Vse, kar napadalec potrebuje, je čas in motivacija, da vdre v vaše omrežje. Toda naša naloga je, da mu to preprečimo ali vsaj čim bolj otežimo to nalogo. Začeti morate z odkrivanjem slabosti v imeniku Active Directory (v nadaljevanju AD), ki jih lahko napadalec uporabi za dostop in premikanje po omrežju, ne da bi ga odkrili. Danes si bomo v tem članku ogledali kazalnike tveganja, ki odražajo obstoječe ranljivosti v kibernetski obrambi vaše organizacije, pri čemer bomo kot primer uporabili nadzorno ploščo AD Varonis.
Napadalci uporabljajo določene konfiguracije v domeni
Napadalci uporabljajo vrsto pametnih tehnik in ranljivosti, da prodrejo v omrežja podjetij in povečajo privilegije. Nekatere od teh ranljivosti so nastavitve konfiguracije domene, ki jih je mogoče enostavno spremeniti, ko so prepoznane.
Nadzorna plošča AD vas bo nemudoma opozorila, če vi (ali vaši sistemski skrbniki) v zadnjem mesecu niste spremenili gesla KRBTGT ali če se je nekdo overil s privzeto vgrajenim skrbniškim računom. Ta dva računa zagotavljata neomejen dostop do vašega omrežja: napadalci bodo poskušali pridobiti dostop do njiju, da bi zlahka obšli vse omejitve privilegijev in dovoljenj za dostop. In posledično dobijo dostop do vseh podatkov, ki jih zanimajo.
Seveda lahko te ranljivosti odkrijete sami: na primer nastavite koledarski opomnik za preverjanje ali zaženete skript PowerShell za zbiranje teh informacij.
Nadzorna plošča Varonis se posodablja samodejno za zagotavljanje hitre vidljivosti in analize ključnih meritev, ki poudarjajo potencialne ranljivosti, tako da lahko takoj ukrepate, da jih odpravite.
3 ključni indikatorji tveganja na ravni domene
Spodaj so na voljo številni pripomočki na nadzorni plošči Varonis, katerih uporaba bo znatno izboljšala zaščito omrežja podjetja in IT infrastrukture kot celote.
1. Število domen, za katere geslo računa Kerberos ni bilo spremenjeno dlje časa
Račun KRBTGT je poseben račun v AD, ki podpisuje vse . Napadalci, ki pridobijo dostop do krmilnika domene (DC), lahko uporabijo ta račun za ustvarjanje , ki jim bo omogočil neomejen dostop do skoraj vseh sistemov v omrežju podjetja. Naleteli smo na situacijo, ko je imel napadalec po uspešni pridobitvi zlate vstopnice dve leti dostop do omrežja organizacije. Če geslo računa KRBTGT v vašem podjetju ni bilo spremenjeno v zadnjih štiridesetih dneh, vas bo widget o tem obvestil.
Štirideset dni je več kot dovolj časa, da napadalec pridobi dostop do omrežja. Če pa uveljavite in standardizirate postopek rednega spreminjanja tega gesla, bo napadalcu veliko težje vdreti v vaše poslovno omrežje.
Ne pozabite, da morate glede na Microsoftovo implementacijo protokola Kerberos KRBTGT.
V prihodnosti vas bo ta pripomoček AD spomnil, ko bo čas, da ponovno spremenite geslo KRBTGT za vse domene v vašem omrežju.
2. Število domen, kjer je bil nedavno uporabljen vgrajeni skrbniški račun
Glede na — sistemskim administratorjem sta na voljo dva računa: prvi je račun za vsakodnevno uporabo, drugi pa za načrtovano administrativno delo. To pomeni, da nihče ne sme uporabljati privzetega skrbniškega računa.
Vgrajen skrbniški račun se pogosto uporablja za poenostavitev postopka skrbništva sistema. To lahko postane slaba navada, kar povzroči hekanje. Če se to zgodi v vaši organizaciji, boste imeli težave pri razlikovanju med pravilno uporabo tega računa in morebitnim zlonamernim dostopom.
Če pripomoček prikazuje kar koli drugega kot nič, potem nekdo ne deluje pravilno s skrbniškimi računi. V tem primeru morate ukrepati, da popravite in omejite dostop do vgrajenega skrbniškega računa.
Ko dosežete vrednost pripomočka nič in sistemski skrbniki ne bodo več uporabljali tega računa za svoje delo, bo v prihodnosti vsaka njegova sprememba kazala na potencialni kibernetski napad.
3. Število domen, ki nimajo skupine zaščitenih uporabnikov
Starejše različice AD so podpirale šibko vrsto šifriranja - RC4. Hekerji so vdrli v RC4 pred mnogimi leti, zdaj pa je za napadalca zelo nepomembna naloga vdreti v račun, ki še vedno uporablja RC4. Različica imenika Active Directory, predstavljena v sistemu Windows Server 2012, je uvedla novo vrsto skupine uporabnikov, imenovano skupina zaščitenih uporabnikov. Zagotavlja dodatna varnostna orodja in preprečuje avtentikacijo uporabnikov s šifriranjem RC4.
Ta pripomoček bo prikazal, če kateri koli domeni v organizaciji manjka takšna skupina, da jo lahko popravite, tj. omogoči skupino zaščitenih uporabnikov in jo uporabi za zaščito infrastrukture.
Lahke tarče za napadalce
Uporabniški računi so tarča številka ena za napadalce, od začetnih poskusov vdora do nadaljnjega stopnjevanja privilegijev in prikrivanja njihovih dejavnosti. Napadalci iščejo preproste tarče v vašem omrežju z uporabo osnovnih ukazov PowerShell, ki jih je pogosto težko odkriti. Odstranite čim več teh lahkih tarč iz AD.
Napadalci iščejo uporabnike z gesli, ki nikoli ne potečejo (ali ki ne potrebujejo gesel), tehnološke račune, ki so skrbniki, in račune, ki uporabljajo podedovano šifriranje RC4.
Do katerega koli od teh računov je dostop nepomemben ali pa se na splošno ne spremlja. Napadalci lahko prevzamejo te račune in se prosto gibljejo znotraj vaše infrastrukture.
Ko napadalci prodrejo v varnostno območje, bodo verjetno pridobili dostop do vsaj enega računa. Ali jim lahko preprečite dostop do občutljivih podatkov, preden je napad zaznan in omejen?
Nadzorna plošča Varonis AD bo pokazala na ranljive uporabniške račune, tako da lahko težave odpravite proaktivno. Težje kot je prodreti v vaše omrežje, boljše so vaše možnosti za nevtralizacijo napadalca, preden povzroči resno škodo.
4 ključni indikatorji tveganja za uporabniške račune
Spodaj so primeri gradnikov nadzorne plošče Varonis AD, ki poudarjajo najbolj ranljive uporabniške račune.
1. Število aktivnih uporabnikov z gesli, ki nikoli ne potečejo
Za vsakega napadalca je vedno velik uspeh pridobiti dostop do takega računa. Ker geslo nikoli ne poteče, ima napadalec trajno oporo v omrežju, ki ga lahko uporabi ali premiki znotraj infrastrukture.
Napadalci imajo sezname z milijoni kombinacij uporabniškega gesla, ki jih uporabljajo v napadih s polnjenjem poverilnic, in verjetno je, da
da je kombinacija za uporabnika z "večnim" geslom na enem od teh seznamov veliko večja od nič.
Račune z nepotečenimi gesli je enostavno upravljati, vendar niso varni. S tem pripomočkom poiščite vse račune, ki imajo taka gesla. Spremenite to nastavitev in posodobite geslo.
Ko je vrednost tega pripomočka nastavljena na nič, bodo vsi novi računi, ustvarjeni s tem geslom, prikazani na nadzorni plošči.
2. Število administrativnih računov z DPN
SPN (Service Principal Name) je edinstven identifikator primerka storitve. Ta pripomoček prikazuje, koliko računov storitev ima polne skrbniške pravice. Vrednost na pripomočku mora biti nič. SPN s skrbniškimi pravicami se pojavi, ker je podeljevanje takih pravic priročno za prodajalce programske opreme in skrbnike aplikacij, vendar predstavlja varnostno tveganje.
Če storitvenemu računu dodelite skrbniške pravice, lahko napadalec pridobi popoln dostop do računa, ki ni v uporabi. To pomeni, da lahko napadalci z dostopom do računov SPN svobodno delujejo znotraj infrastrukture, ne da bi bile njihove dejavnosti nadzorovane.
To težavo lahko rešite tako, da spremenite dovoljenja za storitvene račune. Za takšne račune bi moralo veljati načelo najmanjših privilegijev in imeti samo tisti dostop, ki je dejansko potreben za njihovo delovanje.
S tem gradnikom lahko zaznate vse SPN-je, ki imajo skrbniške pravice, odstranite takšne privilegije in nato nadzirate SPN-je po istem principu najmanj privilegiranega dostopa.
Novo prikazani SPN bo prikazan na nadzorni plošči in ta proces boste lahko spremljali.
3. Število uporabnikov, ki ne potrebujejo predhodne avtentikacije Kerberos
V idealnem primeru Kerberos šifrira vstopnico za preverjanje pristnosti s šifriranjem AES-256, ki je še danes nezlomljivo.
Vendar so starejše različice Kerberosa uporabljale šifriranje RC4, ki ga je zdaj mogoče razbiti v nekaj minutah. Ta gradnik prikazuje, kateri uporabniški računi še vedno uporabljajo RC4. Microsoft še vedno podpira RC4 za združljivost za nazaj, vendar to ne pomeni, da bi ga morali uporabljati v svojem oglasu.
Ko identificirate takšne račune, morate počistiti potrditveno polje »ne zahteva predhodne avtorizacije Kerberos« v AD, da račune prisilite k uporabi bolj zapletenega šifriranja.
Samostojno odkrivanje teh računov, brez nadzorne plošče Varonis AD, vzame veliko časa. V resnici je poznavanje vseh računov, ki so urejeni za uporabo šifriranja RC4, še težja naloga.
Če se vrednost v gradniku spremeni, to lahko pomeni nezakonito dejavnost.
4. Število uporabnikov brez gesla
Napadalci uporabljajo osnovne ukaze PowerShell za branje zastavice »PASSWD_NOTREQD« iz AD v lastnostih računa. Uporaba te zastavice pomeni, da ni zahtev glede gesla ali zahtev glede kompleksnosti.
Kako enostavno je ukrasti račun s preprostim ali praznim geslom? Zdaj pa si predstavljajte, da je eden od teh računov skrbniški.
Kaj pa, če je ena od tisočih zaupnih datotek, ki so odprte vsem, prihajajoče finančno poročilo?
Ignoriranje obvezne zahteve po geslu je še ena bližnjica sistemske administracije, ki se je pogosto uporabljala v preteklosti, danes pa ni niti sprejemljiva niti varna.
Odpravite to težavo tako, da posodobite gesla za te račune.
Spremljanje tega pripomočka v prihodnosti vam bo pomagalo preprečiti račune brez gesla.
Varonis izenači kvote
V preteklosti je zbiranje in analiziranje metrik, opisanih v tem članku, trajalo veliko ur in je zahtevalo poglobljeno poznavanje lupine PowerShell, zaradi česar so varnostne ekipe morale vsak teden ali mesec dodeliti vire takšnim nalogam. Toda ročno zbiranje in obdelava teh informacij daje napadalcem prednost pri infiltraciji in kraji podatkov.
С En dan boste porabili za namestitev nadzorne plošče AD in dodatnih komponent, zbiranje vseh obravnavanih ranljivosti in še veliko več. V prihodnosti se bo nadzorna plošča med delovanjem samodejno posodabljala, ko se spremeni stanje infrastrukture.
Izvajanje kibernetskih napadov je vedno tekma med napadalci in branilci, napadalčeva želja po ukrasti podatkov, preden lahko varnostni strokovnjaki blokirajo dostop do njih. Zgodnje odkrivanje napadalcev in njihovih nezakonitih dejavnosti, skupaj z močno kibernetsko obrambo, je ključ do varovanja vaših podatkov.
Vir: www.habr.com