Anachohitaji mshambuliaji ni wakati na motisha ili kuingia kwenye mtandao wako. Lakini kazi yetu ni kumzuia kufanya hili, au angalau kufanya kazi hii iwe ngumu iwezekanavyo. Unahitaji kuanza kwa kutambua udhaifu katika Active Directory (hapa inajulikana kama AD) ambayo mshambulizi anaweza kutumia kupata ufikiaji na kuzunguka mtandao bila kutambuliwa. Leo katika makala haya tutaangalia viashirio vya hatari vinavyoonyesha udhaifu uliopo katika ulinzi wa mtandao wa shirika lako, kwa kutumia dashibodi ya AD Varonis kama mfano.
Wavamizi hutumia usanidi fulani katika kikoa
Wavamizi hutumia mbinu mbalimbali za werevu na udhaifu ili kupenya mitandao ya makampuni na kuongeza mapendeleo. Baadhi ya athari hizi ni mipangilio ya usanidi wa kikoa ambayo inaweza kubadilishwa kwa urahisi pindi inapotambuliwa.
Dashibodi ya AD itakuarifu mara moja ikiwa wewe (au wasimamizi wako wa mfumo) hujabadilisha nenosiri la KRBTGT katika mwezi uliopita, au ikiwa mtu ameidhinishwa kwa akaunti chaguomsingi iliyojengewa ndani ya Msimamizi. Akaunti hizi mbili hutoa ufikiaji usio na kikomo kwa mtandao wako: washambuliaji watajaribu kuzifikia ili kukwepa kwa urahisi vikwazo vyovyote katika mapendeleo na ruhusa za ufikiaji. Na, kwa sababu hiyo, wanapata ufikiaji wa data yoyote inayowavutia.
Bila shaka, unaweza kugundua udhaifu huu mwenyewe: kwa mfano, weka kikumbusho cha kalenda ili kuangalia au kuendesha hati ya PowerShell ili kukusanya taarifa hii.
Dashibodi ya Varonis inasasishwa moja kwa moja ili kutoa mwonekano wa haraka na uchanganuzi wa vipimo muhimu vinavyoangazia udhaifu unaowezekana ili uweze kuchukua hatua ya haraka kuyashughulikia.
Viashiria 3 Muhimu vya Hatari ya Kiwango cha Kikoa
Chini ni idadi ya vilivyoandikwa vinavyopatikana kwenye dashibodi ya Varonis, matumizi ambayo yataimarisha kwa kiasi kikubwa ulinzi wa mtandao wa ushirika na miundombinu ya IT kwa ujumla.
1. Idadi ya vikoa ambavyo nenosiri la akaunti ya Kerberos halijabadilishwa kwa muda mrefu
Akaunti ya KRBTGT ni akaunti maalum katika AD inayotia saini kila kitu . Wavamizi wanaopata idhini ya kufikia kidhibiti cha kikoa (DC) wanaweza kutumia akaunti hii kuunda , ambayo itawapa ufikiaji usio na kikomo kwa karibu mfumo wowote kwenye mtandao wa ushirika. Tulikutana na hali ambapo, baada ya kupata Tikiti ya Dhahabu kwa mafanikio, mshambuliaji alikuwa na upatikanaji wa mtandao wa shirika kwa miaka miwili. Ikiwa nenosiri la akaunti ya KRBTGT katika kampuni yako halijabadilishwa katika siku arobaini zilizopita, wijeti itakujulisha kuhusu hili.
Siku arobaini ni zaidi ya muda wa kutosha kwa mshambuliaji kupata ufikiaji wa mtandao. Hata hivyo, ukitekeleza na kusawazisha mchakato wa kubadilisha nenosiri hili mara kwa mara, itafanya iwe vigumu zaidi kwa mvamizi kuingia katika mtandao wako wa shirika.
Kumbuka kwamba kulingana na utekelezaji wa Microsoft wa itifaki ya Kerberos, lazima KRBTGT.
Katika siku zijazo, wijeti hii ya AD itakukumbusha wakati ukifika wa kubadilisha nenosiri la KRBTGT tena kwa vikoa vyote kwenye mtandao wako.
2. Idadi ya vikoa ambapo akaunti ya Msimamizi iliyojumuishwa ilitumiwa hivi majuzi
Kulingana na - wasimamizi wa mfumo hutolewa na akaunti mbili: ya kwanza ni akaunti ya matumizi ya kila siku, na ya pili ni ya kazi iliyopangwa ya usimamizi. Hii ina maana kwamba hakuna mtu anayepaswa kutumia akaunti ya msimamizi chaguo-msingi.
Akaunti ya msimamizi iliyojengwa mara nyingi hutumiwa kurahisisha mchakato wa usimamizi wa mfumo. Hii inaweza kuwa tabia mbaya, na kusababisha utapeli. Hili likitokea katika shirika lako, utakuwa na ugumu wa kutofautisha kati ya matumizi sahihi ya akaunti hii na ufikiaji unaoweza kuwa mbaya.
Ikiwa wijeti inaonyesha chochote isipokuwa sifuri, basi mtu hafanyi kazi ipasavyo na akaunti za usimamizi. Katika kesi hii, lazima uchukue hatua za kurekebisha na kupunguza ufikiaji wa akaunti ya msimamizi iliyojengwa.
Mara tu unapopata thamani ya wijeti ya sifuri na wasimamizi wa mfumo hawatumii tena akaunti hii kwa kazi zao, basi katika siku zijazo, mabadiliko yoyote kwake yataonyesha uwezekano wa shambulio la mtandao.
3. Idadi ya vikoa ambavyo havina kundi la Watumiaji Waliolindwa
Matoleo ya zamani ya AD yaliunga mkono aina dhaifu ya usimbaji fiche - RC4. Wadukuzi walidukua RC4 miaka mingi iliyopita, na sasa ni kazi ndogo sana kwa mshambulizi kudukua akaunti ambayo bado inatumia RC4. Toleo la Active Directory iliyoletwa katika Windows Server 2012 ilianzisha aina mpya ya kikundi cha watumiaji kinachoitwa Kikundi cha Watumiaji Waliolindwa. Inatoa zana za ziada za usalama na kuzuia uthibitishaji wa mtumiaji kwa kutumia usimbaji fiche wa RC4.
Wijeti hii itaonyesha ikiwa kikoa chochote katika shirika kinakosa kikundi kama hicho ili uweze kukirekebisha, i.e. kuwezesha kundi la watumiaji wanaolindwa na kuitumia kulinda miundombinu.
Malengo rahisi ya washambuliaji
Akaunti za watumiaji ndio hulengwa nambari moja kwa washambuliaji, kuanzia majaribio ya awali ya uvamizi hadi kuendelea kuongezeka kwa haki na kufichwa kwa shughuli zao. Wavamizi hutafuta shabaha rahisi kwenye mtandao wako kwa kutumia amri za msingi za PowerShell ambazo mara nyingi ni vigumu kuzitambua. Ondoa malengo haya mengi rahisi kutoka kwa AD iwezekanavyo.
Wavamizi wanatafuta watumiaji walio na manenosiri ambayo muda wake haujaisha (au ambao hawahitaji manenosiri), akaunti za teknolojia ambazo ni wasimamizi, na akaunti zinazotumia usimbaji fiche wa RC4.
Yoyote kati ya akaunti hizi ni ndogo kupata au kwa ujumla haifuatiliwi. Wavamizi wanaweza kuchukua akaunti hizi na kusonga kwa uhuru ndani ya miundombinu yako.
Mara washambuliaji wanapopenya eneo la usalama, watapata ufikiaji wa angalau akaunti moja. Je, unaweza kuwazuia kupata ufikiaji wa data nyeti kabla ya shambulio kutambuliwa na kuzuiwa?
Dashibodi ya Varonis AD itaonyesha akaunti za watumiaji walio katika mazingira magumu ili uweze kutatua matatizo kwa makini. Kadiri inavyokuwa vigumu kupenya mtandao wako, ndivyo uwezekano wako wa kumtenganisha mvamizi ni bora zaidi kabla ya kusababisha uharibifu mkubwa.
Viashiria 4 Muhimu vya Hatari kwa Akaunti za Mtumiaji
Ifuatayo ni mifano ya wijeti za dashibodi za Varonis AD zinazoangazia akaunti za watumiaji zilizo hatarini zaidi.
1. Idadi ya watumiaji wanaofanya kazi walio na manenosiri ambayo muda wake hautaisha
Kwa mshambulizi yeyote kupata ufikiaji wa akaunti kama hiyo daima ni mafanikio makubwa. Kwa kuwa muda wa nenosiri haujaisha, mvamizi ana nafasi ya kudumu ndani ya mtandao, ambayo inaweza kutumika au harakati ndani ya miundombinu.
Wavamizi wana orodha ya mamilioni ya mchanganyiko wa manenosiri ya mtumiaji ambayo hutumia katika uvamizi wa cheti, na uwezekano ni kwamba.
kwamba mchanganyiko wa mtumiaji aliye na nenosiri la "milele" uko katika mojawapo ya orodha hizi, kubwa zaidi ya sifuri.
Akaunti zilizo na manenosiri yasiyoisha muda wake ni rahisi kudhibiti, lakini si salama. Tumia wijeti hii kupata akaunti zote ambazo zina manenosiri kama haya. Badilisha mpangilio huu na usasishe nenosiri lako.
Pindi thamani ya wijeti hii imewekwa kuwa sufuri, akaunti zozote mpya zitakazoundwa kwa nenosiri hilo zitaonekana kwenye dashibodi.
2. Idadi ya akaunti za usimamizi zilizo na SPN
SPN (Jina Mkuu wa Huduma) ni kitambulisho cha kipekee cha mfano wa huduma. Wijeti hii inaonyesha ni akaunti ngapi za huduma zilizo na haki kamili za msimamizi. Thamani kwenye wijeti lazima iwe sufuri. SPN yenye haki za usimamizi hutokea kwa sababu kutoa haki hizo ni rahisi kwa wachuuzi wa programu na wasimamizi wa programu, lakini kunahatarisha usalama.
Kutoa haki za usimamizi wa akaunti ya huduma humruhusu mshambulizi kupata ufikiaji kamili kwa akaunti ambayo haitumiki. Hii ina maana kwamba wavamizi walio na uwezo wa kufikia akaunti za SPN wanaweza kufanya kazi kwa uhuru ndani ya miundombinu bila kufuatiliwa kwa shughuli zao.
Unaweza kutatua suala hili kwa kubadilisha ruhusa kwenye akaunti za huduma. Akaunti kama hizo zinapaswa kuwa chini ya kanuni ya upendeleo mdogo na kuwa na ufikiaji tu ambao ni muhimu kwa uendeshaji wao.
Kwa kutumia wijeti hii, unaweza kugundua SPN zote ambazo zina haki za usimamizi, kuondoa mapendeleo kama hayo, na kisha kufuatilia SPN kwa kutumia kanuni sawa ya ufikiaji usio na upendeleo.
SPN mpya inayoonekana itaonyeshwa kwenye dashibodi, na utaweza kufuatilia mchakato huu.
3. Idadi ya watumiaji ambao hawahitaji uthibitishaji wa mapema wa Kerberos
Kwa hakika, Kerberos husimba tiketi ya uthibitishaji kwa njia fiche kwa kutumia usimbaji fiche wa AES-256, ambao haujaweza kutambulika hadi leo.
Hata hivyo, matoleo ya awali ya Kerberos yalitumia usimbaji fiche wa RC4, ambayo sasa inaweza kuvunjwa kwa dakika chache. Wijeti hii inaonyesha ni akaunti zipi za mtumiaji ambazo bado zinatumia RC4. Microsoft bado inaauni RC4 kwa uoanifu wa nyuma, lakini hiyo haimaanishi kwamba unapaswa kuitumia katika AD yako.
Mara tu unapotambua akaunti kama hizo, unahitaji kubatilisha uteuzi wa kisanduku tiki cha "hauhitaji uidhinishaji wa mapema wa Kerberos" katika AD ili kulazimisha akaunti kutumia usimbaji fiche changamano zaidi.
Kugundua akaunti hizi peke yako, bila dashibodi ya Varonis AD, huchukua muda mwingi. Kwa kweli, kufahamu akaunti zote ambazo zimehaririwa kutumia usimbaji fiche wa RC4 ni kazi ngumu zaidi.
Ikiwa thamani kwenye wijeti itabadilika, hii inaweza kuonyesha shughuli haramu.
4. Idadi ya watumiaji bila nenosiri
Wavamizi hutumia amri za msingi za PowerShell kusoma alama ya "PASSWD_NOTREQD" kutoka AD katika sifa za akaunti. Matumizi ya bendera hii yanaonyesha kuwa hakuna mahitaji ya nenosiri au mahitaji ya utata.
Je, ni rahisi kiasi gani kuiba akaunti kwa kutumia nenosiri rahisi au tupu? Sasa fikiria kwamba moja ya akaunti hizi ni msimamizi.
Je, iwapo moja ya maelfu ya faili za siri zilizofunguliwa kwa kila mtu ni ripoti ya fedha inayokuja?
Kupuuza hitaji la lazima la nenosiri ni njia nyingine ya mkato ya usimamizi wa mfumo ambayo mara nyingi ilitumiwa hapo awali, lakini haikubaliki wala haikubaliki leo.
Rekebisha suala hili kwa kusasisha manenosiri ya akaunti hizi.
Kufuatilia wijeti hii katika siku zijazo kutakusaidia kuepuka akaunti bila nenosiri.
Varonis anasawazisha uwezekano
Hapo awali, kazi ya kukusanya na kuchanganua vipimo vilivyofafanuliwa katika makala haya ilichukua saa nyingi na ilihitaji ujuzi wa kina wa PowerShell, na kuzihitaji timu za usalama kutenga rasilimali kwa kazi kama hizo kila wiki au mwezi. Lakini ukusanyaji na uchakataji wa maelezo haya kwa mikono huwapa washambuliaji kuanza kujipenyeza na kuiba data.
Π‘ Utatumia siku moja kusambaza dashibodi ya AD na vipengee vya ziada, kukusanya udhaifu wote unaojadiliwa na mengine mengi. Katika siku zijazo, wakati wa operesheni, jopo la ufuatiliaji litasasishwa kiotomatiki hali ya miundombinu inavyobadilika.
Kufanya mashambulizi ya mtandaoni daima ni mashindano kati ya washambuliaji na watetezi, hamu ya mshambuliaji kuiba data kabla ya wataalamu wa usalama kuzuia ufikiaji wake. Ugunduzi wa mapema wa wavamizi na shughuli zao haramu, pamoja na ulinzi thabiti wa mtandao, ndio ufunguo wa kuweka data yako salama.
Chanzo: mapenzi.com