Tudo o que um invasor precisa é de tempo e motivação para invadir sua rede. Mas o nosso trabalho é impedi-lo de fazer isso, ou pelo menos tornar esta tarefa o mais difícil possível. Você precisa começar identificando pontos fracos no Active Directory (doravante denominado AD) que um invasor pode usar para obter acesso e se movimentar pela rede sem ser detectado. Hoje neste artigo veremos os indicadores de risco que refletem as vulnerabilidades existentes na defesa cibernética da sua organização, usando o painel AD Varonis como exemplo.
Os invasores usam certas configurações no domínio
Os invasores usam uma variedade de técnicas e vulnerabilidades inteligentes para penetrar nas redes corporativas e aumentar os privilégios. Algumas dessas vulnerabilidades são definições de configuração de domínio que podem ser facilmente alteradas assim que forem identificadas.
O painel do AD irá alertá-lo imediatamente se você (ou seus administradores de sistema) não tiver alterado a senha KRBTGT no último mês ou se alguém tiver se autenticado com a conta de administrador integrada padrão. Essas duas contas fornecem acesso ilimitado à sua rede: os invasores tentarão obter acesso a elas para contornar facilmente quaisquer restrições de privilégios e permissões de acesso. E, como resultado, eles têm acesso a todos os dados que lhes interessam.
Claro, você mesmo pode descobrir essas vulnerabilidades: por exemplo, defina um lembrete de calendário para verificar ou execute um script do PowerShell para coletar essas informações.
O painel da Varonis está sendo atualizado automaticamente para fornecer visibilidade e análise rápidas das principais métricas que destacam vulnerabilidades potenciais para que você possa tomar medidas imediatas para resolvê-las.
3 principais indicadores de risco em nível de domínio
Abaixo estão alguns widgets disponíveis no painel da Varonis, cujo uso aumentará significativamente a proteção da rede corporativa e da infraestrutura de TI como um todo.
1. Número de domínios para os quais a senha da conta Kerberos não foi alterada por um período significativo de tempo
A conta KRBTGT é uma conta especial no AD que assina tudo . Os invasores que obtêm acesso a um controlador de domínio (DC) podem usar esta conta para criar , o que lhes dará acesso ilimitado a quase todos os sistemas da rede corporativa. Encontramos uma situação em que, após obter com sucesso um Golden Ticket, um invasor teve acesso à rede da organização por dois anos. Se a senha da conta KRBTGT da sua empresa não tiver sido alterada nos últimos quarenta dias, o widget irá notificá-lo sobre isso.
Quarenta dias é tempo mais que suficiente para um invasor obter acesso à rede. No entanto, se você aplicar e padronizar o processo de alteração dessa senha regularmente, será muito mais difícil para um invasor invadir sua rede corporativa.
Lembre-se de que, de acordo com a implementação do protocolo Kerberos pela Microsoft, você deve KRBTGT.
No futuro, este widget AD irá lembrá-lo quando for a hora de alterar a senha KRBTGT novamente para todos os domínios da sua rede.
2. Número de domínios onde a conta de administrador integrada foi usada recentemente
Conforme — os administradores de sistema dispõem de duas contas: a primeira é uma conta para uso diário e a segunda é para trabalho administrativo planejado. Isso significa que ninguém deve usar a conta de administrador padrão.
A conta de administrador integrada é frequentemente usada para simplificar o processo de administração do sistema. Isso pode se tornar um mau hábito, resultando em hackers. Se isso acontecer na sua organização, você terá dificuldade em distinguir entre o uso adequado desta conta e o acesso potencialmente malicioso.
Se o widget mostrar algo diferente de zero, alguém não está trabalhando corretamente com contas administrativas. Nesse caso, você deve tomar medidas para corrigir e limitar o acesso à conta de administrador integrada.
Depois que você atingir o valor zero do widget e os administradores do sistema não usarem mais essa conta para seu trabalho, no futuro, qualquer alteração nela indicará um possível ataque cibernético.
3. Número de domínios que não possuem grupo de Usuários Protegidos
Versões mais antigas do AD suportavam um tipo de criptografia fraco - RC4. Hackers hackearam o RC4 há muitos anos e agora é uma tarefa muito trivial para um invasor hackear uma conta que ainda usa o RC4. A versão do Active Directory introduzida no Windows Server 2012 introduziu um novo tipo de grupo de usuários denominado Grupo de Usuários Protegidos. Ele fornece ferramentas de segurança adicionais e impede a autenticação do usuário usando criptografia RC4.
Este widget demonstrará se algum domínio da organização está faltando tal grupo para que você possa corrigi-lo, ou seja, habilitar um grupo de usuários protegidos e usá-lo para proteger a infraestrutura.
Alvos fáceis para invasores
As contas de usuários são o alvo número um dos invasores, desde as tentativas iniciais de invasão até a escalada contínua de privilégios e a ocultação de suas atividades. Os invasores procuram alvos simples na sua rede usando comandos básicos do PowerShell que geralmente são difíceis de detectar. Remova o máximo possível desses alvos fáceis do AD.
Os invasores procuram usuários com senhas que nunca expiram (ou que não exigem senhas), contas de tecnologia que sejam administradores e contas que usam criptografia RC4 legada.
Qualquer uma dessas contas é de acesso trivial ou geralmente não é monitorada. Os invasores podem assumir o controle dessas contas e circular livremente dentro da sua infraestrutura.
Depois que os invasores penetrarem no perímetro de segurança, provavelmente obterão acesso a pelo menos uma conta. Você pode impedi-los de obter acesso a dados confidenciais antes que o ataque seja detectado e contido?
O painel do Varonis AD apontará contas de usuários vulneráveis para que você possa solucionar problemas de forma proativa. Quanto mais difícil for penetrar na sua rede, maiores serão suas chances de neutralizar um invasor antes que ele cause danos graves.
4 principais indicadores de risco para contas de usuário
Abaixo estão exemplos de widgets do painel Varonis AD que destacam as contas de usuários mais vulneráveis.
1. Número de usuários ativos com senhas que nunca expiram
Para qualquer invasor obter acesso a tal conta é sempre um grande sucesso. Como a senha nunca expira, o invasor tem uma posição permanente na rede, que pode então ser usada para ou movimentos dentro da infra-estrutura.
Os invasores têm listas de milhões de combinações de usuário-senha que usam em ataques de preenchimento de credenciais, e a probabilidade é que
que a combinação para o usuário com a senha “eterna” esteja em uma dessas listas, muito maior que zero.
Contas com senhas que não expiram são fáceis de gerenciar, mas não são seguras. Use este widget para encontrar todas as contas que possuem essas senhas. Altere esta configuração e atualize sua senha.
Assim que o valor deste widget for definido como zero, todas as novas contas criadas com essa senha aparecerão no painel.
2. Número de contas administrativas com SPN
SPN (Service Principal Name) é um identificador exclusivo de uma instância de serviço. Este widget mostra quantas contas de serviço têm direitos totais de administrador. O valor no widget deve ser zero. O SPN com direitos administrativos ocorre porque a concessão de tais direitos é conveniente para fornecedores de software e administradores de aplicativos, mas representa um risco à segurança.
Conceder direitos administrativos à conta de serviço permite que um invasor obtenha acesso total a uma conta que não está em uso. Isto significa que os atacantes com acesso a contas SPN podem operar livremente dentro da infra-estrutura sem ter as suas actividades monitorizadas.
Você pode resolver esse problema alterando as permissões nas contas de serviço. Essas contas devem estar sujeitas ao princípio do privilégio mínimo e ter apenas o acesso realmente necessário para o seu funcionamento.
Usando esse widget, você pode detectar todos os SPNs que possuem direitos administrativos, remover esses privilégios e monitorar os SPNs usando o mesmo princípio de acesso menos privilegiado.
O SPN recém-exibido será exibido no painel e você poderá monitorar esse processo.
3. Número de usuários que não necessitam de pré-autenticação Kerberos
Idealmente, o Kerberos criptografa o tíquete de autenticação usando a criptografia AES-256, que permanece inquebrável até hoje.
No entanto, versões mais antigas do Kerberos usavam criptografia RC4, que agora pode ser quebrada em minutos. Este widget mostra quais contas de usuário ainda usam RC4. A Microsoft ainda oferece suporte ao RC4 para compatibilidade com versões anteriores, mas isso não significa que você deva usá-lo no seu AD.
Depois de identificar essas contas, você precisa desmarcar a caixa de seleção "não requer pré-autorização Kerberos" no AD para forçar as contas a usar criptografia mais sofisticada.
Descobrir essas contas por conta própria, sem o painel do Varonis AD, leva muito tempo. Na realidade, estar ciente de todas as contas que são editadas para usar a criptografia RC4 é uma tarefa ainda mais difícil.
Se o valor no widget mudar, isso pode indicar atividade ilegal.
4. Número de usuários sem senha
Os invasores usam comandos básicos do PowerShell para ler o sinalizador “PASSWD_NOTREQD” do AD nas propriedades da conta. O uso desse sinalizador indica que não há requisitos de senha ou de complexidade.
É fácil roubar uma conta com uma senha simples ou em branco? Agora imagine que uma dessas contas seja de administrador.
E se um dos milhares de arquivos confidenciais abertos a todos for um relatório financeiro futuro?
Ignorar o requisito obrigatório de senha é outro atalho de administração do sistema que era frequentemente usado no passado, mas não é aceitável nem seguro hoje.
Corrija esse problema atualizando as senhas dessas contas.
Monitorar este widget no futuro ajudará você a evitar contas sem senha.
Varonis iguala as probabilidades
No passado, o trabalho de recolha e análise das métricas descritas neste artigo demorava muitas horas e exigia um conhecimento profundo do PowerShell, exigindo que as equipas de segurança alocassem recursos para tais tarefas todas as semanas ou meses. Mas a coleta e o processamento manuais dessas informações dão aos invasores uma vantagem para se infiltrarem e roubarem dados.
С Você gastará um dia para implantar o painel do AD e componentes adicionais, coletar todas as vulnerabilidades discutidas e muito mais. Futuramente, durante a operação, o painel de monitoramento será atualizado automaticamente conforme o estado da infraestrutura mudar.
A realização de ataques cibernéticos é sempre uma corrida entre atacantes e defensores, o desejo do atacante de roubar dados antes que especialistas em segurança possam bloquear o acesso a eles. A detecção precoce de invasores e de suas atividades ilegais, aliada a fortes defesas cibernéticas, é a chave para manter seus dados seguros.
Fonte: habr.com