Het enige dat een aanvaller nodig heeft, is tijd en motivatie om in te breken in uw netwerk. Maar het is onze taak om te voorkomen dat hij dit doet, of om deze taak op zijn minst zo moeilijk mogelijk te maken. U moet beginnen met het identificeren van zwakke punten in Active Directory (hierna AD genoemd) die een aanvaller kan gebruiken om toegang te krijgen en zich door het netwerk te verplaatsen zonder te worden opgemerkt. Vandaag zullen we in dit artikel kijken naar risico-indicatoren die bestaande kwetsbaarheden in de cyberverdediging van uw organisatie weerspiegelen, waarbij we het AD Varonis-dashboard als voorbeeld gebruiken.
Aanvallers gebruiken bepaalde configuraties in het domein
Aanvallers gebruiken een verscheidenheid aan slimme technieken en kwetsbaarheden om bedrijfsnetwerken binnen te dringen en privileges te escaleren. Sommige van deze kwetsbaarheden zijn domeinconfiguratie-instellingen die eenvoudig kunnen worden gewijzigd zodra ze zijn geïdentificeerd.
Het AD-dashboard waarschuwt u onmiddellijk als u (of uw systeembeheerders) het KRBTGT-wachtwoord de afgelopen maand niet heeft gewijzigd, of als iemand zich heeft geverifieerd met het standaard ingebouwde beheerdersaccount. Deze twee accounts bieden onbeperkte toegang tot uw netwerk: aanvallers zullen proberen toegang te krijgen tot deze accounts om eenvoudig eventuele beperkingen in rechten en toegangsrechten te omzeilen. En als gevolg daarvan krijgen ze toegang tot alle gegevens die hen interesseren.
Deze kwetsbaarheden kun je uiteraard zelf ontdekken: stel bijvoorbeeld een agendaherinnering in om deze te controleren of voer een PowerShell-script uit om deze informatie te verzamelen.
Het Varonis-dashboard wordt bijgewerkt automatisch om snel inzicht en analyse te bieden van de belangrijkste statistieken die potentiële kwetsbaarheden benadrukken, zodat u onmiddellijk actie kunt ondernemen om deze aan te pakken.
3 Belangrijke risico-indicatoren op domeinniveau
Hieronder vindt u een aantal widgets die beschikbaar zijn op het Varonis-dashboard, waarvan het gebruik de bescherming van het bedrijfsnetwerk en de IT-infrastructuur als geheel aanzienlijk zal verbeteren.
1. Aantal domeinen waarvoor het Kerberos-accountwachtwoord gedurende een aanzienlijke periode niet is gewijzigd
Het KRBTGT-account is een speciaal account in AD dat alles ondertekent . Aanvallers die toegang krijgen tot een domeincontroller (DC) kunnen dit account gebruiken om een domeincontroller aan te maken , waardoor ze onbeperkte toegang hebben tot vrijwel elk systeem op het bedrijfsnetwerk. We kwamen een situatie tegen waarin een aanvaller, na het succesvol verkrijgen van een Golden Ticket, twee jaar lang toegang had tot het netwerk van de organisatie. Als het KRBTGT-accountwachtwoord in uw bedrijf de afgelopen veertig dagen niet is gewijzigd, zal de widget u hierover informeren.
Veertig dagen is ruim voldoende tijd voor een aanvaller om toegang te krijgen tot het netwerk. Als u echter het proces voor het regelmatig wijzigen van dit wachtwoord afdwingt en standaardiseert, wordt het voor een aanvaller veel moeilijker om in te breken in uw bedrijfsnetwerk.
Houd er rekening mee dat dit volgens de Microsoft-implementatie van het Kerberos-protocol wel het geval is KRBGT.
In de toekomst zal deze AD-widget u eraan herinneren wanneer het tijd is om het KRBTGT-wachtwoord opnieuw te wijzigen voor alle domeinen in uw netwerk.
2. Aantal domeinen waar het ingebouwde beheerdersaccount onlangs is gebruikt
Volgens — systeembeheerders krijgen twee accounts: de eerste is een account voor dagelijks gebruik en de tweede is voor gepland administratief werk. Dit betekent dat niemand het standaard beheerdersaccount mag gebruiken.
Het ingebouwde beheerdersaccount wordt vaak gebruikt om het systeembeheerproces te vereenvoudigen. Dit kan een slechte gewoonte worden, resulterend in hacken. Als dit in uw organisatie gebeurt, zult u moeite hebben onderscheid te maken tussen correct gebruik van dit account en mogelijk kwaadwillige toegang.
Als de widget iets anders dan nul weergeeft, werkt iemand niet correct met beheerdersaccounts. In dit geval moet u stappen ondernemen om de toegang tot het ingebouwde beheerdersaccount te corrigeren en te beperken.
Zodra u een widgetwaarde van nul heeft bereikt en systeembeheerders dit account niet langer gebruiken voor hun werk, zal elke wijziging daarin in de toekomst wijzen op een mogelijke cyberaanval.
3. Aantal domeinen die geen groep Beschermde Gebruikers hebben
Oudere versies van AD ondersteunden een zwak coderingstype: RC4. Hackers hebben RC4 vele jaren geleden gehackt, en nu is het voor een aanvaller een heel triviale taak om een account te hacken dat nog steeds RC4 gebruikt. De versie van Active Directory geïntroduceerd in Windows Server 2012 introduceerde een nieuw type gebruikersgroep genaamd de Protected Users Group. Het biedt extra beveiligingshulpmiddelen en voorkomt gebruikersauthenticatie met behulp van RC4-codering.
Deze widget laat zien of een domein in de organisatie zo'n groep mist, zodat u dit kunt oplossen, d.w.z. schakel een groep beschermde gebruikers in en gebruik deze om de infrastructuur te beschermen.
Gemakkelijke doelwitten voor aanvallers
Gebruikersaccounts zijn het belangrijkste doelwit voor aanvallers, vanaf de eerste inbraakpogingen tot de voortdurende escalatie van bevoegdheden en het verbergen van hun activiteiten. Aanvallers zoeken naar eenvoudige doelen in uw netwerk met behulp van eenvoudige PowerShell-opdrachten die vaak moeilijk te detecteren zijn. Verwijder zoveel mogelijk van deze gemakkelijke doelwitten uit AD.
Aanvallers zijn op zoek naar gebruikers met wachtwoorden die nooit verlopen (of die geen wachtwoord nodig hebben), technologieaccounts die beheerders zijn en accounts die verouderde RC4-codering gebruiken.
Al deze accounts zijn ofwel triviaal toegankelijk, ofwel worden ze over het algemeen niet gecontroleerd. Aanvallers kunnen deze accounts overnemen en zich vrijelijk binnen uw infrastructuur bewegen.
Zodra aanvallers de beveiligingsperimeter binnendringen, zullen ze waarschijnlijk toegang krijgen tot ten minste één account. Kunt u voorkomen dat ze toegang krijgen tot gevoelige gegevens voordat de aanval wordt gedetecteerd en ingeperkt?
Het Varonis AD-dashboard wijst op kwetsbare gebruikersaccounts, zodat u problemen proactief kunt oplossen. Hoe moeilijker het is om uw netwerk binnen te dringen, hoe groter uw kansen om een aanvaller te neutraliseren voordat deze ernstige schade aanricht.
4 belangrijkste risico-indicatoren voor gebruikersaccounts
Hieronder vindt u voorbeelden van Varonis AD-dashboardwidgets die de meest kwetsbare gebruikersaccounts benadrukken.
1. Aantal actieve gebruikers met wachtwoorden die nooit verlopen
Het is voor elke aanvaller altijd een groot succes om toegang te krijgen tot zo'n account. Omdat het wachtwoord nooit verloopt, heeft de aanvaller permanent voet aan de grond binnen het netwerk, waar vervolgens gebruik van kan worden gemaakt of bewegingen binnen de infrastructuur.
Aanvallers hebben lijsten met miljoenen combinaties van gebruikers en wachtwoorden die ze gebruiken bij aanvallen waarbij credential stuffing wordt uitgevoerd, en de kans is groot dat
dat de combinatie voor de gebruiker met het “eeuwige” wachtwoord in een van deze lijsten staat, veel groter dan nul.
Accounts met niet-verlopende wachtwoorden zijn eenvoudig te beheren, maar ze zijn niet veilig. Gebruik deze widget om alle accounts te vinden die dergelijke wachtwoorden hebben. Wijzig deze instelling en update uw wachtwoord.
Zodra de waarde van deze widget op nul is ingesteld, verschijnen alle nieuwe accounts die met dat wachtwoord zijn aangemaakt in het dashboard.
2. Aantal beheerdersaccounts met SPN
SPN (Service Principal Name) is een unieke identificatie van een service-exemplaar. Deze widget laat zien hoeveel serviceaccounts volledige beheerdersrechten hebben. De waarde op de widget moet nul zijn. SPN met beheerdersrechten ontstaat omdat het verlenen van dergelijke rechten handig is voor softwareleveranciers en applicatiebeheerders, maar een veiligheidsrisico met zich meebrengt.
Door het serviceaccount beheerdersrechten te geven, kan een aanvaller volledige toegang krijgen tot een account dat niet in gebruik is. Dit betekent dat aanvallers met toegang tot SPN-accounts vrijelijk binnen de infrastructuur kunnen opereren zonder dat hun activiteiten worden gemonitord.
U kunt dit probleem oplossen door de machtigingen voor serviceaccounts te wijzigen. Dergelijke accounts moeten onderworpen zijn aan het beginsel van de minste privileges en alleen de toegang hebben die daadwerkelijk nodig is voor het functioneren ervan.
Met deze widget kunt u alle SPN's met beheerdersrechten detecteren, dergelijke bevoegdheden verwijderen en vervolgens SPN's monitoren met hetzelfde principe van minst bevoorrechte toegang.
De nieuw verschijnende SPN wordt op het dashboard weergegeven en u kunt dit proces volgen.
3. Aantal gebruikers dat geen voorafgaande Kerberos-authenticatie nodig heeft
Idealiter codeert Kerberos het authenticatieticket met behulp van AES-256-codering, die tot op de dag van vandaag onbreekbaar blijft.
Oudere versies van Kerberos maakten echter gebruik van RC4-codering, die nu binnen enkele minuten kan worden verbroken. Deze widget laat zien welke gebruikersaccounts nog RC4 gebruiken. Microsoft ondersteunt RC4 nog steeds voor achterwaartse compatibiliteit, maar dat betekent niet dat u het in uw AD moet gebruiken.
Zodra u dergelijke accounts heeft geïdentificeerd, moet u het selectievakje "Vereist geen Kerberos-pre-autorisatie" in AD uitschakelen om de accounts te dwingen geavanceerdere codering te gebruiken.
Het zelf ontdekken van deze accounts, zonder het Varonis AD-dashboard, kost veel tijd. In werkelijkheid is het een nog moeilijkere taak om op de hoogte te zijn van alle accounts die zijn bewerkt om RC4-codering te gebruiken.
Als de waarde op de widget verandert, kan dit duiden op illegale activiteit.
4. Aantal gebruikers zonder wachtwoord
Aanvallers gebruiken standaard PowerShell-opdrachten om de vlag ‘PASSWD_NOTREQD’ van AD in accounteigenschappen te lezen. Het gebruik van deze vlag geeft aan dat er geen wachtwoordvereisten of complexiteitsvereisten zijn.
Hoe gemakkelijk is het om een account te stelen met een eenvoudig of blanco wachtwoord? Stel je nu voor dat een van deze accounts een beheerder is.
Wat als een van de duizenden vertrouwelijke bestanden die voor iedereen toegankelijk zijn, een aankomend financieel rapport is?
Het negeren van de verplichte wachtwoordvereiste is een andere snelkoppeling voor systeembeheer die in het verleden vaak werd gebruikt, maar tegenwoordig niet acceptabel of veilig is.
Los dit probleem op door de wachtwoorden voor deze accounts bij te werken.
Door deze widget in de toekomst te monitoren, kun je accounts zonder wachtwoord vermijden.
Varonis brengt de kansen gelijk
In het verleden kostte het verzamelen en analyseren van de in dit artikel beschreven statistieken vele uren en vereiste het diepgaande kennis van PowerShell, waardoor beveiligingsteams elke week of maand resources aan dergelijke taken moesten toewijzen. Maar het handmatig verzamelen en verwerken van deze informatie geeft aanvallers een voorsprong bij het infiltreren en stelen van gegevens.
С Je besteedt een dag aan het implementeren van het AD-dashboard en aanvullende componenten, het verzamelen van alle besproken kwetsbaarheden en nog veel meer. In de toekomst zal het monitoringpaneel tijdens bedrijf automatisch worden bijgewerkt als de toestand van de infrastructuur verandert.
Het uitvoeren van cyberaanvallen is altijd een race tussen aanvallers en verdedigers, waarbij de aanvaller gegevens wil stelen voordat beveiligingsspecialisten de toegang daartoe kunnen blokkeren. Vroegtijdige detectie van aanvallers en hun illegale activiteiten, in combinatie met een sterke cyberverdediging, is de sleutel tot het veilig houden van uw gegevens.
Bron: www.habr.com