దాడి చేసే వ్యక్తికి మీ నెట్వర్క్లోకి ప్రవేశించడానికి సమయం మరియు ప్రేరణ అవసరం. కానీ మా పని అతను దీన్ని చేయకుండా నిరోధించడం లేదా కనీసం ఈ పనిని వీలైనంత కష్టతరం చేయడం. యాక్టివ్ డైరెక్టరీలో బలహీనతలను గుర్తించడం ద్వారా మీరు ప్రారంభించాలి (ఇకపై ADగా సూచిస్తారు) దాడి చేసే వ్యక్తి యాక్సెస్ని పొందేందుకు మరియు నెట్వర్క్ను గుర్తించకుండానే తరలించడానికి ఉపయోగించవచ్చు. ఈ రోజు ఈ కథనంలో మేము AD వరోనిస్ డ్యాష్బోర్డ్ను ఉదాహరణగా ఉపయోగించి, మీ సంస్థ యొక్క సైబర్ రక్షణలో ఇప్పటికే ఉన్న దుర్బలత్వాలను ప్రతిబింబించే ప్రమాద సూచికలను పరిశీలిస్తాము.
దాడి చేసేవారు డొమైన్లో నిర్దిష్ట కాన్ఫిగరేషన్లను ఉపయోగిస్తారు
దాడి చేసేవారు కార్పొరేట్ నెట్వర్క్లలోకి చొచ్చుకుపోవడానికి మరియు అధికారాలను పెంచుకోవడానికి వివిధ రకాల తెలివైన పద్ధతులు మరియు దుర్బలత్వాలను ఉపయోగిస్తారు. ఈ దుర్బలత్వాలలో కొన్ని డొమైన్ కాన్ఫిగరేషన్ సెట్టింగ్లు, వాటిని గుర్తించిన తర్వాత వాటిని సులభంగా మార్చవచ్చు.
మీరు (లేదా మీ సిస్టమ్ అడ్మినిస్ట్రేటర్లు) గత నెలలో KRBTGT పాస్వర్డ్ను మార్చనట్లయితే లేదా ఎవరైనా డిఫాల్ట్ బిల్ట్-ఇన్ అడ్మినిస్ట్రేటర్ ఖాతాతో ప్రామాణీకరించినట్లయితే AD డాష్బోర్డ్ వెంటనే మిమ్మల్ని హెచ్చరిస్తుంది. ఈ రెండు ఖాతాలు మీ నెట్వర్క్కు అపరిమిత యాక్సెస్ను అందిస్తాయి: అటాకర్లు అధికారాలు మరియు యాక్సెస్ అనుమతులలో ఏవైనా పరిమితులను సులభంగా దాటవేయడానికి వాటికి ప్రాప్యతను పొందడానికి ప్రయత్నిస్తారు. మరియు, ఫలితంగా, వారికి ఆసక్తి ఉన్న ఏదైనా డేటాకు వారు యాక్సెస్ పొందుతారు.
వాస్తవానికి, మీరు ఈ దుర్బలత్వాలను మీరే కనుగొనవచ్చు: ఉదాహరణకు, ఈ సమాచారాన్ని సేకరించడానికి PowerShell స్క్రిప్ట్ను తనిఖీ చేయడానికి లేదా అమలు చేయడానికి క్యాలెండర్ రిమైండర్ను సెట్ చేయండి.
Varonis డ్యాష్బోర్డ్ అప్డేట్ చేయబడుతోంది స్వయంచాలకంగా సంభావ్య దుర్బలత్వాలను హైలైట్ చేసే కీ కొలమానాల యొక్క శీఘ్ర దృశ్యమానత మరియు విశ్లేషణను అందించడానికి, మీరు వాటిని పరిష్కరించడానికి తక్షణ చర్య తీసుకోవచ్చు.
3 కీ డొమైన్ స్థాయి ప్రమాద సూచికలు
దిగువన వరోనిస్ డాష్బోర్డ్లో అనేక విడ్జెట్లు అందుబాటులో ఉన్నాయి, వీటిని ఉపయోగించడం వల్ల కార్పొరేట్ నెట్వర్క్ మరియు మొత్తం IT మౌలిక సదుపాయాల రక్షణ గణనీయంగా పెరుగుతుంది.
1. కెర్బెరోస్ ఖాతా పాస్వర్డ్ గణనీయమైన కాలం వరకు మార్చబడని డొమైన్ల సంఖ్య
KRBTGT ఖాతా అనేది ADలో ప్రతిదానిపై సంతకం చేసే ప్రత్యేక ఖాతా . డొమైన్ కంట్రోలర్ (DC)కి యాక్సెస్ని పొందిన దాడి చేసేవారు ఈ ఖాతాను సృష్టించడానికి ఉపయోగించవచ్చు , ఇది వారికి కార్పొరేట్ నెట్వర్క్లోని దాదాపు ఏదైనా సిస్టమ్కు అపరిమిత ప్రాప్యతను ఇస్తుంది. గోల్డెన్ టిక్కెట్ను విజయవంతంగా పొందిన తర్వాత, దాడి చేసే వ్యక్తి రెండేళ్లపాటు సంస్థ యొక్క నెట్వర్క్కు యాక్సెస్ను కలిగి ఉన్న పరిస్థితిని మేము ఎదుర్కొన్నాము. మీ కంపెనీలో KRBTGT ఖాతా పాస్వర్డ్ గత నలభై రోజులలో మార్చబడకపోతే, విడ్జెట్ దీని గురించి మీకు తెలియజేస్తుంది.
దాడి చేసే వ్యక్తి నెట్వర్క్కి యాక్సెస్ పొందడానికి నలభై రోజుల సమయం సరిపోతుంది. అయినప్పటికీ, మీరు ఈ పాస్వర్డ్ని క్రమం తప్పకుండా మార్చే ప్రక్రియను అమలు చేసి, ప్రామాణికంగా మార్చినట్లయితే, దాడి చేసే వ్యక్తి మీ కార్పొరేట్ నెట్వర్క్లోకి ప్రవేశించడం మరింత కష్టతరం చేస్తుంది.
మైక్రోసాఫ్ట్ యొక్క Kerberos ప్రోటోకాల్ అమలు ప్రకారం, మీరు తప్పక గుర్తుంచుకోవాలి KRBTGT.
భవిష్యత్తులో, మీ నెట్వర్క్లోని అన్ని డొమైన్ల కోసం మళ్లీ KRBTGT పాస్వర్డ్ను మార్చాల్సిన సమయం వచ్చినప్పుడు ఈ AD విడ్జెట్ మీకు గుర్తు చేస్తుంది.
2. బిల్ట్-ఇన్ అడ్మినిస్ట్రేటర్ ఖాతా ఇటీవల ఉపయోగించబడిన డొమైన్ల సంఖ్య
ప్రకారం — సిస్టమ్ అడ్మినిస్ట్రేటర్లకు రెండు ఖాతాలు అందించబడ్డాయి: మొదటిది రోజువారీ ఉపయోగం కోసం ఒక ఖాతా, మరియు రెండవది ప్రణాళికాబద్ధమైన పరిపాలనా పని కోసం. డిఫాల్ట్ అడ్మినిస్ట్రేటర్ ఖాతాను ఎవరూ ఉపయోగించకూడదని దీని అర్థం.
అంతర్నిర్మిత అడ్మినిస్ట్రేటర్ ఖాతా తరచుగా సిస్టమ్ అడ్మినిస్ట్రేషన్ ప్రక్రియను సులభతరం చేయడానికి ఉపయోగించబడుతుంది. ఇది హ్యాకింగ్కు దారితీసే చెడు అలవాటుగా మారుతుంది. ఇది మీ సంస్థలో జరిగితే, ఈ ఖాతా యొక్క సరైన ఉపయోగం మరియు సంభావ్య హానికరమైన యాక్సెస్ మధ్య తేడాను గుర్తించడంలో మీకు ఇబ్బంది ఉంటుంది.
విడ్జెట్ సున్నా కాకుండా ఏదైనా చూపిస్తే, ఎవరైనా నిర్వాహక ఖాతాలతో సరిగ్గా పని చేయడం లేదు. ఈ సందర్భంలో, అంతర్నిర్మిత అడ్మినిస్ట్రేటర్ ఖాతాకు ప్రాప్యతను సరిచేయడానికి మరియు పరిమితం చేయడానికి మీరు తప్పక చర్యలు తీసుకోవాలి.
మీరు సున్నా యొక్క విడ్జెట్ విలువను సాధించిన తర్వాత మరియు సిస్టమ్ అడ్మినిస్ట్రేటర్లు ఇకపై ఈ ఖాతాను వారి పని కోసం ఉపయోగించరు, భవిష్యత్తులో, దీనిలో ఏదైనా మార్పు సంభావ్య సైబర్ దాడిని సూచిస్తుంది.
3. రక్షిత వినియోగదారుల సమూహం లేని డొమైన్ల సంఖ్య
AD యొక్క పాత సంస్కరణలు బలహీనమైన ఎన్క్రిప్షన్ రకానికి మద్దతునిచ్చాయి - RC4. హ్యాకర్లు చాలా సంవత్సరాల క్రితం RC4ని హ్యాక్ చేసారు మరియు ఇప్పుడు RC4ని ఉపయోగిస్తున్న ఖాతాను దాడి చేసే వ్యక్తికి హ్యాక్ చేయడం చాలా చిన్న పని. విండోస్ సర్వర్ 2012లో పరిచయం చేయబడిన యాక్టివ్ డైరెక్టరీ వెర్షన్ ప్రొటెక్టెడ్ యూజర్స్ గ్రూప్ అనే కొత్త రకం యూజర్ గ్రూప్ని పరిచయం చేసింది. ఇది అదనపు భద్రతా సాధనాలను అందిస్తుంది మరియు RC4 గుప్తీకరణను ఉపయోగించి వినియోగదారు ప్రమాణీకరణను నిరోధిస్తుంది.
సంస్థలోని ఏదైనా డొమైన్ అటువంటి సమూహాన్ని కోల్పోతే ఈ విడ్జెట్ ప్రదర్శిస్తుంది, తద్వారా మీరు దాన్ని పరిష్కరించవచ్చు, అనగా. రక్షిత వినియోగదారుల సమూహాన్ని ప్రారంభించండి మరియు మౌలిక సదుపాయాలను రక్షించడానికి దాన్ని ఉపయోగించండి.
దాడి చేసేవారికి సులభమైన లక్ష్యాలు
ప్రారంభ చొరబాటు ప్రయత్నాల నుండి అధికారాలను పెంచడం మరియు వారి కార్యకలాపాలను దాచడం వరకు దాడి చేసేవారికి వినియోగదారు ఖాతాలు ప్రథమ లక్ష్యం. దాడి చేసేవారు ప్రాథమిక PowerShell ఆదేశాలను ఉపయోగించి మీ నెట్వర్క్లో సాధారణ లక్ష్యాల కోసం వెతుకుతారు, వీటిని గుర్తించడం చాలా కష్టం. AD నుండి వీలైనన్ని ఈ సులభమైన లక్ష్యాలను తీసివేయండి.
దాడి చేసేవారు ఎప్పటికీ గడువు ముగియని పాస్వర్డ్లు (లేదా పాస్వర్డ్లు అవసరం లేనివారు), అడ్మినిస్ట్రేటర్లుగా ఉన్న సాంకేతిక ఖాతాలు మరియు లెగసీ RC4 ఎన్క్రిప్షన్ను ఉపయోగించే ఖాతాలతో వినియోగదారుల కోసం వెతుకుతున్నారు.
ఈ ఖాతాలలో ఏవైనా యాక్సెస్ చేయడం చాలా చిన్నవి లేదా సాధారణంగా పర్యవేక్షించబడవు. దాడి చేసేవారు ఈ ఖాతాలను స్వాధీనం చేసుకోవచ్చు మరియు మీ మౌలిక సదుపాయాలలో స్వేచ్ఛగా తరలించవచ్చు.
దాడి చేసేవారు భద్రతా చుట్టుకొలతలోకి ప్రవేశించిన తర్వాత, వారు కనీసం ఒక ఖాతాకు యాక్సెస్ని పొందే అవకాశం ఉంది. దాడిని గుర్తించి, కలిగి ఉండకముందే మీరు సున్నితమైన డేటాకు యాక్సెస్ పొందకుండా వారిని ఆపగలరా?
Varonis AD డ్యాష్బోర్డ్ హాని కలిగించే వినియోగదారు ఖాతాలను చూపుతుంది కాబట్టి మీరు సమస్యలను ముందుగానే పరిష్కరించవచ్చు. మీ నెట్వర్క్లోకి ప్రవేశించడం ఎంత కష్టమో, దాడి చేసే వ్యక్తి తీవ్రమైన నష్టాన్ని కలిగించే ముందు వారిని తటస్థీకరించే అవకాశాలు మెరుగ్గా ఉంటాయి.
వినియోగదారు ఖాతాల కోసం 4 కీలక ప్రమాద సూచికలు
అత్యంత హాని కలిగించే వినియోగదారు ఖాతాలను హైలైట్ చేసే Varonis AD డాష్బోర్డ్ విడ్జెట్ల ఉదాహరణలు క్రింద ఉన్నాయి.
1. ఎప్పటికీ గడువు ముగియని పాస్వర్డ్లతో క్రియాశీల వినియోగదారుల సంఖ్య
దాడి చేసేవారు ఎవరైనా అలాంటి ఖాతాకు ప్రాప్యతను పొందడం ఎల్లప్పుడూ గొప్ప విజయమే. పాస్వర్డ్ గడువు ఎప్పటికీ ముగియదు కాబట్టి, దాడి చేసే వ్యక్తి నెట్వర్క్లో శాశ్వత స్థావరాన్ని కలిగి ఉంటాడు, ఆ తర్వాత దానిని ఉపయోగించవచ్చు లేదా మౌలిక సదుపాయాలలో కదలికలు.
దాడి చేసేవారు క్రెడెన్షియల్ స్టఫింగ్ అటాక్స్లో ఉపయోగించే మిలియన్ల కొద్దీ యూజర్-పాస్వర్డ్ కాంబినేషన్ల జాబితాలను కలిగి ఉంటారు మరియు సంభావ్యత ఏమిటంటే
"ఎటర్నల్" పాస్వర్డ్తో వినియోగదారు కోసం కలయిక ఈ జాబితాలలో ఒకదానిలో ఉంది, ఇది సున్నా కంటే చాలా ఎక్కువ.
గడువు ముగియని పాస్వర్డ్లతో ఖాతాలను నిర్వహించడం సులభం, కానీ అవి సురక్షితంగా లేవు. అటువంటి పాస్వర్డ్లను కలిగి ఉన్న అన్ని ఖాతాలను కనుగొనడానికి ఈ విడ్జెట్ని ఉపయోగించండి. ఈ సెట్టింగ్ని మార్చండి మరియు మీ పాస్వర్డ్ని నవీకరించండి.
ఈ విడ్జెట్ విలువను సున్నాకి సెట్ చేసిన తర్వాత, ఆ పాస్వర్డ్తో సృష్టించబడిన ఏవైనా కొత్త ఖాతాలు డాష్బోర్డ్లో కనిపిస్తాయి.
2. SPNతో అడ్మినిస్ట్రేటివ్ ఖాతాల సంఖ్య
SPN (సర్వీస్ ప్రిన్సిపల్ నేమ్) అనేది సేవా ఉదాహరణ యొక్క ప్రత్యేక గుర్తింపు. ఈ విడ్జెట్ ఎన్ని సేవా ఖాతాలకు పూర్తి నిర్వాహక హక్కులు ఉన్నాయో చూపిస్తుంది. విడ్జెట్లోని విలువ తప్పనిసరిగా సున్నా అయి ఉండాలి. అటువంటి హక్కులను మంజూరు చేయడం సాఫ్ట్వేర్ విక్రేతలు మరియు అప్లికేషన్ అడ్మినిస్ట్రేటర్లకు సౌకర్యవంతంగా ఉంటుంది, అయితే ఇది భద్రతాపరమైన ప్రమాదాన్ని కలిగిస్తుంది కాబట్టి నిర్వాహక హక్కులతో SPN ఏర్పడుతుంది.
సేవా ఖాతాకు నిర్వాహక హక్కులను ఇవ్వడం వలన దాడి చేసే వ్యక్తి ఉపయోగంలో లేని ఖాతాకు పూర్తి ప్రాప్యతను పొందగలుగుతారు. SPN ఖాతాలకు యాక్సెస్తో దాడి చేసేవారు తమ కార్యకలాపాలను పర్యవేక్షించకుండానే మౌలిక సదుపాయాలలో స్వేచ్ఛగా ఆపరేట్ చేయగలరని దీని అర్థం.
సేవా ఖాతాల అనుమతులను మార్చడం ద్వారా మీరు ఈ సమస్యను పరిష్కరించవచ్చు. అలాంటి ఖాతాలు కనీసం ప్రత్యేక హక్కు సూత్రానికి లోబడి ఉండాలి మరియు వాటి ఆపరేషన్కు వాస్తవానికి అవసరమైన యాక్సెస్ మాత్రమే ఉండాలి.
ఈ విడ్జెట్ని ఉపయోగించి, మీరు అడ్మినిస్ట్రేటివ్ హక్కులను కలిగి ఉన్న అన్ని SPNలను గుర్తించవచ్చు, అటువంటి ప్రత్యేకాధికారాలను తీసివేయవచ్చు, ఆపై SPNలను పర్యవేక్షించవచ్చు, అదే సూత్రాన్ని ఉపయోగించి కనీసం ప్రత్యేక హక్కులు పొందవచ్చు.
కొత్తగా కనిపించే SPN డాష్బోర్డ్లో ప్రదర్శించబడుతుంది మరియు మీరు ఈ ప్రక్రియను పర్యవేక్షించగలరు.
3. Kerberos ముందస్తు ప్రమాణీకరణ అవసరం లేని వినియోగదారుల సంఖ్య
ఆదర్శవంతంగా, Kerberos AES-256 ఎన్క్రిప్షన్ని ఉపయోగించి ప్రామాణీకరణ టిక్కెట్ను ఎన్క్రిప్ట్ చేస్తుంది, ఇది నేటికీ విడదీయబడదు.
అయినప్పటికీ, Kerberos యొక్క పాత సంస్కరణలు RC4 ఎన్క్రిప్షన్ను ఉపయోగించాయి, ఇది ఇప్పుడు నిమిషాల్లో విచ్ఛిన్నమవుతుంది. ఈ విడ్జెట్ ఇప్పటికీ RC4ని ఉపయోగిస్తున్న వినియోగదారు ఖాతాలను చూపుతుంది. మైక్రోసాఫ్ట్ ఇప్పటికీ బ్యాక్వర్డ్ కంపాటబిలిటీ కోసం RC4కి మద్దతిస్తుంది, అయితే మీరు దీన్ని మీ ADలో ఉపయోగించాలని కాదు.
మీరు అటువంటి ఖాతాలను గుర్తించిన తర్వాత, ఖాతాలను మరింత సంక్లిష్టమైన ఎన్క్రిప్షన్ని ఉపయోగించమని బలవంతం చేయడానికి మీరు ADలో "Kerberos ప్రీ-ఆథరైజేషన్ అవసరం లేదు" చెక్బాక్స్ను అన్చెక్ చేయాలి.
వరోనిస్ AD డ్యాష్బోర్డ్ లేకుండా మీ స్వంతంగా ఈ ఖాతాలను కనుగొనడానికి చాలా సమయం పడుతుంది. వాస్తవానికి, RC4 ఎన్క్రిప్షన్ని ఉపయోగించడానికి సవరించబడిన అన్ని ఖాతాల గురించి తెలుసుకోవడం మరింత కష్టమైన పని.
విడ్జెట్లోని విలువ మారితే, ఇది చట్టవిరుద్ధమైన కార్యాచరణను సూచించవచ్చు.
4. పాస్వర్డ్ లేని వినియోగదారుల సంఖ్య
దాడి చేసేవారు ఖాతా ప్రాపర్టీలలో AD నుండి “PASSWD_NOTREQD” ఫ్లాగ్ను చదవడానికి ప్రాథమిక PowerShell ఆదేశాలను ఉపయోగిస్తారు. ఈ ఫ్లాగ్ ఉపయోగం పాస్వర్డ్ అవసరాలు లేదా సంక్లిష్టత అవసరాలు లేవని సూచిస్తుంది.
సాధారణ లేదా ఖాళీ పాస్వర్డ్తో ఖాతాను దొంగిలించడం ఎంత సులభం? ఇప్పుడు ఈ ఖాతాల్లో ఒకటి అడ్మినిస్ట్రేటర్ అని ఊహించుకోండి.
ప్రతి ఒక్కరికీ తెరిచిన వేల సంఖ్యలో రహస్య ఫైళ్లలో ఒకటి రాబోయే ఆర్థిక నివేదిక అయితే?
తప్పనిసరి పాస్వర్డ్ ఆవశ్యకతను విస్మరించడం అనేది గతంలో తరచుగా ఉపయోగించే మరొక సిస్టమ్ అడ్మినిస్ట్రేషన్ సత్వరమార్గం, కానీ నేడు ఆమోదయోగ్యం కాదు లేదా సురక్షితం కాదు.
ఈ ఖాతాల పాస్వర్డ్లను అప్డేట్ చేయడం ద్వారా ఈ సమస్యను పరిష్కరించండి.
భవిష్యత్తులో ఈ విడ్జెట్ను పర్యవేక్షించడం వలన మీరు పాస్వర్డ్ లేని ఖాతాలను నివారించడంలో సహాయపడుతుంది.
వరోనిస్ అసమానతలను సమం చేస్తుంది
గతంలో, ఈ కథనంలో వివరించిన కొలమానాలను సేకరించడం మరియు విశ్లేషించడం చాలా గంటలు పట్టింది మరియు PowerShell గురించి లోతైన జ్ఞానం అవసరం, భద్రతా బృందాలు ప్రతి వారం లేదా నెలలో ఇటువంటి పనులకు వనరులను కేటాయించడం అవసరం. కానీ ఈ సమాచారం యొక్క మాన్యువల్ సేకరణ మరియు ప్రాసెసింగ్ దాడి చేసేవారికి చొరబాటు మరియు డేటాను దొంగిలించడం ప్రారంభిస్తుంది.
С మీరు AD డ్యాష్బోర్డ్ మరియు అదనపు భాగాలను అమలు చేయడానికి, చర్చించిన అన్ని దుర్బలత్వాలను మరియు మరెన్నో సేకరించడానికి ఒక రోజు వెచ్చిస్తారు. భవిష్యత్తులో, ఆపరేషన్ సమయంలో, అవస్థాపన స్థితి మారినప్పుడు పర్యవేక్షణ ప్యానెల్ స్వయంచాలకంగా నవీకరించబడుతుంది.
సైబర్ దాడులను నిర్వహించడం అనేది దాడి చేసేవారికి మరియు రక్షకులకు మధ్య ఎల్లప్పుడూ పోటీగా ఉంటుంది, భద్రతా నిపుణులు దానికి యాక్సెస్ని నిరోధించేలోపు డేటాను దొంగిలించాలనే దాడి చేసే వ్యక్తి కోరిక. దాడి చేసేవారిని మరియు వారి చట్టవిరుద్ధ కార్యకలాపాలను ముందుగా గుర్తించడం, బలమైన సైబర్ రక్షణతో పాటు మీ డేటాను సురక్షితంగా ఉంచడంలో కీలకం.
మూలం: www.habr.com