தாக்குபவர்களுக்குத் தேவைப்படுவது உங்கள் நெட்வொர்க்கில் நுழைவதற்கு நேரமும் ஊக்கமும் மட்டுமே. ஆனால் அவர் இதைச் செய்வதைத் தடுப்பது அல்லது குறைந்தபட்சம் இந்த பணியை முடிந்தவரை கடினமாக்குவது எங்கள் வேலை. ஆக்டிவ் டைரக்டரியில் உள்ள பலவீனங்களைக் கண்டறிவதன் மூலம் நீங்கள் தொடங்க வேண்டும் (இனி AD என குறிப்பிடப்படுகிறது) தாக்குபவர் அணுகலைப் பெறவும் நெட்வொர்க்கைக் கண்டறியாமல் சுற்றிச் செல்லவும் பயன்படுத்தலாம். இன்று இந்தக் கட்டுரையில், AD Varonis டாஷ்போர்டை உதாரணமாகப் பயன்படுத்தி, உங்கள் நிறுவனத்தின் இணையப் பாதுகாப்பில் இருக்கும் பாதிப்புகளைப் பிரதிபலிக்கும் ஆபத்துக் குறிகாட்டிகளைப் பார்ப்போம்.
தாக்குபவர்கள் டொமைனில் சில உள்ளமைவுகளைப் பயன்படுத்துகின்றனர்
கார்ப்பரேட் நெட்வொர்க்குகளை ஊடுருவி, சலுகைகளை அதிகரிக்க, தாக்குபவர்கள் பல்வேறு புத்திசாலித்தனமான நுட்பங்களையும், பாதிப்புகளையும் பயன்படுத்துகின்றனர். இந்த பாதிப்புகளில் சில டொமைன் உள்ளமைவு அமைப்புகளாகும், அவை அடையாளம் காணப்பட்டவுடன் எளிதாக மாற்றப்படும்.
கடந்த மாதத்தில் நீங்கள் (அல்லது உங்கள் கணினி நிர்வாகிகள்) KRBTGT கடவுச்சொல்லை மாற்றவில்லை அல்லது இயல்புநிலை உள்ளமைக்கப்பட்ட நிர்வாகி கணக்குடன் யாராவது அங்கீகரித்திருந்தால், AD டாஷ்போர்டு உடனடியாக உங்களை எச்சரிக்கும். இந்த இரண்டு கணக்குகளும் உங்கள் நெட்வொர்க்கிற்கு வரம்பற்ற அணுகலை வழங்குகின்றன: சலுகைகள் மற்றும் அணுகல் அனுமதிகளில் ஏதேனும் கட்டுப்பாடுகளை எளிதில் கடந்து செல்ல, தாக்குபவர்கள் அவற்றை அணுக முயற்சிப்பார்கள். மேலும், இதன் விளைவாக, அவர்கள் ஆர்வமுள்ள எந்தத் தரவையும் அணுகுவார்கள்.
நிச்சயமாக, இந்த பாதிப்புகளை நீங்களே கண்டறியலாம்: எடுத்துக்காட்டாக, இந்தத் தகவலைச் சேகரிக்க பவர்ஷெல் ஸ்கிரிப்டைச் சரிபார்க்க அல்லது இயக்க காலண்டர் நினைவூட்டலை அமைக்கவும்.
Varonis டாஷ்போர்டு புதுப்பிக்கப்படுகிறது தானாக சாத்தியமான பாதிப்புகளை முன்னிலைப்படுத்தும் முக்கிய அளவீடுகளின் விரைவான தெரிவுநிலை மற்றும் பகுப்பாய்வை வழங்க, அவற்றைத் தீர்க்க நீங்கள் உடனடியாக நடவடிக்கை எடுக்கலாம்.
3 முக்கிய டொமைன் நிலை இடர் குறிகாட்டிகள்
கீழே வரோனிஸ் டாஷ்போர்டில் பல விட்ஜெட்டுகள் உள்ளன, இதன் பயன்பாடு கார்ப்பரேட் நெட்வொர்க் மற்றும் ஒட்டுமொத்த ஐடி உள்கட்டமைப்பின் பாதுகாப்பை கணிசமாக மேம்படுத்தும்.
1. Kerberos கணக்கின் கடவுச்சொல் குறிப்பிடத்தக்க காலத்திற்கு மாற்றப்படாத டொமைன்களின் எண்ணிக்கை
KRBTGT கணக்கு என்பது எல்லாவற்றிலும் கையொப்பமிடும் AD இல் ஒரு சிறப்புக் கணக்கு . டொமைன் கன்ட்ரோலரை (DC) அணுகும் தாக்குபவர்கள் இந்தக் கணக்கை உருவாக்க பயன்படுத்தலாம் , இது கார்ப்பரேட் நெட்வொர்க்கில் உள்ள எந்தவொரு கணினிக்கும் வரம்பற்ற அணுகலை வழங்கும். கோல்டன் டிக்கெட்டை வெற்றிகரமாகப் பெற்ற பிறகு, தாக்குதல் நடத்துபவர் இரண்டு ஆண்டுகளுக்கு அமைப்பின் நெட்வொர்க்கை அணுகும் சூழ்நிலையை நாங்கள் எதிர்கொண்டோம். உங்கள் நிறுவனத்தில் உள்ள KRBTGT கணக்கு கடவுச்சொல் கடந்த நாற்பது நாட்களில் மாற்றப்படவில்லை என்றால், விட்ஜெட் இதைப் பற்றி உங்களுக்குத் தெரிவிக்கும்.
தாக்குபவர் நெட்வொர்க்கை அணுகுவதற்கு நாற்பது நாட்கள் போதுமான நேரத்தை விட அதிகம். இருப்பினும், இந்த கடவுச்சொல்லை மாற்றுவதற்கான செயல்முறையை நீங்கள் தொடர்ந்து செயல்படுத்தி தரப்படுத்தினால், உங்கள் கார்ப்பரேட் நெட்வொர்க்கிற்குள் நுழைவதை தாக்குபவர் மிகவும் கடினமாக்கும்.
Kerberos நெறிமுறையை மைக்ரோசாப்ட் செயல்படுத்தியதன் படி, நீங்கள் அவசியம் என்பதை நினைவில் கொள்ளுங்கள் KRBTGT.
எதிர்காலத்தில், உங்கள் நெட்வொர்க்கில் உள்ள அனைத்து டொமைன்களுக்கும் KRBTGT கடவுச்சொல்லை மீண்டும் மாற்ற வேண்டிய நேரம் வரும்போது, இந்த AD விட்ஜெட் உங்களுக்கு நினைவூட்டும்.
2. உள்ளமைக்கப்பட்ட நிர்வாகி கணக்கு சமீபத்தில் பயன்படுத்தப்பட்ட டொமைன்களின் எண்ணிக்கை
படி — கணினி நிர்வாகிகளுக்கு இரண்டு கணக்குகள் வழங்கப்படுகின்றன: முதலாவது அன்றாட பயன்பாட்டிற்கான கணக்கு, இரண்டாவது திட்டமிடப்பட்ட நிர்வாகப் பணிகளுக்கானது. இயல்புநிலை நிர்வாகி கணக்கை யாரும் பயன்படுத்தக்கூடாது என்பதே இதன் பொருள்.
கணினி நிர்வாக செயல்முறையை எளிதாக்க, உள்ளமைக்கப்பட்ட நிர்வாகி கணக்கு பெரும்பாலும் பயன்படுத்தப்படுகிறது. இது ஒரு கெட்ட பழக்கமாக மாறி, ஹேக்கிங்கிற்கு வழிவகுக்கும். இது உங்கள் நிறுவனத்தில் நடந்தால், இந்தக் கணக்கின் சரியான பயன்பாடு மற்றும் தீங்கிழைக்கும் அணுகல் ஆகியவற்றை வேறுபடுத்துவதில் உங்களுக்கு சிரமம் ஏற்படும்.
விட்ஜெட் பூஜ்ஜியத்தைத் தவிர வேறு எதையும் காட்டினால், யாரோ ஒருவர் நிர்வாகக் கணக்குகளில் சரியாக வேலை செய்யவில்லை. இந்த வழக்கில், உள்ளமைக்கப்பட்ட நிர்வாகி கணக்கிற்கான அணுகலை சரிசெய்யவும் கட்டுப்படுத்தவும் நீங்கள் நடவடிக்கை எடுக்க வேண்டும்.
பூஜ்ஜியத்தின் விட்ஜெட் மதிப்பை நீங்கள் அடைந்ததும், கணினி நிர்வாகிகள் இந்தக் கணக்கை தங்கள் பணிக்காகப் பயன்படுத்த மாட்டார்கள், பின்னர் எதிர்காலத்தில் இதில் ஏதேனும் மாற்றம் ஏற்பட்டால் அது சாத்தியமான இணையத் தாக்குதலைக் குறிக்கும்.
3. பாதுகாக்கப்பட்ட பயனர்களின் குழு இல்லாத டொமைன்களின் எண்ணிக்கை
AD இன் பழைய பதிப்புகள் பலவீனமான குறியாக்க வகையை ஆதரித்தன - RC4. ஹேக்கர்கள் பல ஆண்டுகளுக்கு முன்பு RC4 ஐ ஹேக் செய்தனர், இப்போது RC4 ஐப் பயன்படுத்திக் கொண்டிருக்கும் ஒரு கணக்கைத் தாக்குபவர் ஹேக் செய்வது மிகவும் அற்பமான பணியாகும். விண்டோஸ் சர்வர் 2012 இல் அறிமுகப்படுத்தப்பட்ட ஆக்டிவ் டைரக்டரியின் பதிப்பு, பாதுகாக்கப்பட்ட பயனர்கள் குழு எனப்படும் புதிய வகை பயனர் குழுவை அறிமுகப்படுத்தியது. இது கூடுதல் பாதுகாப்பு கருவிகளை வழங்குகிறது மற்றும் RC4 குறியாக்கத்தைப் பயன்படுத்தி பயனர் அங்கீகாரத்தைத் தடுக்கிறது.
இந்த விட்ஜெட் நிறுவனத்தில் உள்ள எந்த டொமைனும் அத்தகைய குழுவைக் காணவில்லை என்பதை நிரூபிக்கும், எனவே நீங்கள் அதை சரிசெய்யலாம், அதாவது. பாதுகாக்கப்பட்ட பயனர்களின் குழுவை இயக்கி, உள்கட்டமைப்பைப் பாதுகாக்க அதைப் பயன்படுத்தவும்.
தாக்குபவர்களுக்கு எளிதான இலக்குகள்
பயனர் கணக்குகள் தாக்குதல் நடத்துபவர்களுக்கு முதன்மையான இலக்காகும், ஆரம்ப ஊடுருவல் முயற்சிகளில் இருந்து சலுகைகளை தொடர்ந்து அதிகரிப்பது மற்றும் அவர்களின் செயல்பாடுகளை மறைப்பது வரை. தாக்குபவர்கள் அடிப்படை பவர்ஷெல் கட்டளைகளைப் பயன்படுத்தி உங்கள் நெட்வொர்க்கில் எளிய இலக்குகளைத் தேடுகிறார்கள், அவை பெரும்பாலும் கண்டறிய கடினமாக இருக்கும். AD இலிருந்து முடிந்தவரை இந்த எளிதான இலக்குகளை அகற்றவும்.
தாக்குபவர்கள் ஒருபோதும் காலாவதியாகாத கடவுச்சொற்கள் (அல்லது கடவுச்சொற்கள் தேவையில்லை), நிர்வாகிகளான தொழில்நுட்பக் கணக்குகள் மற்றும் மரபு RC4 குறியாக்கத்தைப் பயன்படுத்தும் கணக்குகளைக் கொண்ட பயனர்களைத் தேடுகின்றனர்.
இந்தக் கணக்குகளில் ஏதேனும் ஒன்று அணுகுவதற்கு அற்பமானது அல்லது பொதுவாக கண்காணிக்கப்படுவதில்லை. தாக்குபவர்கள் இந்தக் கணக்குகளை எடுத்துக் கொள்ளலாம் மற்றும் உங்கள் உள்கட்டமைப்புக்குள் சுதந்திரமாகச் செல்லலாம்.
தாக்குபவர்கள் பாதுகாப்பு எல்லைக்குள் ஊடுருவியவுடன், அவர்கள் குறைந்தபட்சம் ஒரு கணக்கையாவது அணுகலாம். தாக்குதலைக் கண்டறிந்து அதைக் கட்டுப்படுத்தும் முன், முக்கியமான தரவுகளுக்கான அணுகலைப் பெறுவதை உங்களால் தடுக்க முடியுமா?
Varonis AD டாஷ்போர்டு பாதிக்கப்படக்கூடிய பயனர் கணக்குகளை சுட்டிக்காட்டும், எனவே நீங்கள் சிக்கல்களை முன்கூட்டியே சரிசெய்யலாம். உங்கள் நெட்வொர்க்கில் ஊடுருவிச் செல்வது எவ்வளவு கடினமாக இருக்கிறதோ, அந்தளவுக்கு தாக்குபவர் கடுமையான சேதத்தை ஏற்படுத்துவதற்கு முன், அவர்களை நடுநிலையாக்குவதற்கான வாய்ப்புகள் அதிகம்.
பயனர் கணக்குகளுக்கான 4 முக்கிய இடர் குறிகாட்டிகள்
மிகவும் பாதிக்கப்படக்கூடிய பயனர் கணக்குகளை முன்னிலைப்படுத்தும் Varonis AD டாஷ்போர்டு விட்ஜெட்டுகளின் எடுத்துக்காட்டுகள் கீழே உள்ளன.
1. காலாவதியாகாத கடவுச்சொற்களைக் கொண்ட செயலில் உள்ள பயனர்களின் எண்ணிக்கை
எந்தவொரு தாக்குதலாளியும் அத்தகைய கணக்கிற்கான அணுகலைப் பெறுவது எப்போதுமே ஒரு பெரிய வெற்றியாகும். கடவுச்சொல் காலாவதியாகாததால், தாக்குபவர் நெட்வொர்க்கிற்குள் நிரந்தரமான இடத்தைப் பெற்றுள்ளார், பின்னர் அதைப் பயன்படுத்தலாம் அல்லது உள்கட்டமைப்புக்குள் இயக்கங்கள்.
தாக்குபவர்கள் நம்பகத் திணிப்பு தாக்குதல்களில் பயன்படுத்தும் மில்லியன் கணக்கான பயனர்-கடவுச்சொல் சேர்க்கைகளின் பட்டியலைக் கொண்டுள்ளனர், மேலும் அது சாத்தியமாகும்
"நித்திய" கடவுச்சொல்லைக் கொண்ட பயனருக்கான சேர்க்கை இந்தப் பட்டியல்களில் ஒன்றில் உள்ளது, இது பூஜ்ஜியத்தை விட அதிகம்.
காலாவதியாகாத கடவுச்சொற்களைக் கொண்ட கணக்குகளை நிர்வகிக்க எளிதானது, ஆனால் அவை பாதுகாப்பாக இல்லை. அத்தகைய கடவுச்சொற்களைக் கொண்ட அனைத்து கணக்குகளையும் கண்டறிய இந்த விட்ஜெட்டைப் பயன்படுத்தவும். இந்த அமைப்பை மாற்றி உங்கள் கடவுச்சொல்லை புதுப்பிக்கவும்.
இந்த விட்ஜெட்டின் மதிப்பை பூஜ்ஜியமாக அமைத்தவுடன், அந்த கடவுச்சொல் மூலம் உருவாக்கப்பட்ட ஏதேனும் புதிய கணக்குகள் டாஷ்போர்டில் தோன்றும்.
2. SPN உடனான நிர்வாகக் கணக்குகளின் எண்ணிக்கை
SPN (சேவை முதன்மை பெயர்) என்பது ஒரு சேவை நிகழ்வின் தனிப்பட்ட அடையாளங்காட்டியாகும். எத்தனை சேவை கணக்குகளுக்கு முழு நிர்வாகி உரிமைகள் உள்ளன என்பதை இந்த விட்ஜெட் காட்டுகிறது. விட்ஜெட்டின் மதிப்பு பூஜ்ஜியமாக இருக்க வேண்டும். நிர்வாக உரிமைகளுடன் கூடிய SPN நிகழ்கிறது, ஏனெனில் அத்தகைய உரிமைகளை வழங்குவது மென்பொருள் விற்பனையாளர்கள் மற்றும் பயன்பாட்டு நிர்வாகிகளுக்கு வசதியானது, ஆனால் இது ஒரு பாதுகாப்பு அபாயத்தை ஏற்படுத்துகிறது.
சேவைக் கணக்கிற்கு நிர்வாக உரிமைகளை வழங்குவது, தாக்குபவர் பயன்பாட்டில் இல்லாத கணக்கிற்கான முழு அணுகலைப் பெற அனுமதிக்கிறது. இதன் பொருள், SPN கணக்குகளுக்கான அணுகலைக் கொண்ட தாக்குபவர்கள் தங்கள் செயல்பாடுகளைக் கண்காணிக்காமல் உள்கட்டமைப்பிற்குள் சுதந்திரமாக செயல்பட முடியும்.
சேவை கணக்குகளின் அனுமதிகளை மாற்றுவதன் மூலம் இந்த சிக்கலை நீங்கள் தீர்க்கலாம். அத்தகைய கணக்குகள் குறைந்தபட்ச சலுகையின் கொள்கைக்கு உட்பட்டதாக இருக்க வேண்டும் மற்றும் அவற்றின் செயல்பாட்டிற்கு உண்மையில் தேவையான அணுகலை மட்டுமே கொண்டிருக்க வேண்டும்.
இந்த விட்ஜெட்டைப் பயன்படுத்தி, நிர்வாக உரிமைகளைக் கொண்ட அனைத்து SPN களையும் நீங்கள் கண்டறியலாம், அத்தகைய சிறப்புரிமைகளை அகற்றலாம், பின்னர் SPNகளைக் கண்காணிக்கலாம்.
புதிதாக தோன்றும் SPN டாஷ்போர்டில் காட்டப்படும், மேலும் இந்த செயல்முறையை நீங்கள் கண்காணிக்க முடியும்.
3. Kerberos முன் அங்கீகாரம் தேவைப்படாத பயனர்களின் எண்ணிக்கை
வெறுமனே, கெர்பரோஸ் AES-256 குறியாக்கத்தைப் பயன்படுத்தி அங்கீகார டிக்கெட்டை என்க்ரிப்ட் செய்கிறது, இது இன்றுவரை உடைக்கப்படாமல் உள்ளது.
இருப்பினும், Kerberos இன் பழைய பதிப்புகள் RC4 குறியாக்கத்தைப் பயன்படுத்தின, இது இப்போது நிமிடங்களில் உடைக்கப்படும். எந்த பயனர் கணக்குகள் இன்னும் RC4 ஐப் பயன்படுத்துகின்றன என்பதை இந்த விட்ஜெட் காட்டுகிறது. மைக்ரோசாப்ட் இன்னும் பின்னோக்கி இணக்கத்தன்மைக்கு RC4 ஐ ஆதரிக்கிறது, ஆனால் நீங்கள் அதை உங்கள் AD இல் பயன்படுத்த வேண்டும் என்று அர்த்தமல்ல.
அத்தகைய கணக்குகளை நீங்கள் கண்டறிந்ததும், கணக்குகளை மிகவும் சிக்கலான குறியாக்கத்தைப் பயன்படுத்த கட்டாயப்படுத்த, AD இல் "Kerberos முன் அங்கீகாரம் தேவையில்லை" என்ற தேர்வுப்பெட்டியைத் தேர்வுநீக்க வேண்டும்.
வரோனிஸ் ஏடி டாஷ்போர்டு இல்லாமல் இந்தக் கணக்குகளை நீங்களே கண்டுபிடிப்பதற்கு நிறைய நேரம் எடுக்கும். உண்மையில், RC4 குறியாக்கத்தைப் பயன்படுத்துவதற்காகத் திருத்தப்பட்ட அனைத்து கணக்குகளையும் அறிந்திருப்பது இன்னும் கடினமான பணியாகும்.
விட்ஜெட்டின் மதிப்பு மாறினால், இது சட்டவிரோத செயல்பாட்டைக் குறிக்கலாம்.
4. கடவுச்சொல் இல்லாத பயனர்களின் எண்ணிக்கை
கணக்குப் பண்புகளில் AD இலிருந்து “PASSWD_NOTREQD” கொடியைப் படிக்க தாக்குபவர்கள் அடிப்படை PowerShell கட்டளைகளைப் பயன்படுத்துகின்றனர். இந்தக் கொடியின் பயன்பாடு கடவுச்சொல் தேவைகள் அல்லது சிக்கலான தேவைகள் எதுவும் இல்லை என்பதைக் குறிக்கிறது.
எளிய அல்லது வெற்று கடவுச்சொல் மூலம் கணக்கை திருடுவது எவ்வளவு எளிது? இந்த கணக்குகளில் ஒன்று நிர்வாகி என்று இப்போது கற்பனை செய்து பாருங்கள்.
அனைவருக்கும் திறந்திருக்கும் ஆயிரக்கணக்கான ரகசிய கோப்புகளில் ஒன்று வரவிருக்கும் நிதி அறிக்கையாக இருந்தால் என்ன செய்வது?
கட்டாய கடவுச்சொல் தேவையை புறக்கணிப்பது என்பது கடந்த காலத்தில் பயன்படுத்தப்பட்ட மற்றொரு கணினி நிர்வாக குறுக்குவழியாகும், ஆனால் இன்று ஏற்றுக்கொள்ளக்கூடியதாகவோ அல்லது பாதுகாப்பாகவோ இல்லை.
இந்தக் கணக்குகளுக்கான கடவுச்சொற்களைப் புதுப்பிப்பதன் மூலம் இந்தச் சிக்கலைச் சரிசெய்யவும்.
எதிர்காலத்தில் இந்த விட்ஜெட்டைக் கண்காணிப்பது கடவுச்சொல் இல்லாத கணக்குகளைத் தவிர்க்க உதவும்.
வரோனிஸ் முரண்பாடுகளை சமன் செய்கிறார்
கடந்த காலத்தில், இந்தக் கட்டுரையில் விவரிக்கப்பட்டுள்ள அளவீடுகளைச் சேகரித்து பகுப்பாய்வு செய்யும் பணி பல மணிநேரம் எடுத்தது மற்றும் பவர்ஷெல் பற்றிய ஆழமான அறிவு தேவைப்பட்டது, ஒவ்வொரு வாரமும் அல்லது மாதமும் இதுபோன்ற பணிகளுக்கு பாதுகாப்புக் குழுக்கள் வளங்களை ஒதுக்க வேண்டும். ஆனால் இந்த தகவலை கைமுறையாக சேகரித்தல் மற்றும் செயலாக்குவது தாக்குதல் நடத்துபவர்களுக்கு ஊடுருவி தரவுகளை திருட ஒரு தொடக்கத்தை அளிக்கிறது.
С AD டாஷ்போர்டு மற்றும் கூடுதல் கூறுகளை வரிசைப்படுத்த, விவாதிக்கப்பட்ட அனைத்து பாதிப்புகளையும் மற்றும் பலவற்றையும் சேகரிக்க நீங்கள் ஒரு நாள் செலவிடுவீர்கள். எதிர்காலத்தில், செயல்பாட்டின் போது, உள்கட்டமைப்பின் நிலை மாறும்போது கண்காணிப்பு குழு தானாகவே புதுப்பிக்கப்படும்.
சைபர் தாக்குதல்களை மேற்கொள்வது எப்போதும் தாக்குபவர்களுக்கும் பாதுகாவலர்களுக்கும் இடையேயான பந்தயமாகும், பாதுகாப்பு வல்லுநர்கள் அணுகலைத் தடுக்கும் முன் தாக்குபவர் தரவைத் திருட விரும்புகிறார். தாக்குபவர்களை முன்கூட்டியே கண்டறிதல் மற்றும் அவர்களின் சட்டவிரோத நடவடிக்கைகள், வலுவான இணைய பாதுகாப்பு ஆகியவை உங்கள் தரவைப் பாதுகாப்பாக வைத்திருப்பதற்கான திறவுகோலாகும்.
ஆதாரம்: www.habr.com