Tot ce are nevoie un atacator este timp și motivație pentru a pătrunde în rețeaua ta. Dar treaba noastră este să-l împiedicăm să facă asta, sau cel puțin să facem această sarcină cât mai dificilă. Trebuie să începeți prin a identifica punctele slabe din Active Directory (denumite în continuare AD) pe care un atacator le poate folosi pentru a obține acces și a se deplasa în rețea fără a fi detectat. Astăzi, în acest articol, vom analiza indicatorii de risc care reflectă vulnerabilitățile existente în apărarea cibernetică a organizației dvs., folosind tabloul de bord AD Varonis ca exemplu.
Atacatorii folosesc anumite configurații în domeniu
Atacatorii folosesc o varietate de tehnici și vulnerabilități inteligente pentru a pătrunde în rețelele corporative și pentru a escalada privilegiile. Unele dintre aceste vulnerabilități sunt setări de configurare a domeniului care pot fi modificate cu ușurință odată ce sunt identificate.
Tabloul de bord AD vă va avertiza imediat dacă dumneavoastră (sau administratorii dumneavoastră de sistem) nu ați schimbat parola KRBTGT în ultima lună sau dacă cineva s-a autentificat cu contul de administrator încorporat implicit. Aceste două conturi oferă acces nelimitat la rețeaua dvs.: atacatorii vor încerca să obțină acces la ele pentru a ocoli cu ușurință orice restricții privind privilegiile și permisiunile de acces. Și, ca rezultat, au acces la orice date care îi interesează.
Desigur, puteți descoperi singuri aceste vulnerabilități: de exemplu, setați un memento de calendar pentru a verifica sau a rula un script PowerShell pentru a colecta aceste informații.
Tabloul de bord Varonis este în curs de actualizare în mod automat pentru a oferi vizibilitate și analiză rapidă a valorilor cheie care evidențiază potențialele vulnerabilități, astfel încât să puteți lua măsuri imediate pentru a le rezolva.
3 indicatori cheie de risc la nivel de domeniu
Mai jos este o serie de widget-uri disponibile pe tabloul de bord Varonis, a căror utilizare va spori semnificativ protecția rețelei corporative și a infrastructurii IT în ansamblu.
1. Numărul de domenii pentru care parola contului Kerberos nu a fost modificată pentru o perioadă semnificativă de timp
Contul KRBTGT este un cont special în AD care semnează totul . Atacatorii care obțin acces la un controler de domeniu (DC) pot folosi acest cont pentru a crea , care le va oferi acces nelimitat la aproape orice sistem din rețeaua corporativă. Am întâlnit o situație în care, după obținerea cu succes a unui Tichet de Aur, un atacator a avut acces la rețeaua organizației timp de doi ani. Dacă parola contului KRBTGT din compania dumneavoastră nu a fost schimbată în ultimele patruzeci de zile, widget-ul vă va anunța despre acest lucru.
Patruzeci de zile este timp mai mult decât suficient pentru ca un atacator să obțină acces la rețea. Cu toate acestea, dacă aplicați și standardizați procesul de schimbare a acestei parole în mod regulat, va fi mult mai dificil pentru un atacator să pătrundă în rețeaua dvs. corporativă.
Amintiți-vă că, conform implementării de către Microsoft a protocolului Kerberos, trebuie KRBTGT.
În viitor, acest widget AD vă va reaminti când este timpul să schimbați din nou parola KRBTGT pentru toate domeniile din rețeaua dvs.
2. Numărul de domenii în care a fost utilizat recent contul de administrator încorporat
În conformitate cu — administratorilor de sistem li se oferă două conturi: primul este un cont pentru uz zilnic, iar al doilea este pentru munca administrativă planificată. Aceasta înseamnă că nimeni nu ar trebui să folosească contul implicit de administrator.
Contul de administrator încorporat este adesea folosit pentru a simplifica procesul de administrare a sistemului. Acest lucru poate deveni un obicei prost, ducând la hacking. Dacă acest lucru se întâmplă în organizația dvs., veți avea dificultăți în a face distincția între utilizarea corectă a acestui cont și acces potențial rău intenționat.
Dacă widget-ul arată altceva decât zero, atunci cineva nu lucrează corect cu conturile administrative. În acest caz, trebuie să luați măsuri pentru a corecta și a limita accesul la contul de administrator încorporat.
Odată ce ați atins o valoare widget de zero și administratorii de sistem nu mai folosesc acest cont pentru munca lor, atunci, în viitor, orice modificare a acestuia va indica un potențial atac cibernetic.
3. Numărul de domenii care nu au un grup de Utilizatori Protejați
Versiunile mai vechi de AD acceptau un tip de criptare slab - RC4. Hackerii au spart RC4 cu mulți ani în urmă, iar acum este o sarcină foarte trivială pentru un atacator să pirateze un cont care încă folosește RC4. Versiunea de Active Directory introdusă în Windows Server 2012 a introdus un nou tip de grup de utilizatori numit Grupul de utilizatori protejați. Oferă instrumente de securitate suplimentare și previne autentificarea utilizatorului folosind criptarea RC4.
Acest widget va demonstra dacă unui domeniu din organizație îi lipsește un astfel de grup, astfel încât să îl puteți remedia, de ex. activați un grup de utilizatori protejați și utilizați-l pentru a proteja infrastructura.
Ținte ușoare pentru atacatori
Conturile de utilizator sunt ținta numărul unu pentru atacatori, de la încercările inițiale de intruziune până la escaladarea continuă a privilegiilor și ascunderea activităților lor. Atacatorii caută ținte simple în rețeaua dvs. folosind comenzi de bază PowerShell care sunt adesea greu de detectat. Eliminați cât mai multe dintre aceste ținte ușoare din AD.
Atacatorii caută utilizatori cu parole care nu expiră (sau care nu au nevoie de parole), conturi de tehnologie care sunt administratori și conturi care utilizează criptarea RC4 moștenită.
Oricare dintre aceste conturi este fie banal de accesat, fie, în general, nu este monitorizat. Atacatorii pot prelua aceste conturi și pot circula liber în infrastructura dumneavoastră.
Odată ce atacatorii pătrund în perimetrul de securitate, probabil că vor avea acces la cel puțin un cont. Îi poți împiedica să obțină acces la date sensibile înainte ca atacul să fie detectat și conținut?
Tabloul de bord Varonis AD va indica conturile de utilizator vulnerabile, astfel încât să puteți depana problemele în mod proactiv. Cu cât este mai dificil să pătrunzi în rețeaua ta, cu atât șansele tale de a neutraliza un atacator sunt mai mari înainte ca acesta să provoace daune grave.
4 indicatori cheie de risc pentru conturile de utilizator
Mai jos sunt exemple de widget-uri de tablou de bord Varonis AD care evidențiază cele mai vulnerabile conturi de utilizator.
1. Numărul de utilizatori activi cu parole care nu expiră niciodată
Pentru orice atacator să obțină acces la un astfel de cont este întotdeauna un mare succes. Deoarece parola nu expiră niciodată, atacatorul are un punct de sprijin permanent în rețea, care poate fi apoi folosit sau deplasări în cadrul infrastructurii.
Atacatorii au liste cu milioane de combinații utilizator-parolă pe care le folosesc în atacurile de umplere a acreditărilor și probabilitatea este că
că combinația pentru utilizator cu parola „eternă” se află într-una dintre aceste liste, mult mai mare decât zero.
Conturile cu parole care nu expiră sunt ușor de gestionat, dar nu sunt sigure. Utilizați acest widget pentru a găsi toate conturile care au astfel de parole. Schimbați această setare și actualizați-vă parola.
Odată ce valoarea acestui widget este setată la zero, toate conturile noi create cu acea parolă vor apărea în tabloul de bord.
2. Numărul de conturi administrative cu SPN
SPN (Service Principal Name) este un identificator unic al unei instanțe de serviciu. Acest widget arată câte conturi de serviciu au drepturi complete de administrator. Valoarea de pe widget trebuie să fie zero. SPN cu drepturi administrative apare deoarece acordarea unor astfel de drepturi este convenabilă pentru furnizorii de software și administratorii de aplicații, dar prezintă un risc de securitate.
Acordarea drepturilor administrative contului de serviciu permite unui atacator să obțină acces deplin la un cont care nu este utilizat. Aceasta înseamnă că atacatorii care au acces la conturile SPN pot opera liber în infrastructură fără a avea activitățile monitorizate.
Puteți rezolva această problemă schimbând permisiunile pentru conturile de serviciu. Astfel de conturi ar trebui să fie supuse principiului cel mai mic privilegiu și să aibă doar accesul care este efectiv necesar pentru funcționarea lor.
Folosind acest widget, puteți detecta toate SPN-urile care au drepturi administrative, puteți elimina astfel de privilegii și apoi puteți monitoriza SPN-urile folosind același principiu al accesului cel mai puțin privilegiat.
Noul SPN care apare va fi afișat pe tabloul de bord și veți putea monitoriza acest proces.
3. Numărul de utilizatori care nu necesită pre-autentificare Kerberos
În mod ideal, Kerberos criptează biletul de autentificare utilizând criptarea AES-256, care rămâne de nedisturnat până în prezent.
Cu toate acestea, versiunile mai vechi de Kerberos foloseau criptarea RC4, care acum poate fi spartă în câteva minute. Acest widget arată ce conturi de utilizator folosesc încă RC4. Microsoft încă acceptă RC4 pentru compatibilitate cu versiunea anterioară, dar asta nu înseamnă că ar trebui să-l utilizați în AD.
Odată ce ați identificat astfel de conturi, trebuie să debifați caseta de selectare „nu necesită preautorizare Kerberos” din AD pentru a forța conturile să utilizeze o criptare mai sofisticată.
Descoperirea acestor conturi pe cont propriu, fără tabloul de bord Varonis AD, necesită mult timp. În realitate, a fi conștienți de toate conturile care sunt editate pentru a utiliza criptarea RC4 este o sarcină și mai dificilă.
Dacă valoarea de pe widget se modifică, aceasta poate indica activitate ilegală.
4. Numărul de utilizatori fără parolă
Atacatorii folosesc comenzile PowerShell de bază pentru a citi indicatorul „PASSWD_NOTREQD” din AD în proprietățile contului. Utilizarea acestui indicator indică faptul că nu există cerințe de parolă sau cerințe de complexitate.
Cât de ușor este să furi un cont cu o parolă simplă sau goală? Acum imaginați-vă că unul dintre aceste conturi este un administrator.
Ce se întâmplă dacă unul dintre miile de fișiere confidențiale deschise tuturor este un raport financiar viitor?
Ignorarea cerinței obligatorii a parolei este o altă comandă rapidă de administrare a sistemului care a fost adesea folosită în trecut, dar nu este nici acceptabilă, nici sigură astăzi.
Remediați această problemă actualizând parolele pentru aceste conturi.
Monitorizarea acestui widget în viitor vă va ajuta să evitați conturile fără parolă.
Varonis egalează cotele
În trecut, munca de colectare și analiză a valorilor descrise în acest articol a durat multe ore și a necesitat cunoștințe profunde despre PowerShell, necesitând echipelor de securitate să aloce resurse pentru astfel de sarcini în fiecare săptămână sau lună. Dar colectarea și procesarea manuală a acestor informații oferă atacatorilor un avans pentru a se infiltra și a fura date.
С Veți petrece o zi pentru a implementa tabloul de bord AD și componente suplimentare, pentru a colecta toate vulnerabilitățile discutate și multe altele. În viitor, în timpul funcționării, panoul de monitorizare va fi actualizat automat pe măsură ce starea infrastructurii se schimbă.
Efectuarea atacurilor cibernetice este întotdeauna o cursă între atacatori și apărători, dorința atacatorului de a fura date înainte ca specialiștii în securitate să poată bloca accesul la acestea. Detectarea din timp a atacatorilor și a activităților lor ilegale, împreună cu o apărare cibernetică puternică, este cheia pentru a vă păstra datele în siguranță.
Sursa: www.habr.com