Gjithçka që i nevojitet një sulmuesi është kohë dhe motivim për të hyrë në rrjetin tuaj. Por detyra jonë është ta pengojmë atë ta bëjë këtë, ose të paktën ta bëjmë këtë detyrë sa më të vështirë. Ju duhet të filloni duke identifikuar dobësitë në Active Directory (në tekstin e mëtejmë referuar si AD) që një sulmues mund të përdorë për të fituar akses dhe për të lëvizur nëpër rrjet pa u zbuluar. Sot në këtë artikull do të shikojmë treguesit e rrezikut që pasqyrojnë dobësitë ekzistuese në mbrojtjen kibernetike të organizatës suaj, duke përdorur si shembull pultin e AD Varonis.
Sulmuesit përdorin konfigurime të caktuara në domen
Sulmuesit përdorin një sërë teknikash dhe dobësish të zgjuara për të depërtuar në rrjetet e korporatave dhe për të përshkallëzuar privilegjet. Disa nga këto dobësi janë cilësimet e konfigurimit të domenit që mund të ndryshohen lehtësisht pasi të identifikohen.
Paneli i AD do t'ju njoftojë menjëherë nëse ju (ose administratorët e sistemit tuaj) nuk e keni ndryshuar fjalëkalimin e KRBTGT në muajin e fundit, ose nëse dikush ka vërtetuar me llogarinë e integruar të parazgjedhur të Administratorit. Këto dy llogari ofrojnë akses të pakufizuar në rrjetin tuaj: sulmuesit do të përpiqen të kenë akses në to për të anashkaluar lehtësisht çdo kufizim në privilegje dhe leje aksesi. Dhe, si rezultat, ata marrin akses në çdo të dhënë që i intereson.
Sigurisht, ju mund t'i zbuloni vetë këto dobësi: për shembull, vendosni një kujtesë kalendarike për të kontrolluar ose ekzekutuar një skript PowerShell për të mbledhur këtë informacion.
Paneli i Varonis po përditësohet automatikisht për të ofruar shikueshmëri dhe analizë të shpejtë të matjeve kryesore që nxjerrin në pah dobësitë e mundshme në mënyrë që të mund të ndërmerrni veprime të menjëhershme për t'i trajtuar ato.
3 Treguesit kryesorë të rrezikut të nivelit të domenit
Më poshtë është një numër miniaplikacionesh të disponueshme në pultin e Varonis, përdorimi i të cilave do të rrisë ndjeshëm mbrojtjen e rrjetit të korporatës dhe infrastrukturës së TI-së në tërësi.
1. Numri i domeneve për të cilët fjalëkalimi i llogarisë Kerberos nuk është ndryshuar për një periudhë të konsiderueshme kohore
Llogaria KRBTGT është një llogari e veçantë në AD që nënshkruan gjithçka . Sulmuesit që fitojnë akses në një kontrollues domeni (DC) mund ta përdorin këtë llogari për të krijuar , e cila do t'u japë atyre akses të pakufizuar në pothuajse çdo sistem në rrjetin e korporatës. Ne hasëm në një situatë ku, pas marrjes me sukses të një bilete të artë, një sulmues kishte akses në rrjetin e organizatës për dy vjet. Nëse fjalëkalimi i llogarisë KRBTGT në kompaninë tuaj nuk është ndryshuar në dyzet ditët e fundit, miniaplikacioni do t'ju njoftojë për këtë.
Dyzet ditë është më shumë se koha e mjaftueshme që një sulmues të ketë akses në rrjet. Megjithatë, nëse e zbatoni dhe standardizoni procesin e ndryshimit të këtij fjalëkalimi në baza të rregullta, do ta bëjë shumë më të vështirë për një sulmues të depërtojë në rrjetin tuaj të korporatës.
Mos harroni se sipas zbatimit të protokollit Kerberos nga Microsoft, ju duhet KRBTGT.
Në të ardhmen, ky miniaplikacion AD do t'ju kujtojë se kur është koha për të ndryshuar përsëri fjalëkalimin e KRBTGT për të gjitha domenet në rrjetin tuaj.
2. Numri i domeneve ku është përdorur kohët e fundit llogaria e integruar e Administratorit
Sipas — Administratorët e sistemit pajisen me dy llogari: e para është një llogari për përdorim të përditshëm dhe e dyta është për punë të planifikuar administrative. Kjo do të thotë që askush nuk duhet të përdorë llogarinë e parazgjedhur të administratorit.
Llogaria e integruar e administratorit përdoret shpesh për të thjeshtuar procesin e administrimit të sistemit. Kjo mund të bëhet një zakon i keq, duke rezultuar në hakerim. Nëse kjo ndodh në organizatën tuaj, do të keni vështirësi të dalloni midis përdorimit të duhur të kësaj llogarie dhe aksesit potencialisht keqdashës.
Nëse miniaplikacioni tregon diçka tjetër përveç zeros, atëherë dikush nuk po punon siç duhet me llogaritë administrative. Në këtë rast, duhet të ndërmerrni hapa për të korrigjuar dhe kufizuar aksesin në llogarinë e integruar të administratorit.
Pasi të keni arritur një vlerë miniaplikacioni zero dhe administratorët e sistemit nuk e përdorin më këtë llogari për punën e tyre, atëherë në të ardhmen, çdo ndryshim në të do të tregojë një sulm të mundshëm kibernetik.
3. Numri i domeneve që nuk kanë një grup përdoruesish të mbrojtur
Versionet më të vjetra të AD mbështetën një lloj të dobët të kriptimit - RC4. Hakerët kanë hakuar RC4 shumë vite më parë, dhe tani është një detyrë shumë e parëndësishme për një sulmues të hakojë një llogari që ende përdor RC4. Versioni i Active Directory i prezantuar në Windows Server 2012 prezantoi një lloj të ri grupi përdoruesish të quajtur Grupi i përdoruesve të mbrojtur. Ai siguron mjete shtesë sigurie dhe parandalon vërtetimin e përdoruesit duke përdorur enkriptimin RC4.
Ky miniaplikacion do të demonstrojë nëse ndonjë domeni në organizatë i mungon një grup i tillë në mënyrë që ta rregulloni atë, d.m.th. aktivizoni një grup përdoruesish të mbrojtur dhe përdorni atë për të mbrojtur infrastrukturën.
Objektiva të lehtë për sulmuesit
Llogaritë e përdoruesve janë objektivi numër një për sulmuesit, nga përpjekjet fillestare të ndërhyrjes deri te përshkallëzimi i vazhdueshëm i privilegjeve dhe fshehja e aktiviteteve të tyre. Sulmuesit kërkojnë objektiva të thjeshta në rrjetin tuaj duke përdorur komandat bazë të PowerShell që shpesh janë të vështira për t'u zbuluar. Hiqni sa më shumë nga këto objektiva të lehta nga AD sa të jetë e mundur.
Sulmuesit po kërkojnë përdorues me fjalëkalime që nuk skadojnë kurrë (ose që nuk kërkojnë fjalëkalime), llogari teknologjie që janë administratorë dhe llogari që përdorin enkriptimin e vjetër RC4.
Secila prej këtyre llogarive është ose e parëndësishme për t'u aksesuar ose në përgjithësi nuk monitorohet. Sulmuesit mund t'i marrin këto llogari dhe të lëvizin lirshëm brenda infrastrukturës suaj.
Sapo sulmuesit të depërtojnë në perimetrin e sigurisë, ata ka të ngjarë të kenë akses në të paktën një llogari. A mund t'i ndaloni ata që të kenë akses në të dhëna të ndjeshme përpara se sulmi të zbulohet dhe të përmbahet?
Paneli i Varonis AD do të tregojë llogaritë e cenueshme të përdoruesve në mënyrë që të mund të zgjidhni problemet në mënyrë proaktive. Sa më e vështirë të jetë depërtimi në rrjetin tuaj, aq më të mira janë shanset tuaja për të neutralizuar një sulmues përpara se të shkaktojnë dëme serioze.
4 Treguesit kryesorë të rrezikut për llogaritë e përdoruesve
Më poshtë janë shembuj të miniaplikacioneve të pultit të Varonis AD që nxjerrin në pah llogaritë e përdoruesve më të cenueshëm.
1. Numri i përdoruesve aktivë me fjalëkalime që nuk skadojnë kurrë
Për çdo sulmues që të ketë akses në një llogari të tillë është gjithmonë një sukses i madh. Meqenëse fjalëkalimi nuk skadon kurrë, sulmuesi ka një bazë të përhershme brenda rrjetit, i cili më pas mund të përdoret apo lëvizjet brenda infrastrukturës.
Sulmuesit kanë lista me miliona kombinime të fjalëkalimeve të përdoruesve që ata përdorin në sulmet e mbushjes së kredencialeve, dhe gjasat janë që
se kombinimi për përdoruesin me fjalëkalimin “e përjetshëm” është në një nga këto lista, shumë më i madh se zero.
Llogaritë me fjalëkalime që nuk skadojnë janë të lehta për t'u menaxhuar, por ato nuk janë të sigurta. Përdorni këtë miniaplikacion për të gjetur të gjitha llogaritë që kanë fjalëkalime të tilla. Ndrysho këtë cilësim dhe përditëso fjalëkalimin tënd.
Pasi vlera e kësaj miniaplikacioni të vendoset në zero, çdo llogari e re e krijuar me atë fjalëkalim do të shfaqet në panelin e kontrollit.
2. Numri i llogarive administrative me SPN
SPN (Emri kryesor i shërbimit) është një identifikues unik i një shembulli shërbimi. Ky miniaplikacion tregon se sa llogari shërbimesh kanë të drejta të plota administratori. Vlera në widget duhet të jetë zero. SPN me të drejta administrative ndodh sepse dhënia e të drejtave të tilla është e përshtatshme për shitësit e programeve kompjuterike dhe administratorët e aplikacioneve, por paraqet një rrezik sigurie.
Dhënia e të drejtave administrative të llogarisë së shërbimit i lejon një sulmuesi të fitojë akses të plotë në një llogari që nuk është në përdorim. Kjo do të thotë që sulmuesit me qasje në llogaritë SPN mund të operojnë lirshëm brenda infrastrukturës pa monitoruar aktivitetet e tyre.
Ju mund ta zgjidhni këtë problem duke ndryshuar lejet në llogaritë e shërbimit. Llogari të tilla duhet t'i nënshtrohen parimit të privilegjit më të vogël dhe të kenë vetëm aksesin që është realisht i nevojshëm për funksionimin e tyre.
Duke përdorur këtë miniaplikacion, mund të zbuloni të gjitha SPN-të që kanë të drejta administrative, të hiqni privilegje të tilla dhe më pas të monitoroni SPN-të duke përdorur të njëjtin parim të aksesit më pak të privilegjuar.
SPN-ja e sapo shfaqur do të shfaqet në panelin e kontrollit dhe ju do të jeni në gjendje ta monitoroni këtë proces.
3. Numri i përdoruesve që nuk kërkojnë vërtetimin paraprak të Kerberos
Në mënyrë ideale, Kerberos kodon biletën e vërtetimit duke përdorur enkriptimin AES-256, i cili mbetet i pathyeshëm edhe sot e kësaj dite.
Sidoqoftë, versionet më të vjetra të Kerberos përdorën kriptim RC4, i cili tani mund të prishet brenda disa minutash. Ky miniaplikacion tregon se cilat llogari përdoruesish përdorin ende RC4. Microsoft ende mbështet RC4 për pajtueshmërinë e pasme, por kjo nuk do të thotë që ju duhet ta përdorni atë në AD tuaj.
Pasi të keni identifikuar llogari të tilla, duhet të zgjidhni kutinë "nuk kërkon paraautorizimin e Kerberos" në AD për t'i detyruar llogaritë të përdorin enkriptim më të sofistikuar.
Zbulimi i këtyre llogarive vetë, pa pultin e Varonis AD, kërkon shumë kohë. Në realitet, të qenit i vetëdijshëm për të gjitha llogaritë që janë modifikuar për të përdorur enkriptimin RC4 është një detyrë edhe më e vështirë.
Nëse vlera në miniaplikacion ndryshon, kjo mund të tregojë aktivitet të paligjshëm.
4. Numri i përdoruesve pa fjalëkalim
Sulmuesit përdorin komandat bazë të PowerShell për të lexuar flamurin "PASSWD_NOTREQD" nga AD në vetitë e llogarisë. Përdorimi i këtij flamuri tregon se nuk ka kërkesa për fjalëkalim ose kërkesa kompleksiteti.
Sa e lehtë është të vjedhësh një llogari me një fjalëkalim të thjeshtë apo të zbrazët? Tani imagjinoni që një nga këto llogari është një administrator.
Po sikur një nga mijëra dosjet konfidenciale të hapura për të gjithë të jetë një raport financiar i ardhshëm?
Injorimi i kërkesës së detyrueshme të fjalëkalimit është një tjetër shkurtore e administrimit të sistemit që është përdorur shpesh në të kaluarën, por nuk është as e pranueshme dhe as e sigurt sot.
Rregulloni këtë problem duke përditësuar fjalëkalimet për këto llogari.
Monitorimi i këtij miniaplikacioni në të ardhmen do t'ju ndihmojë të shmangni llogaritë pa fjalëkalim.
Varonis barazon shanset
Në të kaluarën, puna për mbledhjen dhe analizimin e matjeve të përshkruara në këtë artikull zgjati shumë orë dhe kërkonte njohuri të thella të PowerShell, duke kërkuar që ekipet e sigurisë të shpërndanin burime për detyra të tilla çdo javë ose muaj. Por mbledhja dhe përpunimi manual i këtij informacioni u jep sulmuesve një fillim të mirë për të depërtuar dhe vjedhur të dhëna.
С Do të kaloni një ditë për të vendosur pultin e AD dhe komponentët shtesë, për të mbledhur të gjitha dobësitë e diskutuara dhe shumë të tjera. Në të ardhmen, gjatë funksionimit, paneli i monitorimit do të përditësohet automatikisht me ndryshimin e gjendjes së infrastrukturës.
Kryerja e sulmeve kibernetike është gjithmonë një garë midis sulmuesve dhe mbrojtësve, dëshira e sulmuesit për të vjedhur të dhëna përpara se specialistët e sigurisë të bllokojnë aksesin në to. Zbulimi i hershëm i sulmuesve dhe aktiviteteve të tyre të paligjshme, së bashku me mbrojtje të fortë kibernetike, është çelësi për t'i mbajtur të dhënat tuaja të sigurta.
Burimi: www.habr.com