh untuk diakses atau secara amnya tidak dipantau. Penyerang boleh mengambil alih akaun ini dan bergerak bebas dalam infrastruktur anda.
Sebaik sahaja penyerang menembusi perimeter keselamatan, mereka mungkin akan mendapat akses kepada sekurang-kurangnya satu akaun. Bolehkah anda menghalang mereka daripada mengakses data sensitif sebelum anda mengesan dan mengurangkan serangan itu?
Papan pemuka Varonis AD akan menunjukkan akaun pengguna yang terdedah supaya anda boleh menyelesaikan masalah secara proaktif. Lebih sukar untuk menembusi rangkaian anda, lebih baik peluang anda untuk meneutralkan penyerang sebelum ia menyebabkan kerosakan yang serius.
4 Petunjuk Risiko Utama untuk Akaun Pengguna
Di bawah ialah contoh widget papan pemuka Varonis AD yang menyerlahkan akaun pengguna yang paling terdedah.
1. Bilangan pengguna aktif dengan kata laluan yang tidak pernah tamat tempoh
Bagi mana-mana penyerang untuk mendapatkan akses kepada akaun sedemikian adalah satu kejayaan yang hebat. Oleh kerana kata laluan tidak pernah tamat tempoh, penyerang mempunyai pijakan kekal dalam rangkaian, yang kemudiannya boleh digunakan atau pergerakan dalam infrastruktur.
Penyerang mempunyai senarai berjuta-juta gabungan kata laluan pengguna yang mereka gunakan dalam serangan pemadat bukti kelayakan, dan kemungkinannya ialah
bahawa gabungan untuk pengguna dengan kata laluan "kekal" berada dalam salah satu senarai ini, jauh lebih besar daripada sifar.
Akaun dengan kata laluan tidak luput mudah diurus, tetapi ia tidak selamat. Gunakan widget ini untuk mencari semua akaun yang mempunyai kata laluan sedemikian. Tukar tetapan ini dan kemas kini kata laluan anda.
Setelah nilai widget ini ditetapkan kepada sifar, mana-mana akaun baharu yang dibuat dengan kata laluan itu akan muncul dalam papan pemuka.
2. Bilangan akaun pentadbiran dengan SPN
SPN (Nama Prinsipal Perkhidmatan) ialah pengecam unik bagi contoh perkhidmatan. Widget ini menunjukkan bilangan akaun perkhidmatan yang mempunyai hak pentadbir penuh. Nilai pada widget mestilah sifar. SPN dengan hak pentadbiran berlaku kerana pemberian hak tersebut adalah mudah untuk vendor perisian dan pentadbir aplikasi, tetapi ia menimbulkan risiko keselamatan.
Memberi hak pentadbiran akaun perkhidmatan membolehkan penyerang mendapat akses penuh kepada akaun yang tidak digunakan. Ini bermakna penyerang yang mempunyai akses kepada akaun SPN boleh beroperasi secara bebas dalam infrastruktur tanpa aktiviti mereka dipantau.
Anda boleh menyelesaikan isu ini dengan menukar kebenaran pada akaun perkhidmatan. Akaun sedemikian hendaklah tertakluk kepada prinsip keistimewaan paling rendah dan hanya mempunyai akses yang sebenarnya diperlukan untuk operasinya.
Menggunakan widget ini, anda boleh mengesan semua SPN yang mempunyai hak pentadbiran, mengalih keluar keistimewaan tersebut, dan kemudian memantau SPN menggunakan prinsip akses yang paling kurang istimewa.
SPN yang baru muncul akan dipaparkan pada papan pemuka, dan anda akan dapat memantau proses ini.
3. Bilangan pengguna yang tidak memerlukan pra-pengesahan Kerberos
Sebaik-baiknya, Kerberos menyulitkan tiket pengesahan menggunakan penyulitan AES-256, yang kekal tidak boleh dipecahkan sehingga hari ini.
Walau bagaimanapun, versi lama Kerberos menggunakan penyulitan RC4, yang kini boleh dipecahkan dalam beberapa minit. Widget ini menunjukkan akaun pengguna yang masih menggunakan RC4. Microsoft masih menyokong RC4 untuk keserasian ke belakang, tetapi itu tidak bermakna anda harus menggunakannya dalam AD anda.
Sebaik sahaja anda telah mengenal pasti akaun sedemikian, anda perlu menyahtanda kotak pilihan "tidak memerlukan pra-kebenaran Kerberos" dalam AD untuk memaksa akaun menggunakan penyulitan yang lebih kompleks.
Menemui akaun ini sendiri, tanpa papan pemuka Varonis AD, memerlukan banyak masa. Pada hakikatnya, mengetahui semua akaun yang disunting untuk menggunakan penyulitan RC4 adalah tugas yang lebih sukar.
Jika nilai pada widget berubah, ini mungkin menunjukkan aktiviti yang menyalahi undang-undang.
4. Bilangan pengguna tanpa kata laluan
Penyerang menggunakan perintah PowerShell asas untuk membaca bendera "PASSWD_NOTREQD" daripada AD dalam sifat akaun. Penggunaan bendera ini menunjukkan bahawa tiada keperluan kata laluan atau keperluan kerumitan.
Betapa mudahnya untuk mencuri akaun dengan kata laluan mudah atau kosong? Sekarang bayangkan bahawa salah satu daripada akaun ini ialah pentadbir.
Bagaimana jika salah satu daripada beribu-ribu fail sulit yang dibuka kepada semua orang ialah laporan kewangan yang akan datang?
Mengabaikan keperluan kata laluan mandatori ialah satu lagi pintasan pentadbiran sistem yang sering digunakan pada masa lalu, tetapi tidak boleh diterima dan tidak selamat hari ini.
Selesaikan isu ini dengan mengemas kini kata laluan untuk akaun ini.
Memantau widget ini pada masa hadapan akan membantu anda mengelakkan akaun tanpa kata laluan.
Varonis menyamakan peluang
Pada masa lalu, kerja mengumpul dan menganalisis metrik yang diterangkan dalam artikel ini mengambil masa berjam-jam dan memerlukan pengetahuan mendalam tentang PowerShell, yang memerlukan pasukan keselamatan memperuntukkan sumber untuk tugas tersebut setiap minggu atau bulan. Tetapi pengumpulan dan pemprosesan secara manual maklumat ini memberi penyerang mula menceroboh dan mencuri data.
Π‘ Anda akan menghabiskan satu hari untuk menggunakan papan pemuka AD dan komponen tambahan, mengumpul semua kelemahan yang dibincangkan dan banyak lagi. Pada masa hadapan, semasa operasi, panel pemantauan akan dikemas kini secara automatik apabila keadaan infrastruktur berubah.
Menjalankan serangan siber sentiasa perlumbaan antara penyerang dan pembela, keinginan penyerang untuk mencuri data sebelum pakar keselamatan boleh menyekat akses kepadanya. Pengesanan awal penyerang dan aktiviti haram mereka, ditambah dengan pertahanan siber yang kuat, adalah kunci untuk memastikan data anda selamat.
Sumber: www.habr.com