Wszystko, czego potrzebuje atakujący, to czas i motywacja, aby włamać się do Twojej sieci. Ale naszym zadaniem jest uniemożliwić mu to, a przynajmniej maksymalnie utrudnić to zadanie. Należy zacząć od zidentyfikowania słabych punktów w usłudze Active Directory (zwanej dalej AD), które osoba atakująca może wykorzystać w celu uzyskania dostępu i poruszania się po sieci bez wykrycia. Dzisiaj w tym artykule przyjrzymy się wskaźnikom ryzyka, które odzwierciedlają istniejące luki w zabezpieczeniach cybernetycznych Twojej organizacji, na przykładzie dashboardu AD Varonis.
Osoby atakujące wykorzystują określone konfiguracje w domenie
Atakujący wykorzystują różnorodne sprytne techniki i luki w zabezpieczeniach, aby przedostać się do sieci korporacyjnych i eskalować uprawnienia. Niektóre z tych luk to ustawienia konfiguracji domeny, które można łatwo zmienić po ich zidentyfikowaniu.
Panel AD natychmiast Cię ostrzeże, jeśli Ty (lub Twoi administratorzy systemu) nie zmieniliście hasła KRBTGT w ciągu ostatniego miesiąca lub jeśli ktoś uwierzytelnił się przy użyciu domyślnego, wbudowanego konta Administratora. Te dwa konta zapewniają nieograniczony dostęp do Twojej sieci: osoby atakujące będą próbowały uzyskać do nich dostęp, aby łatwo ominąć wszelkie ograniczenia w uprawnieniach i uprawnieniach dostępu. Dzięki temu uzyskują dostęp do wszelkich danych, które ich interesują.
Oczywiście możesz samodzielnie wykryć te luki: na przykład ustawić przypomnienie w kalendarzu, aby sprawdzić lub uruchomić skrypt PowerShell w celu zebrania tych informacji.
Trwa aktualizacja panelu Varonis automatycznie aby zapewnić szybki wgląd i analizę kluczowych wskaźników, które podkreślają potencjalne luki, dzięki czemu można podjąć natychmiastowe działania w celu ich usunięcia.
3 kluczowe wskaźniki ryzyka na poziomie domeny
Poniżej znajduje się szereg widżetów dostępnych na dashboardzie Varonis, których wykorzystanie znacząco poprawi ochronę sieci firmowej oraz całej infrastruktury IT.
1. Liczba domen, dla których hasło do konta Kerberos nie zostało zmienione przez dłuższy okres czasu
Konto KRBTGT to specjalne konto w AD, które podpisuje wszystko . Osoby atakujące, które uzyskają dostęp do kontrolera domeny (DC), mogą użyć tego konta do utworzenia , co zapewni im nieograniczony dostęp do niemal każdego systemu w sieci korporacyjnej. Spotkaliśmy się z sytuacją, w której po pomyślnym zdobyciu Złotego Biletu osoba atakująca przez dwa lata miała dostęp do sieci organizacji. Jeżeli w ciągu ostatnich czterdziestu dni hasło do konta KRBTGT w Twojej firmie nie zostało zmienione, widget poinformuje Cię o tym.
Czterdzieści dni to więcej niż wystarczający czas, aby atakujący mógł uzyskać dostęp do sieci. Jeśli jednak na bieżąco będziesz egzekwować i standaryzować proces zmiany tego hasła, znacznie utrudnisz atakującemu włamanie się do Twojej sieci firmowej.
Pamiętaj, że zgodnie z implementacją protokołu Kerberos firmy Microsoft, musisz KRBTGT.
W przyszłości ten widget AD przypomni Ci, kiedy nadejdzie czas na ponowną zmianę hasła KRBTGT dla wszystkich domen w Twojej sieci.
2. Liczba domen, w których ostatnio było używane wbudowane konto Administratora
Według — administratorzy systemu mają do dyspozycji dwa konta: pierwsze to konto do codziennego użytku, drugie do planowych prac administracyjnych. Oznacza to, że nikt nie powinien używać domyślnego konta administratora.
Wbudowane konto administratora jest często wykorzystywane w celu uproszczenia procesu administrowania systemem. Może to stać się złym nawykiem i skutkować włamaniem. Jeśli zdarzy się to w Twojej organizacji, będziesz miał trudności z odróżnieniem prawidłowego korzystania z tego konta od potencjalnie złośliwego dostępu.
Jeśli widżet pokazuje cokolwiek innego niż zero, oznacza to, że ktoś nie działa poprawnie z kontami administracyjnymi. W takim przypadku należy podjąć kroki mające na celu skorygowanie i ograniczenie dostępu do wbudowanego konta administratora.
Gdy osiągniesz wartość widżetu wynoszącą zero, a administratorzy systemu nie będą już używać tego konta do swojej pracy, w przyszłości każda zmiana na nim będzie wskazywać na potencjalny cyberatak.
3. Liczba domen, które nie posiadają grupy Użytkowników Chronionych
Starsze wersje AD obsługiwały słaby typ szyfrowania - RC4. Hakerzy zhakowali RC4 wiele lat temu, a teraz włamanie się na konto, które nadal korzysta z RC4, jest dla atakującego bardzo prostym zadaniem. Wersja Active Directory wprowadzona w Windows Server 2012 wprowadziła nowy typ grupy użytkowników o nazwie Grupa Chronionych Użytkowników. Zapewnia dodatkowe narzędzia bezpieczeństwa i uniemożliwia uwierzytelnianie użytkownika przy użyciu szyfrowania RC4.
Widżet ten zademonstruje, czy w jakiejś domenie w organizacji brakuje takiej grupy, abyś mógł to naprawić, tj. umożliwienie grupie chronionych użytkowników i wykorzystanie ich do ochrony infrastruktury.
Łatwy cel dla atakujących
Konta użytkowników są głównym celem atakujących, począwszy od początkowych prób włamań po ciągłą eskalację uprawnień i ukrywanie ich działań. Osoby atakujące szukają prostych celów w sieci za pomocą podstawowych poleceń programu PowerShell, które często są trudne do wykrycia. Usuń jak najwięcej łatwych celów z AD.
Atakujący szukają użytkowników z hasłami, które nigdy nie wygasają (lub którzy nie wymagają haseł), kont technologicznych będących administratorami oraz kont korzystających ze starszego szyfrowania RC4.
Dostęp do każdego z tych kont jest albo prosty, albo zasadniczo nie jest monitorowany. Atakujący mogą przejąć te konta i swobodnie poruszać się po Twojej infrastrukturze.
Gdy napastnicy przenikną przez granicę bezpieczeństwa, prawdopodobnie uzyskają dostęp do co najmniej jednego konta. Czy możesz uniemożliwić im uzyskanie dostępu do wrażliwych danych, zanim atak zostanie wykryty i powstrzymany?
Pulpit nawigacyjny Varonis AD wskaże podatne konta użytkowników, dzięki czemu będziesz mógł proaktywnie rozwiązywać problemy. Im trudniej jest przeniknąć do Twojej sieci, tym większe masz szanse na zneutralizowanie atakującego, zanim spowoduje on poważne szkody.
4 kluczowe wskaźniki ryzyka dla kont użytkowników
Poniżej znajdują się przykłady widżetów panelu Varonis AD, które wyróżniają konta użytkowników najbardziej podatnych na ataki.
1. Liczba aktywnych użytkowników z hasłami, które nigdy nie wygasają
Dla każdego atakującego uzyskanie dostępu do takiego konta jest zawsze wielkim sukcesem. Ponieważ hasło nigdy nie wygasa, atakujący ma stałe oparcie w sieci, do którego może się następnie przyzwyczaić lub przemieszczania się w obrębie infrastruktury.
Osoby atakujące dysponują listami milionów kombinacji haseł użytkownika, których używają w atakach polegających na upychaniu danych uwierzytelniających i jest prawdopodobne, że
że kombinacja użytkownika z „wiecznym” hasłem znajduje się na jednej z tych list i jest znacznie większa od zera.
Konta z hasłami, które nie wygasają, są łatwe w zarządzaniu, ale nie są bezpieczne. Użyj tego widgetu, aby znaleźć wszystkie konta, które mają takie hasła. Zmień to ustawienie i zaktualizuj swoje hasło.
Gdy wartość tego widżetu zostanie ustawiona na zero, wszelkie nowe konta utworzone przy użyciu tego hasła pojawią się na pulpicie nawigacyjnym.
2. Liczba kont administracyjnych w SPN
SPN (główna nazwa usługi) to unikalny identyfikator instancji usługi. Ten widżet pokazuje, ile kont usług ma pełne uprawnienia administratora. Wartość widżetu musi wynosić zero. Nazwa SPN z uprawnieniami administracyjnymi występuje, ponieważ nadanie takich praw jest wygodne dla dostawców oprogramowania i administratorów aplikacji, ale stwarza ryzyko bezpieczeństwa.
Nadanie kontu usługi uprawnień administracyjnych pozwala atakującemu uzyskać pełny dostęp do konta, które nie jest używane. Oznacza to, że osoby atakujące mające dostęp do kont SPN mogą swobodnie działać w obrębie infrastruktury bez monitorowania swoich działań.
Możesz rozwiązać ten problem, zmieniając uprawnienia kont usług. Rachunki takie powinny podlegać zasadzie najmniejszego uprzywilejowania i posiadać jedynie dostęp faktycznie niezbędny do ich funkcjonowania.
Za pomocą tego widżetu można wykryć wszystkie nazwy SPN posiadające uprawnienia administracyjne, usunąć takie uprawnienia, a następnie monitorować nazwy SPN przy użyciu tej samej zasady najmniej uprzywilejowanego dostępu.
Nowo pojawiająca się nazwa SPN zostanie wyświetlona na pulpicie nawigacyjnym i będziesz mógł monitorować ten proces.
3. Liczba użytkowników, którzy nie wymagają wstępnego uwierzytelnienia Kerberos
W idealnym przypadku Kerberos szyfruje bilet uwierzytelniający przy użyciu szyfrowania AES-256, którego do dziś nie da się złamać.
Jednak starsze wersje protokołu Kerberos korzystały z szyfrowania RC4, które obecnie można złamać w ciągu kilku minut. Ten widżet pokazuje, które konta użytkowników nadal korzystają z RC4. Microsoft nadal obsługuje RC4 w celu zapewnienia kompatybilności wstecznej, ale to nie znaczy, że powinieneś używać go w swojej reklamie.
Po zidentyfikowaniu takich kont należy odznaczyć pole wyboru „nie wymaga wstępnej autoryzacji Kerberos” w usłudze AD, aby wymusić na kontach stosowanie bardziej złożonego szyfrowania.
Samodzielne odkrywanie tych kont, bez panelu Varonis AD, zajmuje dużo czasu. W rzeczywistości posiadanie wiedzy o wszystkich kontach, które są edytowane w celu korzystania z szyfrowania RC4, jest jeszcze trudniejszym zadaniem.
Jeśli wartość na widżecie ulegnie zmianie, może to wskazywać na nielegalną działalność.
4. Liczba użytkowników bez hasła
Atakujący używają podstawowych poleceń PowerShell, aby odczytać flagę „PASSWD_NOTREQD” z usługi AD we właściwościach konta. Użycie tej flagi wskazuje, że nie ma wymagań dotyczących haseł ani wymagań dotyczących złożoności.
Jak łatwo jest ukraść konto za pomocą prostego lub pustego hasła? Teraz wyobraź sobie, że jedno z tych kont jest administratorem.
Co się stanie, jeśli jednym z tysięcy poufnych plików dostępnych dla wszystkich będzie nadchodzący raport finansowy?
Ignorowanie obowiązkowego wymogu hasła to kolejny skrót administracyjny systemu, który był często używany w przeszłości, ale obecnie nie jest ani akceptowalny, ani bezpieczny.
Rozwiąż ten problem, aktualizując hasła do tych kont.
Monitorowanie tego widgetu w przyszłości pomoże Ci unikać kont bez hasła.
Varonis wyrównuje szanse
W przeszłości zbieranie i analizowanie metryk opisanych w tym artykule zajmowało wiele godzin i wymagało głębokiej znajomości programu PowerShell, co wymagało od zespołów ds. bezpieczeństwa przydzielania zasobów do takich zadań co tydzień lub co miesiąc. Jednak ręczne gromadzenie i przetwarzanie tych informacji daje atakującym przewagę w infiltracji i kradzieży danych.
С Spędzisz jeden dzień na wdrożeniu panelu AD i dodatkowych komponentów, zebraniu wszystkich omawianych luk i wielu innych. W przyszłości, podczas pracy, panel monitorujący będzie automatycznie aktualizowany w miarę zmiany stanu infrastruktury.
Przeprowadzanie cyberataków to zawsze wyścig pomiędzy atakującymi i obrońcami, a chęć atakującego polega na kradzieży danych, zanim specjaliści ds. bezpieczeństwa będą mogli zablokować do nich dostęp. Wczesne wykrywanie atakujących i ich nielegalnych działań w połączeniu z silnymi zabezpieczeniami cybernetycznymi jest kluczem do zapewnienia bezpieczeństwa Twoich danych.
Źródło: www.habr.com