Jediné, čo útočník potrebuje, je čas a motivácia preniknúť do vašej siete. Ale našou úlohou je mu v tom zabrániť, alebo mu túto úlohu aspoň čo najviac sťažiť. Musíte začať identifikáciou slabín v Active Directory (ďalej len AD), ktoré môže útočník použiť na získanie prístupu a pohyb po sieti bez toho, aby bol odhalený. Dnes sa v tomto článku pozrieme na indikátory rizika, ktoré odrážajú existujúce zraniteľné miesta v kybernetickej obrane vašej organizácie, pričom ako príklad použijeme informačný panel AD Varonis.
Útočníci používajú určité konfigurácie v doméne
Útočníci využívajú množstvo šikovných techník a zraniteľností, aby prenikli do podnikových sietí a eskalovali privilégiá. Niektoré z týchto zraniteľností sú nastavenia konfigurácie domény, ktoré je možné po identifikácii jednoducho zmeniť.
Panel AD vás okamžite upozorní, ak ste vy (alebo vaši správcovia systému) nezmenili heslo KRBTGT za posledný mesiac alebo ak sa niekto overil pomocou predvoleného vstavaného účtu správcu. Tieto dva účty poskytujú neobmedzený prístup k vašej sieti: útočníci sa k nim pokúsia získať prístup, aby jednoducho obišli akékoľvek obmedzenia v privilégiách a prístupových povoleniach. A vďaka tomu získajú prístup ku všetkým údajom, ktoré ich zaujímajú.
Samozrejme, tieto zraniteľnosti môžete objaviť aj sami: môžete si napríklad nastaviť pripomienku kalendára na kontrolu alebo spustiť skript PowerShell na zhromažďovanie týchto informácií.
Dashboard Varonis sa aktualizuje automaticky poskytnúť rýchlu viditeľnosť a analýzu kľúčových metrík, ktoré poukazujú na potenciálne zraniteľné miesta, aby ste mohli okamžite podniknúť kroky na ich odstránenie.
3 kľúčové ukazovatele rizika na úrovni domény
Nižšie uvádzame množstvo miniaplikácií dostupných na dashboarde Varonis, ktorých použitie výrazne zvýši ochranu podnikovej siete a IT infraštruktúry ako celku.
1. Počet domén, pre ktoré nebolo zmenené heslo účtu Kerberos počas významného časového obdobia
Účet KRBTGT je špeciálny účet v AD, ktorý všetko podpisuje . Útočníci, ktorí získajú prístup k radiču domény (DC), môžu použiť tento účet na vytvorenie , čo im umožní neobmedzený prístup k takmer akémukoľvek systému v podnikovej sieti. Stretli sme sa so situáciou, keď po úspešnom získaní Zlatého lístka mal útočník dva roky prístup do siete organizácie. Ak heslo účtu KRBTGT vo vašej spoločnosti nebolo zmenené za posledných štyridsať dní, widget vás na to upozorní.
Štyridsať dní je viac ako dosť času na to, aby útočník získal prístup do siete. Ak však budete pravidelne presadzovať a štandardizovať proces zmeny tohto hesla, útočníkom to značne sťaží prienik do vašej firemnej siete.
Pamätajte, že podľa implementácie protokolu Kerberos od spoločnosti Microsoft musíte KRBTGT.
V budúcnosti vám tento widget AD pripomenie, kedy je čas znova zmeniť heslo KRBTGT pre všetky domény vo vašej sieti.
2. Počet domén, v ktorých bol nedávno použitý vstavaný účet správcu
Podľa — správcovia systému majú k dispozícii dva účty: prvý je účet na každodenné použitie a druhý je určený na plánovanú administratívnu prácu. To znamená, že nikto by nemal používať predvolený účet správcu.
Vstavaný účet správcu sa často používa na zjednodušenie procesu správy systému. Môže sa to stať zlým zvykom, ktorý má za následok hackovanie. Ak sa to stane vo vašej organizácii, budete mať problém rozlíšiť medzi správnym používaním tohto účtu a potenciálne škodlivým prístupom.
Ak miniaplikácia zobrazuje niečo iné ako nulu, potom niekto nepracuje správne s administratívnymi účtami. V takom prípade musíte podniknúť kroky na opravu a obmedzenie prístupu k vstavanému správcovskému účtu.
Keď dosiahnete hodnotu widgetu nula a správcovia systému už nebudú používať tento účet na svoju prácu, v budúcnosti bude akákoľvek jeho zmena znamenať potenciálny kybernetický útok.
3. Počet domén, ktoré nemajú skupinu chránených používateľov
Staršie verzie AD podporovali slabý typ šifrovania – RC4. Hackeri hackli RC4 pred mnohými rokmi a teraz je pre útočníka veľmi triviálna úloha hacknúť účet, ktorý stále používa RC4. Verzia Active Directory predstavená v systéme Windows Server 2012 zaviedla nový typ skupiny používateľov s názvom Skupina chránených používateľov. Poskytuje dodatočné bezpečnostné nástroje a zabraňuje overeniu používateľa pomocou šifrovania RC4.
Tento widget predvedie, či nejakej doméne v organizácii chýba takáto skupina, aby ste to mohli opraviť, t.j. umožniť skupine chránených používateľov a použiť ju na ochranu infraštruktúry.
Ľahké ciele pre útočníkov
Používateľské účty sú pre útočníkov cieľom číslo jedna, od počiatočných pokusov o narušenie až po pokračujúcu eskaláciu privilégií a utajovanie ich aktivít. Útočníci hľadajú vo vašej sieti jednoduché ciele pomocou základných príkazov PowerShell, ktoré je často ťažké odhaliť. Odstráňte čo najviac týchto ľahkých cieľov z AD.
Útočníci hľadajú používateľov s nikdy nekončiacimi heslami (alebo ktorí heslá nevyžadujú), technologickými účtami, ktorí sú administrátormi, a účtami, ktoré používajú staršie šifrovanie RC4.
Prístup ku ktorémukoľvek z týchto účtov je buď triviálny, alebo sa vo všeobecnosti nemonitoruje. Útočníci môžu prevziať tieto účty a voľne sa pohybovať v rámci vašej infraštruktúry.
Keď útočníci preniknú do bezpečnostného perimetra, pravdepodobne získajú prístup aspoň k jednému účtu. Môžete im zabrániť v získaní prístupu k citlivým údajom skôr, ako bude útok zistený a zadržaný?
Ovládací panel Varonis AD upozorní na zraniteľné používateľské účty, aby ste mohli proaktívne riešiť problémy. Čím ťažšie je preniknúť do vašej siete, tým máte väčšiu šancu zneškodniť útočníka skôr, ako spôsobí vážne škody.
4 kľúčové indikátory rizika pre používateľské účty
Nižšie sú uvedené príklady miniaplikácií ovládacieho panela Varonis AD, ktoré zvýrazňujú najzraniteľnejšie používateľské účty.
1. Počet aktívnych používateľov s heslami, ktorých platnosť nikdy nevyprší
Pre každého útočníka je získanie prístupu k takémuto účtu vždy veľkým úspechom. Keďže platnosť hesla nikdy nevyprší, útočník má stálu oporu v sieti, na ktorú môže byť následne použitý alebo pohyby v rámci infraštruktúry.
Útočníci majú zoznamy miliónov kombinácií používateľských hesiel, ktoré používajú pri útokoch na plnenie poverení, a je pravdepodobné, že
že kombinácia pre používateľa s „večným“ heslom je v jednom z týchto zoznamov oveľa väčšia ako nula.
Účty s heslami, ktoré nekončia platnosť, sa dajú ľahko spravovať, no nie sú bezpečné. Pomocou tohto widgetu nájdete všetky účty, ktoré majú takéto heslá. Zmeňte toto nastavenie a aktualizujte svoje heslo.
Keď je hodnota tejto miniaplikácie nastavená na nulu, všetky nové účty vytvorené s týmto heslom sa zobrazia na informačnom paneli.
2. Počet správcovských účtov s SPN
SPN (Service Principal Name) je jedinečný identifikátor inštancie služby. Tento widget zobrazuje, koľko servisných účtov má úplné administrátorské práva. Hodnota na miniaplikácii musí byť nula. SPN s právami správcu sa vyskytuje, pretože udelenie takýchto práv je pohodlné pre predajcov softvéru a správcov aplikácií, ale predstavuje bezpečnostné riziko.
Udelenie práv správcu účtu služby umožňuje útočníkovi získať úplný prístup k účtu, ktorý sa nepoužíva. To znamená, že útočníci s prístupom k účtom SPN môžu voľne operovať v rámci infraštruktúry bez toho, aby boli ich aktivity monitorované.
Tento problém môžete vyriešiť zmenou povolení pre servisné účty. Takéto účty by mali podliehať zásade najmenšieho privilégia a mali by mať iba taký prístup, ktorý je skutočne potrebný na ich prevádzku.
Pomocou tohto widgetu môžete zistiť všetky SPN, ktoré majú administrátorské práva, odstrániť takéto privilégiá a potom monitorovať SPN pomocou rovnakého princípu najmenej privilegovaného prístupu.
Novo sa objavujúce SPN sa zobrazí na prístrojovej doske a tento proces budete môcť sledovať.
3. Počet používateľov, ktorí nevyžadujú predbežnú autentifikáciu Kerberos
V ideálnom prípade Kerberos zašifruje overovací lístok pomocou šifrovania AES-256, ktoré je dodnes neprelomiteľné.
Staršie verzie protokolu Kerberos však používali šifrovanie RC4, ktoré je teraz možné prelomiť v priebehu niekoľkých minút. Tento widget zobrazuje, ktoré používateľské účty stále používajú RC4. Microsoft stále podporuje RC4 kvôli spätnej kompatibilite, ale to neznamená, že by ste ho mali používať vo svojom AD.
Keď identifikujete takéto účty, musíte zrušiť začiarknutie políčka „nevyžaduje predbežnú autorizáciu Kerberos“ v AD, aby ste prinútili účty používať zložitejšie šifrovanie.
Objavovanie týchto účtov na vlastnú päsť, bez ovládacieho panela Varonis AD, zaberie veľa času. V skutočnosti je informovanie o všetkých účtoch, ktoré sú upravené na používanie šifrovania RC4, ešte ťažšia úloha.
Ak sa hodnota na miniaplikácii zmení, môže to znamenať nezákonnú aktivitu.
4. Počet používateľov bez hesla
Útočníci používajú základné príkazy PowerShellu na čítanie príznaku „PASSWD_NOTREQD“ z AD vo vlastnostiach účtu. Použitie tohto príznaku znamená, že neexistujú žiadne požiadavky na heslo ani požiadavky na zložitosť.
Aké ľahké je ukradnúť účet pomocou jednoduchého alebo prázdneho hesla? Teraz si predstavte, že jeden z týchto účtov je správca.
Čo ak jedným z tisícov dôverných súborov otvorených pre každého je pripravovaná finančná správa?
Ignorovanie povinného hesla je ďalšou skratkou správy systému, ktorá sa v minulosti často používala, ale dnes nie je prijateľná ani bezpečná.
Vyriešte tento problém aktualizáciou hesiel pre tieto účty.
Sledovanie tohto widgetu v budúcnosti vám pomôže vyhnúť sa účtom bez hesla.
Varonis vyrovná šance
V minulosti práca zhromažďovania a analýzy metrík opísaných v tomto článku trvala veľa hodín a vyžadovala si hlboké znalosti prostredia PowerShell, čo si vyžadovalo, aby bezpečnostné tímy prideľovali zdroje na takéto úlohy každý týždeň alebo mesiac. Manuálny zber a spracovanie týchto informácií však dáva útočníkom náskok pri infiltrácii a krádeži údajov.
С Jeden deň strávite nasadením riadiacej dosky AD a ďalších komponentov, zhromaždením všetkých diskutovaných zraniteľností a mnohých ďalších. V budúcnosti, počas prevádzky, sa monitorovací panel bude automaticky aktualizovať podľa zmeny stavu infraštruktúry.
Vykonávanie kybernetických útokov je vždy pretekanie medzi útočníkmi a obrancami, túžba útočníka ukradnúť údaje skôr, ako k nim môžu bezpečnostní špecialisti zablokovať prístup. Včasné odhalenie útočníkov a ich nelegálnych aktivít spolu so silnou kybernetickou obranou je kľúčom k udržaniu vašich údajov v bezpečí.
Zdroj: hab.com