Alt en angriper trenger er tid og motivasjon til å bryte seg inn i nettverket ditt. Men vår jobb er å hindre ham i å gjøre dette, eller i det minste gjøre denne oppgaven så vanskelig som mulig. Du må starte med å identifisere svakheter i Active Directory (heretter kalt AD) som en angriper kan bruke for å få tilgang og flytte rundt på nettverket uten å bli oppdaget. I dag i denne artikkelen vil vi se på risikoindikatorer som gjenspeiler eksisterende sårbarheter i organisasjonens cyberforsvar, ved å bruke AD Varonis-dashbordet som et eksempel.
Angripere bruker visse konfigurasjoner i domenet
Angripere bruker en rekke smarte teknikker og sårbarheter for å trenge inn i bedriftsnettverk og eskalere privilegier. Noen av disse sårbarhetene er domenekonfigurasjonsinnstillinger som enkelt kan endres når de er identifisert.
AD-dashbordet vil umiddelbart varsle deg hvis du (eller systemadministratorene dine) ikke har endret KRBTGT-passordet den siste måneden, eller hvis noen har autentisert seg med standard innebygd administratorkonto. Disse to kontoene gir ubegrenset tilgang til nettverket ditt: angripere vil prøve å få tilgang til dem for enkelt å omgå eventuelle begrensninger i privilegier og tilgangstillatelser. Og som et resultat får de tilgang til alle data som interesserer dem.
Selvfølgelig kan du oppdage disse sårbarhetene selv: angi for eksempel en kalenderpåminnelse for å sjekke eller kjøre et PowerShell-skript for å samle inn denne informasjonen.
Varonis dashbord blir oppdatert automatisk for å gi rask synlighet og analyse av nøkkelberegninger som fremhever potensielle sårbarheter, slik at du umiddelbart kan iverksette tiltak for å løse dem.
3 Risikoindikatorer på nøkkeldomenenivå
Nedenfor er en rekke widgets tilgjengelig på Varonis-dashbordet, hvis bruk vil forbedre beskyttelsen av bedriftsnettverket og IT-infrastrukturen som helhet betydelig.
1. Antall domener der Kerberos-kontopassordet ikke har blitt endret på en betydelig periode
KRBTGT-kontoen er en spesiell konto i AD som signerer alt . Angripere som får tilgang til en domenekontroller (DC) kan bruke denne kontoen til å opprette , som vil gi dem ubegrenset tilgang til nesten alle systemer på bedriftsnettverket. Vi møtte en situasjon der en angriper, etter å ha oppnådd en gylden billett, hadde tilgang til organisasjonens nettverk i to år. Hvis KRBTGT-kontopassordet i din bedrift ikke har blitt endret de siste førti dagene, vil widgeten varsle deg om dette.
Førti dager er mer enn nok tid for en angriper å få tilgang til nettverket. Men hvis du håndhever og standardiserer prosessen med å endre dette passordet med jevne mellomrom, vil det gjøre det mye vanskeligere for en angriper å bryte seg inn i bedriftsnettverket.
Husk at i henhold til Microsofts implementering av Kerberos-protokollen, må du KRBTGT.
I fremtiden vil denne AD-widgeten minne deg på når det er på tide å endre KRBTGT-passordet igjen for alle domener på nettverket ditt.
2. Antall domener der den innebygde administratorkontoen nylig ble brukt
Ifølge — Systemadministratorer har to kontoer: den første er en konto for daglig bruk, og den andre er for planlagt administrativt arbeid. Dette betyr at ingen skal bruke standard administratorkonto.
Den innebygde administratorkontoen brukes ofte til å forenkle systemadministrasjonsprosessen. Dette kan bli en dårlig vane, som resulterer i hacking. Hvis dette skjer i organisasjonen din, vil du ha problemer med å skille mellom riktig bruk av denne kontoen og potensielt skadelig tilgang.
Hvis widgeten viser noe annet enn null, er det noen som ikke fungerer riktig med administrative kontoer. I dette tilfellet må du ta skritt for å korrigere og begrense tilgangen til den innebygde administratorkontoen.
Når du har oppnådd en widgetverdi på null og systemadministratorer ikke lenger bruker denne kontoen til arbeidet sitt, vil enhver endring i den i fremtiden indikere et potensielt cyberangrep.
3. Antall domener som ikke har en gruppe beskyttede brukere
Eldre versjoner av AD støttet en svak krypteringstype - RC4. Hackere hacket RC4 for mange år siden, og nå er det en veldig triviell oppgave for en angriper å hacke en konto som fortsatt bruker RC4. Versjonen av Active Directory introdusert i Windows Server 2012 introduserte en ny type brukergruppe kalt Protected Users Group. Det gir ekstra sikkerhetsverktøy og forhindrer brukerautentisering ved bruk av RC4-kryptering.
Denne widgeten vil demonstrere om noe domene i organisasjonen mangler en slik gruppe slik at du kan fikse det, dvs. aktivere en gruppe beskyttede brukere og bruke den til å beskytte infrastrukturen.
Enkle mål for angripere
Brukerkontoer er målet nummer én for angripere, fra innledende inntrengningsforsøk til fortsatt opptrapping av privilegier og fortielse av deres aktiviteter. Angripere ser etter enkle mål på nettverket ditt ved å bruke grunnleggende PowerShell-kommandoer som ofte er vanskelige å oppdage. Fjern så mange av disse enkle målene fra AD som mulig.
Angripere leter etter brukere med passord som aldri utløper (eller som ikke krever passord), teknologikontoer som er administratorer og kontoer som bruker eldre RC4-kryptering.
Noen av disse kontoene er enten trivielle å få tilgang til eller generelt ikke overvåket. Angripere kan ta over disse kontoene og bevege seg fritt innenfor infrastrukturen din.
Når angripere har trengt inn i sikkerhetsperimeteren, vil de sannsynligvis få tilgang til minst én konto. Kan du stoppe dem fra å få tilgang til sensitive data før angrepet blir oppdaget og begrenset?
Varonis AD-dashbordet vil peke ut sårbare brukerkontoer slik at du kan feilsøke problemer proaktivt. Jo vanskeligere det er å penetrere nettverket ditt, jo større er sjansene dine for å nøytralisere en angriper før de forårsaker alvorlig skade.
4 nøkkelrisikoindikatorer for brukerkontoer
Nedenfor er eksempler på Varonis AD-dashbord-widgeter som fremhever de mest sårbare brukerkontoene.
1. Antall aktive brukere med passord som aldri utløper
For enhver angriper å få tilgang til en slik konto er alltid en stor suksess. Fordi passordet aldri utløper, har angriperen et permanent fotfeste i nettverket, som deretter kan brukes til eller bevegelser innenfor infrastrukturen.
Angripere har lister over millioner av bruker-passordkombinasjoner som de bruker i credential stuffing-angrep, og sannsynligheten er at
at kombinasjonen for brukeren med det "evige" passordet er i en av disse listene, mye større enn null.
Kontoer med passord som ikke utløper, er enkle å administrere, men de er ikke sikre. Bruk denne widgeten til å finne alle kontoer som har slike passord. Endre denne innstillingen og oppdater passordet ditt.
Når verdien av denne widgeten er satt til null, vil alle nye kontoer som er opprettet med det passordet vises i dashbordet.
2. Antall administrative kontoer hos SPN
SPN (Service Principal Name) er en unik identifikator for en tjenesteforekomst. Denne widgeten viser hvor mange tjenestekontoer som har fulle administratorrettigheter. Verdien på widgeten må være null. SPN med administrative rettigheter oppstår fordi å gi slike rettigheter er praktisk for programvareleverandører og applikasjonsadministratorer, men det utgjør en sikkerhetsrisiko.
Ved å gi tjenestekontoen administrative rettigheter kan en angriper få full tilgang til en konto som ikke er i bruk. Dette betyr at angripere med tilgang til SPN-kontoer kan operere fritt innenfor infrastrukturen uten å få overvåket aktivitetene deres.
Du kan løse dette problemet ved å endre tillatelsene på tjenestekontoer. Slike kontoer bør være underlagt prinsippet om minste privilegium og kun ha den tilgangen som faktisk er nødvendig for driften.
Ved å bruke denne widgeten kan du oppdage alle SPN-er som har administrative rettigheter, fjerne slike privilegier og deretter overvåke SPN-er ved å bruke det samme prinsippet om minst privilegert tilgang.
SPN-en som nylig dukker opp vil vises på dashbordet, og du vil kunne overvåke denne prosessen.
3. Antall brukere som ikke krever Kerberos forhåndsgodkjenning
Ideelt sett krypterer Kerberos autentiseringsbilletten ved hjelp av AES-256-kryptering, som forblir uknuselig den dag i dag.
Imidlertid brukte eldre versjoner av Kerberos RC4-kryptering, som nå kan brytes på få minutter. Denne widgeten viser hvilke brukerkontoer som fortsatt bruker RC4. Microsoft støtter fortsatt RC4 for bakoverkompatibilitet, men det betyr ikke at du bør bruke det i AD.
Når du har identifisert slike kontoer, må du fjerne merket for "krever ikke Kerberos forhåndsgodkjenning" i AD for å tvinge kontoene til å bruke mer sofistikert kryptering.
Å oppdage disse kontoene på egen hånd, uten Varonis AD-dashbordet, tar mye tid. I virkeligheten er det en enda vanskeligere oppgave å være klar over alle kontoer som er redigert for å bruke RC4-kryptering.
Hvis verdien på widgeten endres, kan dette indikere ulovlig aktivitet.
4. Antall brukere uten passord
Angripere bruker grunnleggende PowerShell-kommandoer for å lese "PASSWD_NOTREQD"-flagget fra AD i kontoegenskaper. Bruk av dette flagget indikerer at det ikke er krav til passord eller kompleksitet.
Hvor enkelt er det å stjele en konto med et enkelt eller tomt passord? Tenk deg nå at en av disse kontoene er en administrator.
Hva om en av de tusenvis av konfidensielle filer som er åpne for alle, er en kommende finansrapport?
Å ignorere det obligatoriske passordkravet er en annen systemadministrasjonssnarvei som ofte ble brukt tidligere, men som verken er akseptabel eller trygg i dag.
Løs dette problemet ved å oppdatere passordene for disse kontoene.
Overvåking av denne widgeten i fremtiden vil hjelpe deg å unngå kontoer uten passord.
Varonis utjevner oddsen
Tidligere tok arbeidet med å samle og analysere beregningene beskrevet i denne artikkelen mange timer og krevde dyp kunnskap om PowerShell, noe som krevde at sikkerhetsteamene allokerte ressurser til slike oppgaver hver uke eller måned. Men manuell innsamling og behandling av denne informasjonen gir angripere et forsprang til å infiltrere og stjele data.
С Du vil bruke én dag på å distribuere AD-dashbordet og tilleggskomponenter, samle alle de diskuterte sårbarhetene og mange flere. I fremtiden, under drift, vil overvåkingspanelet automatisk oppdateres når tilstanden til infrastrukturen endres.
Å utføre cyberangrep er alltid et kappløp mellom angripere og forsvarere, angriperens ønske om å stjele data før sikkerhetsspesialister kan blokkere tilgangen til den. Tidlig oppdagelse av angripere og deres ulovlige aktiviteter, kombinert med sterkt cyberforsvar, er nøkkelen til å holde dataene dine trygge.
Kilde: www.habr.com