Sadaya anu dipikabutuh ku panyerang nyaéta waktos sareng motivasi pikeun ngarobih kana jaringan anjeun. Tapi tugas urang nyaéta pikeun nyegah anjeunna ngalakukeun ieu, atanapi sahenteuna ngajantenkeun tugas ieu sesah mungkin. Anjeun kedah ngamimitian ku ngaidentipikasi kalemahan dina Active Directory (saterusna disebut AD) anu tiasa dianggo ku panyerang pikeun aksés sareng ngalih kana jaringan tanpa dideteksi. Dinten dina tulisan ieu urang bakal ningali indikator résiko anu ngagambarkeun kerentanan anu aya dina pertahanan cyber organisasi anjeun, nganggo dasbor AD Varonis salaku conto.
Panyerang ngagunakeun konfigurasi tangtu dina domain
Panyerang ngagunakeun rupa-rupa téknik pinter sareng kerentanan pikeun nembus jaringan perusahaan sareng ningkatkeun hak husus. Sababaraha kerentanan ieu mangrupikeun setélan konfigurasi domain anu tiasa gampang dirobih saatos diidentifikasi.
Dasbor AD bakal langsung ngingetkeun anjeun upami anjeun (atanapi pangurus sistem anjeun) henteu ngarobih sandi KRBTGT dina sasih bulan, atanapi upami aya anu parantos dioténtikasi sareng akun Administrator anu diwangun standar. Dua akun ieu nyayogikeun aksés anu henteu terbatas ka jaringan anjeun: panyerang bakal nyobian kéngingkeun aksés ka aranjeunna pikeun gampang ngalangkungan larangan naon waé dina hak husus sareng idin aksés. Sareng, salaku hasilna, aranjeunna nampi aksés kana data naon waé anu dipikaresep ku aranjeunna.
Tangtosna, anjeun tiasa mendakan kerentanan ieu nyalira: contona, setel panginget kalénder pikeun mariksa atanapi ngajalankeun skrip PowerShell pikeun ngumpulkeun inpormasi ieu.
Dashboard Varonis keur diropéa автоматически pikeun masihan pisibilitas gancang sareng analisa métrik konci anu nyorot kerentanan poténsial ku kituna anjeun tiasa nyandak tindakan langsung pikeun ngarengsekeunana.
3 Konci Domain Level Indikator Risk
Di handap ieu aya sababaraha widget anu aya dina dasbor Varonis, anu dianggo sacara signifikan bakal ningkatkeun panyalindungan jaringan perusahaan sareng infrastruktur IT sacara gembleng.
1. Jumlah domain nu sandi akun Kerberos teu robah pikeun periode signifikan waktu
Akun KRBTGT mangrupikeun akun khusus dina AD anu nandaan sadayana . Panyerang anu meunang aksés ka controller domain (DC) bisa make akun ieu nyieun , anu bakal masihan aranjeunna aksés anu henteu terbatas ka ampir sadaya sistem dina jaringan perusahaan. Kami mendakan kaayaan dimana, saatos suksés kéngingkeun Tiket Emas, panyerang ngagaduhan aksés kana jaringan organisasi salami dua taun. Upami kecap akses akun KRBTGT di perusahaan anjeun henteu acan dirobih dina opat puluh dinten ka pengker, widget bakal ngabéjaan anjeun ngeunaan ieu.
Opat puluh poé téh leuwih ti cukup waktu pikeun panyerang meunang aksés ka jaringan. Nanging, upami anjeun ngalaksanakeun sareng ngabakukeun prosés ngarobih kecap konci ieu sacara rutin, éta bakal langkung hésé pikeun panyerang pikeun ngarobih kana jaringan perusahaan anjeun.
Émut yén numutkeun palaksanaan protokol Kerberos Microsoft, anjeun kedah KRBTGT.
Ka hareupna, widget AD ieu bakal ngingetkeun anjeun iraha waktuna pikeun ngarobah sandi KRBTGT deui pikeun sadaya domain dina jaringan anjeun.
2. Jumlah domain dimana diwangun-di akun Administrator ieu nembe dipake
nurutkeun — Administrator sistem disayogikeun ku dua akun: anu kahiji nyaéta akun pikeun dianggo sapopoé, sareng anu kadua pikeun padamelan administrasi anu direncanakeun. Ieu ngandung harti yén teu aya anu kedah nganggo akun administrator standar.
Akun administrator anu diwangun sering dianggo pikeun nyederhanakeun prosés administrasi sistem. Ieu bisa jadi kabiasaan goréng, hasilna Hacking. Upami ieu kajantenan dina organisasi anjeun, anjeun bakal sesah ngabédakeun antara panggunaan akun ieu anu leres sareng aksés anu berpotensi jahat.
Lamun widget nembongkeun nanaon lian ti nol, mangka batur teu jalan bener jeung akun administrasi. Dina hal ieu, anjeun kedah nyandak léngkah-léngkah pikeun ngabenerkeun sareng ngawatesan aksés ka akun administrator anu diwangun.
Sakali anjeun parantos ngahontal nilai widget nol sareng pangurus sistem henteu deui nganggo akun ieu pikeun padamelan na, teras ka hareupna, parobahan naon waé bakal nunjukkeun kamungkinan serangan cyber.
3. Jumlah domain nu teu boga grup pamaké ditangtayungan
Vérsi AD heubeul ngarojong tipe enkripsi lemah - RC4. Peretas hacked RC4 sababaraha taun ka pengker, tur ayeuna éta tugas pisan trivial pikeun panyerang hack hiji akun nu masih ngagunakeun RC4. Versi Active Directory anu diwanohkeun dina Windows Server 2012 ngenalkeun jinis grup pangguna énggal anu disebut Grup Pamaké Dilindungan. Éta nyayogikeun alat kaamanan tambahan sareng nyegah auténtikasi pangguna nganggo enkripsi RC4.
Widget ieu bakal nunjukkeun upami aya domain dina organisasi anu leungit grup sapertos kitu supados anjeun tiasa ngalereskeunana, nyaéta. aktipkeun sakelompok pangguna anu ditangtayungan sareng dianggo pikeun ngajagi infrastruktur.
Target gampang pikeun panyerang
Akun pangguna mangrupikeun target nomer hiji pikeun panyerang, tina usaha intrusi awal pikeun terus ningkatna hak husus sareng nyumputkeun kagiatanana. Panyerang milarian target saderhana dina jaringan anjeun nganggo paréntah PowerShell dasar anu sering hese dideteksi. Hapus saloba-lobana target gampang ieu tina AD sabisa-bisa.
Panyerang milarian pangguna anu gaduh kecap akses anu henteu kantos kadaluwarsa (atanapi anu henteu meryogikeun kecap akses), akun téknologi anu pangurus, sareng akun anu nganggo enkripsi RC4 warisan.
Sakur tina akun ieu henteu penting pikeun diakses atanapi umumna henteu diawaskeun. Panyerang tiasa nyandak alih akun ieu sareng ngalih sacara bébas dina infrastruktur anjeun.
Sakali panyerang nembus perimeter kaamanan, aranjeunna kamungkinan bakal kéngingkeun aksés ka sahenteuna hiji akun. Naha anjeun tiasa ngeureunkeun aranjeunna tina aksés kana data sénsitip sateuacan serangan éta dideteksi sareng dikandung?
Dashboard Varonis AD bakal nunjukkeun akun pangguna anu rentan ku kituna anjeun tiasa ngungkulan masalah sacara proaktif. Beuki hese pikeun nembus jaringan anjeun, langkung saé kasempetan anjeun pikeun nétralisasi panyerang sateuacan nyababkeun karusakan anu serius.
4 Indikator Risk Key pikeun Akun Pamaké
Di handap ieu conto widget dasbor Varonis AD anu nyorot akun pangguna anu paling rentan.
1. Jumlah pamaké aktip kalawan kecap akses nu pernah kadaluwarsa
Pikeun sagala panyerang meunang aksés ka akun sapertos salawasna sukses hébat. Kusabab kecap aksesna henteu kantos kadaluwarsa, panyerang ngagaduhan tapak permanén dina jaringan, anu teras tiasa dianggo atawa gerakan dina infrastruktur.
Panyerang gaduh daptar jutaan kombinasi sandi-pamaké anu aranjeunna anggo dina serangan isian kredensial, sareng kamungkinan éta
yén kombinasi pikeun pamaké kalawan sandi "abadi" aya dina salah sahiji béréndélan ieu, teuing gede ti enol.
Akun sareng kecap akses anu henteu kadaluwarsa gampang diurus, tapi henteu aman. Anggo widget ieu pikeun milarian sadaya akun anu gaduh kecap akses sapertos kitu. Robah setelan ieu sareng apdet sandi anjeun.
Sakali nilai widget ieu disetel ka nol, sagala akun anyar dijieun kalawan sandi éta bakal muncul dina dasbor.
2. Jumlah rekening administrasi kalawan SPN
SPN (Service Principal Name) nyaéta idéntifikasi unik tina instansi jasa. Widget ieu nunjukkeun sabaraha akun jasa anu gaduh hak administrator pinuh. Nilai dina widget kedah nol. SPN kalawan hak administratif lumangsung alatan granting hak sapertos merenah pikeun ngical paralatan software jeung pangurus aplikasi, tapi eta nyababkeun resiko kaamanan.
Méré hak administratif akun jasa ngamungkinkeun panyerang meunang aksés pinuh ka akun anu henteu dianggo. Ieu ngandung harti yén panyerang anu gaduh aksés kana akun SPN tiasa beroperasi sacara bébas dina infrastruktur tanpa kedah diawaskeun kagiatanana.
Anjeun tiasa ngabéréskeun masalah ieu ku cara ngarobah idin dina akun jasa. Akun sapertos kitu kedah tunduk kana prinsip hak istimewa sahenteuna sareng ngan ukur aksés anu saleresna dipikabutuh pikeun operasina.
Nganggo widget ieu, anjeun tiasa ngadeteksi sadaya SPN anu gaduh hak administratif, ngaleungitkeun hak istimewa sapertos kitu, teras ngawas SPN nganggo prinsip anu sami pikeun aksés anu paling saeutik.
SPN anu nembé muncul bakal ditingalikeun dina dasbor, sareng anjeun tiasa ngawas prosés ieu.
3. Jumlah pamaké nu teu merlukeun Kerberos pre-auténtikasi
Ideally, Kerberos énkripsi tikét auténtikasi ngagunakeun enkripsi AES-256, nu tetep unbreakable nepi ka poé ieu.
Sanajan kitu, versi heubeul tina Kerberos dipaké enkripsi RC4, nu ayeuna bisa pegat dina menit. Widget ieu nunjukkeun akun pangguna mana anu masih nganggo RC4. Microsoft masih ngadukung RC4 pikeun kasaluyuan mundur, tapi sanés hartosna anjeun kedah nganggo éta dina AD anjeun.
Sakali anjeun parantos ngaidentipikasi akun sapertos kitu, anjeun kedah pupus centang kotak centang "henteu meryogikeun pra-otorisasi Kerberos" dina AD pikeun maksa akun nganggo enkripsi anu langkung kompleks.
Ngajalajah akun ieu ku anjeun nyalira, tanpa dasbor Varonis AD, peryogi seueur waktos. Kanyataanna, sadar kana sadaya akun anu diédit pikeun ngagunakeun enkripsi RC4 mangrupikeun tugas anu langkung hese.
Lamun nilai dina widget robah, ieu bisa nunjukkeun aktivitas ilegal.
4. Jumlah pamaké tanpa sandi
Panyerang nganggo paréntah PowerShell dasar pikeun maca bendera "PASSWD_NOTREQD" tina AD dina sipat akun. Pamakéan bandéra ieu nunjukkeun yén euweuh sarat sandi atawa sarat pajeulitna.
Kumaha gampangna maok akun nganggo kecap konci anu saderhana atanapi kosong? Ayeuna bayangkeun yén salah sahiji akun ieu mangrupikeun administrator.
Kumaha upami salah sahiji rébuan file rahasia anu dibuka pikeun sadayana mangrupikeun laporan kauangan anu bakal datang?
Teu malire sarat sandi wajib nyaéta potong kompas administrasi sistem sanés anu sering dianggo dina jaman baheula, tapi henteu tiasa ditampi atanapi henteu aman ayeuna.
Fix masalah ieu ku ngamutahirkeun kecap akses pikeun akun ieu.
Ngawaskeun widget ieu ka hareup bakal ngabantosan anjeun ngahindarkeun akun tanpa kecap akses.
Varonis evens odds
Baheula, pagawéan ngumpulkeun sareng nganalisa métrik anu dijelaskeun dina tulisan ieu nyandak sababaraha jam sareng peryogi pangaweruh anu jero ngeunaan PowerShell, meryogikeun tim kaamanan pikeun nyayogikeun sumber daya pikeun tugas-tugas sapertos kitu unggal minggu atanapi bulan. Tapi koléksi manual sareng ngolah inpormasi ieu masihan panyerang pikeun ngamimitian nyusup sareng maok data.
С Anjeun bakal nyéépkeun hiji dinten pikeun nyebarkeun dasbor AD sareng komponén tambahan, ngumpulkeun sadaya kerentanan anu dibahas sareng seueur deui. Dina mangsa nu bakal datang, dina mangsa operasi, panel monitoring bakal otomatis diropéa salaku kaayaan tina parobahan infrastruktur.
Ngalaksanakeun serangan cyber sok balapan antara panyerang sareng pembela, kahayang panyerang pikeun maok data sateuacan spesialis kaamanan tiasa meungpeuk aksés ka éta. Deteksi awal panyerang sareng kagiatan ilegalna, ditambah ku pertahanan cyber anu kuat, mangrupikeun konci pikeun ngajaga data anjeun aman.
sumber: www.habr.com