Allt en angripare behöver är tid och motivation för att bryta sig in i ditt nätverk. Men vårt jobb är att hindra honom från att göra detta, eller åtminstone att göra denna uppgift så svår som möjligt. Du måste börja med att identifiera svagheter i Active Directory (nedan kallat AD) som en angripare kan använda för att få åtkomst och flytta runt i nätverket utan att upptäckas. Idag i den här artikeln kommer vi att titta på riskindikatorer som återspeglar befintliga sårbarheter i din organisations cyberförsvar, med hjälp av AD Varonis instrumentpanel som exempel.
Angripare använder vissa konfigurationer i domänen
Angripare använder en mängd smarta tekniker och sårbarheter för att penetrera företagsnätverk och eskalera privilegier. Några av dessa sårbarheter är domänkonfigurationsinställningar som enkelt kan ändras när de väl har identifierats.
AD-instrumentpanelen kommer omedelbart att varna dig om du (eller dina systemadministratörer) inte har ändrat KRBTGT-lösenordet under den senaste månaden, eller om någon har autentiserats med det inbyggda standardadministratörskontot. Dessa två konton ger obegränsad åtkomst till ditt nätverk: angripare kommer att försöka få åtkomst till dem för att enkelt kringgå alla begränsningar i privilegier och åtkomstbehörigheter. Och som ett resultat får de tillgång till all data som intresserar dem.
Naturligtvis kan du upptäcka dessa sårbarheter själv: ställ till exempel in en kalenderpåminnelse för att kontrollera eller kör ett PowerShell-skript för att samla in denna information.
Varonis instrumentpanel uppdateras automatiskt för att ge snabb synlighet och analys av nyckeltal som belyser potentiella sårbarheter så att du kan vidta omedelbara åtgärder för att åtgärda dem.
3 Riskindikatorer på nyckeldomännivå
Nedan finns ett antal widgets tillgängliga på Varonis instrumentpanel, vars användning kommer att avsevärt förbättra skyddet av företagets nätverk och IT-infrastruktur som helhet.
1. Antal domäner för vilka Kerberos-kontolösenordet inte har ändrats under en längre tid
KRBTGT-kontot är ett specialkonto i AD som signerar allt . Angripare som får tillgång till en domänkontrollant (DC) kan använda detta konto för att skapa , vilket ger dem obegränsad tillgång till nästan alla system på företagets nätverk. Vi stötte på en situation där en angripare hade tillgång till organisationens nätverk i två år efter att ha lyckats erhålla en Golden Ticket. Om lösenordet för KRBTGT-kontot i ditt företag inte har ändrats under de senaste fyrtio dagarna kommer widgeten att meddela dig om detta.
Fyrtio dagar är mer än tillräckligt med tid för en angripare att få tillgång till nätverket. Men om du upprätthåller och standardiserar processen för att ändra detta lösenord regelbundet, kommer det att göra det mycket svårare för en angripare att bryta sig in i ditt företagsnätverk.
Kom ihåg att enligt Microsofts implementering av Kerberos-protokollet måste du KRBTGT.
I framtiden kommer denna AD-widget att påminna dig när det är dags att ändra KRBTGT-lösenordet igen för alla domäner i ditt nätverk.
2. Antal domäner där det inbyggda administratörskontot nyligen användes
Enligt — Systemadministratörer har två konton: det första är ett konto för dagligt bruk och det andra är för planerat administrativt arbete. Det betyder att ingen ska använda standardadministratörskontot.
Det inbyggda administratörskontot används ofta för att förenkla systemadministrationsprocessen. Detta kan bli en dålig vana, vilket resulterar i hacking. Om detta händer i din organisation kommer du att ha svårt att skilja mellan korrekt användning av det här kontot och potentiellt skadlig åtkomst.
Om widgeten visar något annat än noll, så fungerar någon inte korrekt med administrativa konton. I det här fallet måste du vidta åtgärder för att korrigera och begränsa åtkomsten till det inbyggda administratörskontot.
När du har uppnått ett widgetvärde på noll och systemadministratörer inte längre använder det här kontot för sitt arbete, kommer varje ändring av det i framtiden att indikera en potentiell cyberattack.
3. Antal domäner som inte har en grupp skyddade användare
Äldre versioner av AD stödde en svag krypteringstyp - RC4. Hackare hackade RC4 för många år sedan, och nu är det en mycket trivial uppgift för en angripare att hacka ett konto som fortfarande använder RC4. Den version av Active Directory som introducerades i Windows Server 2012 introducerade en ny typ av användargrupp som kallas Protected Users Group. Den tillhandahåller ytterligare säkerhetsverktyg och förhindrar användarautentisering med RC4-kryptering.
Denna widget kommer att visa om någon domän i organisationen saknar en sådan grupp så att du kan fixa det, d.v.s. aktivera en grupp skyddade användare och använda den för att skydda infrastrukturen.
Enkla mål för angripare
Användarkonton är det främsta målet för angripare, från första intrångsförsök till fortsatt eskalering av privilegier och döljande av deras aktiviteter. Angripare letar efter enkla mål i ditt nätverk med hjälp av grundläggande PowerShell-kommandon som ofta är svåra att upptäcka. Ta bort så många av dessa enkla mål från AD som möjligt.
Angripare letar efter användare med lösenord som aldrig löper ut (eller som inte kräver lösenord), teknikkonton som är administratörer och konton som använder äldre RC4-kryptering.
Alla dessa konton är antingen triviala att komma åt eller i allmänhet inte övervakade. Angripare kan ta över dessa konton och röra sig fritt inom din infrastruktur.
När angripare väl har penetrerat säkerhetsområdet kommer de sannolikt att få tillgång till minst ett konto. Kan du hindra dem från att få tillgång till känslig data innan attacken upptäcks och stoppas?
Varonis AD-instrumentpanelen kommer att peka ut sårbara användarkonton så att du kan felsöka problem proaktivt. Ju svårare det är att penetrera ditt nätverk, desto bättre är dina chanser att neutralisera en angripare innan de orsakar allvarlig skada.
4 Viktiga riskindikatorer för användarkonton
Nedan finns exempel på Varonis AD-instrumentpanelswidgets som lyfter fram de mest sårbara användarkontona.
1. Antal aktiva användare med lösenord som aldrig upphör att gälla
För en angripare att få tillgång till ett sådant konto är alltid en stor framgång. Eftersom lösenordet aldrig går ut har angriparen ett permanent fotfäste inom nätverket, som sedan kan användas till eller rörelser inom infrastrukturen.
Angripare har listor med miljontals kombinationer av användar-lösenord som de använder i autentiseringsattacker, och sannolikheten är att
att kombinationen för användaren med det "eviga" lösenordet finns i en av dessa listor, mycket större än noll.
Konton med lösenord som inte löper ut är lätta att hantera, men de är inte säkra. Använd den här widgeten för att hitta alla konton som har sådana lösenord. Ändra den här inställningen och uppdatera ditt lösenord.
När värdet på den här widgeten är noll, visas alla nya konton som skapats med det lösenordet i instrumentpanelen.
2. Antal administrativa konton hos SPN
SPN (Service Principal Name) är en unik identifierare för en tjänsteinstans. Den här widgeten visar hur många tjänstekonton som har fullständiga administratörsrättigheter. Värdet på widgeten måste vara noll. SPN med administrativa rättigheter uppstår eftersom att bevilja sådana rättigheter är bekvämt för programvaruleverantörer och applikationsadministratörer, men det utgör en säkerhetsrisk.
Genom att ge tjänstekontot administrativa rättigheter kan en angripare få full åtkomst till ett konto som inte används. Detta innebär att angripare med tillgång till SPN-konton kan operera fritt inom infrastrukturen utan att deras aktiviteter övervakas.
Du kan lösa det här problemet genom att ändra behörigheterna för tjänstkonton. Sådana konton bör omfattas av principen om minsta privilegium och endast ha den åtkomst som faktiskt är nödvändig för att de ska fungera.
Med den här widgeten kan du upptäcka alla SPN:er som har administrativa rättigheter, ta bort sådana privilegier och sedan övervaka SPN:er med samma princip om minst privilegierad åtkomst.
Det nya SPN kommer att visas på instrumentpanelen och du kommer att kunna övervaka denna process.
3. Antal användare som inte kräver Kerberos-förautentisering
Idealt sett krypterar Kerberos autentiseringsbiljetten med AES-256-kryptering, som förblir okrossbar än i dag.
Äldre versioner av Kerberos använde dock RC4-kryptering, som nu kan brytas på några minuter. Denna widget visar vilka användarkonton som fortfarande använder RC4. Microsoft stöder fortfarande RC4 för bakåtkompatibilitet, men det betyder inte att du ska använda det i din AD.
När du har identifierat sådana konton måste du avmarkera kryssrutan "kräver inte Kerberos förauktorisering" i AD för att tvinga kontona att använda mer sofistikerad kryptering.
Att upptäcka dessa konton på egen hand, utan Varonis AD-instrumentpanelen, tar mycket tid. I verkligheten är det en ännu svårare uppgift att vara medveten om alla konton som är redigerade för att använda RC4-kryptering.
Om värdet på widgeten ändras kan detta indikera olaglig aktivitet.
4. Antal användare utan lösenord
Angripare använder grundläggande PowerShell-kommandon för att läsa "PASSWD_NOTREQD"-flaggan från AD i kontoegenskaper. Användning av denna flagga indikerar att det inte finns några lösenordskrav eller komplexitetskrav.
Hur lätt är det att stjäla ett konto med ett enkelt eller tomt lösenord? Föreställ dig nu att ett av dessa konton är en administratör.
Vad händer om en av de tusentals konfidentiella filer som är öppna för alla är en kommande finansiell rapport?
Att ignorera det obligatoriska lösenordskravet är en annan systemadministrationsgenväg som ofta användes förr, men som varken är acceptabel eller säker idag.
Åtgärda det här problemet genom att uppdatera lösenorden för dessa konton.
Att övervaka den här widgeten i framtiden hjälper dig att undvika konton utan lösenord.
Varonis jämnar ut oddsen
Tidigare tog arbetet med att samla in och analysera mätvärdena som beskrivs i den här artikeln många timmar och krävde djup kunskap om PowerShell, vilket krävde säkerhetsteam att allokera resurser till sådana uppgifter varje vecka eller månad. Men manuell insamling och bearbetning av denna information ger angripare ett försprång att infiltrera och stjäla data.
С Du kommer att ägna en dag åt att distribuera AD-instrumentpanelen och ytterligare komponenter, samla in alla sårbarheter som diskuteras och många fler. I framtiden, under drift, kommer övervakningspanelen att uppdateras automatiskt när tillståndet för infrastrukturen ändras.
Att utföra cyberattacker är alltid en kapplöpning mellan angripare och försvarare, angriparens önskan att stjäla data innan säkerhetsspecialister kan blockera åtkomsten till den. Tidig upptäckt av angripare och deras illegala aktiviteter, tillsammans med starka cyberförsvar, är nyckeln till att hålla din data säker.
Källa: will.com