Ба ҳамлагар танҳо вақт ва ҳавасмандӣ барои ворид шудан ба шабакаи шумо лозим аст. Аммо вазифаи мо аз он иборат аст, ки ба ин кор монеъ шавад ва ё акаллан ин вазифаро то хадди имкон душвор гардонем. Шумо бояд аз муайян кардани заъфҳои дар Active Directory (минбаъд AD номида мешавад) оғоз кунед, ки ҳамлакунанда метавонад барои дастрасӣ ва ҳаракат дар шабака бидуни ошкор истифода шавад. Имрӯз дар ин мақола мо нишондиҳандаҳои хавфро дида мебароем, ки осебпазириҳои мавҷударо дар дифои киберии ташкилоти шумо инъикос мекунанд, бо истифода аз панели AD Varonis ҳамчун намуна.
Ҳамлагарон конфигуратсияҳои муайянро дар домен истифода мебаранд
Ҳамлагарон барои ворид шудан ба шабакаҳои корпоративӣ ва баланд бардоштани имтиёзҳо аз усулҳои гуногуни доно ва осебпазирӣ истифода мекунанд. Баъзе аз ин осебпазириҳо танзимоти конфигуратсияи домен мебошанд, ки пас аз муайян кардани онҳо метавонанд ба осонӣ тағир дода шаванд.
Агар шумо (ё маъмурони системаи шумо) пароли KRBTGT-ро дар як моҳи охир иваз накардаед ё касе бо ҳисоби пешфарзии дарунсохт тасдиқ карда шуда бошад, панели идоракунии AD шуморо фавран огоҳ мекунад. Ин ду ҳисоб дастрасии номаҳдудро ба шабакаи шумо фароҳам меоранд: ҳамлагарон кӯшиш мекунанд, ки ба онҳо дастрасӣ пайдо кунанд, то ҳама гуна маҳдудиятҳоро дар имтиёзҳо ва иҷозатҳои дастрасӣ ба осонӣ гузаранд. Ва, дар натиҷа, онҳо ба ҳама гуна маълумоте, ки ба онҳо таваҷҷӯҳ доранд, дастрасӣ пайдо мекунанд.
Албатта, шумо метавонед ин осебпазириро худатон кашф кунед: масалан, ёдраскунии тақвимро барои тафтиш ё иҷро кардани скрипти PowerShell барои ҷамъоварии ин маълумот насб кунед.
Панели асбобҳои Varonis нав карда мешавад худкор ба зудӣ дидан ва таҳлили ченакҳои калидӣ, ки осебпазириҳои эҳтимолиро нишон медиҳанд, таъмин карда шавад, то шумо барои бартараф кардани онҳо чораҳои фаврӣ андешед.
3 Нишондиҳандаҳои асосии хавфи сатҳи домен
Дар зер як қатор виджетҳо дар панели идоракунӣ мавҷуданд, ки истифодаи онҳо ҳифзи шабакаи корпоративӣ ва инфрасохтори IT-ро дар маҷмӯъ ба таври назаррас афзоиш медиҳад.
1. Шумораи доменҳо, ки барои онҳо пароли ҳисоби Kerberos дар муддати тӯлонӣ тағир наёфтааст
Ҳисоби KRBTGT ҳисоби махсус дар AD мебошад, ки ҳама чизро имзо мекунад . Ҳамлагароне, ки ба контроллери домен (DC) дастрасӣ пайдо мекунанд, метавонанд ин ҳисобро барои эҷод истифода баранд , ки ба онҳо дастрасии номаҳдуд ба қариб ҳама системаҳои шабакаи корпоративӣ медиҳад. Мо ба вазъияте дучор шудем, ки пас аз бомуваффақият ба даст овардани Чиптаи тиллоӣ, ҳамлагар ба шабакаи созмон дар тӯли ду сол дастрасӣ дошт. Агар гузарвожаи ҳисоби KRBTGT дар ширкати шумо дар чиҳил рӯзи охир иваз карда нашавад, виҷет шуморо дар ин бора огоҳ мекунад.
Чиҳил рӯз вақти кофӣ барои ҳамлагар барои дастрасӣ ба шабака аст. Аммо, агар шумо раванди тағир додани ин паролро ба таври мунтазам татбиқ ва стандартизатсия кунед, он барои ҳамла ба шабакаи корпоративии шумо ворид шуданро хеле душвортар мекунад.
Дар хотир доред, ки мувофиқи татбиқи Microsoft протоколи Kerberos, шумо бояд KRBTGT.
Дар оянда, ин виҷети AD ба шумо хотиррасон мекунад, ки вақти иваз кардани пароли KRBTGT барои ҳама доменҳои шабакаи шумо расидааст.
2. Шумораи доменҳо, ки дар он ҳисоби администратори дарунсохт ба наздикӣ истифода шудааст
Мувофиқи маълумот — ба маъмурони система ду счёт дода мешавад: якум счёт барои истифодаи харруза ва дуюм барои кори маъмурии планй. Ин маънои онро дорад, ки ҳеҷ кас набояд ҳисоби пешфарзии администраторро истифода барад.
Ҳисоби администратори дарунсохт аксар вақт барои содда кардани раванди идоракунии система истифода мешавад. Ин метавонад ба як одати бад табдил ёбад, ки ба ҳакерӣ оварда мерасонад. Агар ин дар ташкилоти шумо рух диҳад, шумо дар байни истифодаи дурусти ин ҳисоб ва дастрасии эҳтимолии зараровар фарқ кардан душвор хоҳад буд.
Агар виҷет ғайр аз сифр чизи дигареро нишон диҳад, пас касе бо ҳисобҳои маъмурӣ дуруст кор намекунад. Дар ин ҳолат, шумо бояд барои ислоҳ ва маҳдуд кардани дастрасӣ ба ҳисоби администратори дарунсохт чораҳо андешед.
Пас аз он ки шумо арзиши виҷети сифрро ба даст овардед ва маъмурони система дигар ин ҳисобро барои кори худ истифода намебаранд, пас дар оянда ҳама гуна тағирот дар он ҳамлаи эҳтимолии кибериро нишон медиҳад.
3. Шумораи доменҳое, ки гурӯҳи корбарони ҳифзшуда надоранд
Версияҳои кӯҳнаи AD навъи рамзгузории заиф - RC4 -ро дастгирӣ мекарданд. Ҳакерҳо чандин сол пеш RC4-ро ҳакер карда буданд ва ҳоло барои ҳамлагар шикастани ҳисобе, ки то ҳол RC4-ро истифода мебарад, кори хеле ночиз аст. Версияи Active Directory, ки дар Windows Server 2012 муаррифӣ шудааст, як навъи нави гурӯҳи корбаронро бо номи Гурӯҳи корбарони ҳифзшуда муаррифӣ кард. Он воситаҳои иловагии амниятро таъмин мекунад ва тасдиқи корбарро бо истифода аз рамзгузории RC4 пешгирӣ мекунад.
Ин виҷет нишон медиҳад, ки оё дар ягон домени созмон чунин гурӯҳ мавҷуд нест, то шумо онро ислоҳ кунед, яъне. як гурӯҳи корбарони ҳифзшударо фаъол созед ва онро барои ҳифзи инфрасохтор истифода баред.
Ҳадафҳои осон барои ҳамлагарон
Ҳисобҳои корбарон ҳадафи рақами як барои ҳамлагарон мебошанд, аз кӯшишҳои аввалини ҳамла то афзоиши идомаи имтиёзҳо ва пинҳон кардани фаъолияти онҳо. Ҳамлагарон бо истифода аз фармонҳои асосии PowerShell дар шабакаи шумо ҳадафҳои оддиеро меҷӯянд, ки аксар вақт ошкор кардан душвор аст. Ҳарчи бештари ин ҳадафҳои осонро аз AD хориҷ кунед.
Ҳамлагарон корбаронеро меҷӯянд, ки гузарвожаҳои мӯҳлаташон дернашаванда (ё ки паролро талаб намекунанд), ҳисобҳои технологӣ, ки маъмуранд ва ҳисобҳое ҳастанд, ки рамзгузории RC4-ро истифода мебаранд.
Ҳар яке аз ин ҳисобҳо ё барои дастрасӣ ночиз ҳастанд ё умуман назорат карда намешаванд. Ҳамлагарон метавонанд ин ҳисобҳоро ба даст оранд ва дар дохили инфрасохтори шумо озодона ҳаракат кунанд.
Вақте ки ҳамлагарон ба периметри амният ворид мешаванд, онҳо эҳтимол ба ҳадди аққал як ҳисоб дастрасӣ пайдо мекунанд. Оё шумо метавонед онҳоро аз дастрасӣ ба маълумоти махфӣ пеш аз он ки ҳамла ошкор ва дар бар гирад, боздоред?
Панели асбобҳои Varonis AD ҳисобҳои осебпазири корбаронро нишон медиҳад, то шумо метавонед мушкилотро фаъолона ҳал кунед. Чӣ қадаре ки ворид шудан ба шабакаи шумо мушкилтар бошад, ҳамон қадар эҳтимолияти безарар кардани ҳамлагар пеш аз расонидани зарари ҷиддӣ беҳтар аст.
4 Нишондиҳандаҳои асосии хавф барои ҳисобҳои корбар
Дар зер намунаҳои виджетҳои панели Varonis AD оварда шудаанд, ки ҳисобҳои осебпазиртарини корбаронро таъкид мекунанд.
1. Шумораи корбарони фаъол бо паролҳое, ки ҳеҷ гоҳ мӯҳлаташон тамом намешавад
Барои ҳар як ҳамлагар дастрасӣ ба чунин ҳисоб ҳамеша муваффақияти бузург аст. Азбаски гузарвожа ҳеҷ гоҳ ба охир намерасад, ҳамлакунанда дар дохили шабака як пойгоҳи доимӣ дорад, ки пас аз он метавонад истифода шавад ё ҳаракатҳо дар дохили инфрасохтор.
Ҳамлагарон рӯйхати миллионҳо маҷмӯи паролҳои корбарро доранд, ки онҳо дар ҳамлаҳои пуркунии маълумот истифода мебаранд ва эҳтимоли он
ки омезиши корбар бо пароли "абадӣ" дар яке аз ин рӯйхатҳо аз сифр хеле бузургтар аст.
Ҳисобҳои дорои гузарвожаҳои мӯҳлаташон тамомнашударо идора кардан осон аст, аммо онҳо бехатар нестанд. Ин виҷетро барои пайдо кардани ҳамаи ҳисобҳое, ки чунин паролҳо доранд, истифода баред. Ин танзимотро тағир диҳед ва пароли худро навсозӣ кунед.
Вақте ки арзиши ин виджет ба сифр муқаррар карда мешавад, ҳама ҳисобҳои наве, ки бо он парол сохта шудаанд, дар панели идоракунӣ пайдо мешаванд.
2. Шумораи ҳисобҳои маъмурӣ бо SPN
SPN (Номи асосии хадамот) идентификатори беназири намунаи хидматрасонӣ мебошад. Ин виҷет нишон медиҳад, ки чӣ қадар ҳисобҳои хидматӣ дорои ҳуқуқи мукаммали администратор мебошанд. Қимати виҷет бояд сифр бошад. SPN бо ҳуқуқҳои маъмурӣ ба вуҷуд меояд, зеро додани чунин ҳуқуқҳо барои фурӯшандагони нармафзор ва маъмурони барномаҳо қулай аст, аммо он хатари амниятро ба бор меорад.
Додани ҳуқуқҳои маъмурии ҳисоби хидматӣ ба ҳамлагар имкон медиҳад, ки ба ҳисоби истифоданашуда дастрасии пурра пайдо кунад. Ин маънои онро дорад, ки ҳамлагарон, ки ба ҳисобҳои SPN дастрасӣ доранд, метавонанд дар дохили инфрасохтор бидуни назорати фаъолияти онҳо озодона фаъолият кунанд.
Шумо метавонед ин масъаларо тавассути тағир додани иҷозатҳо дар ҳисобҳои хидматӣ ҳал кунед. Чунин ҳисобҳо бояд ба принсипи имтиёзҳои камтарин тобеъ бошанд ва танҳо дастрасӣ дошта бошанд, ки воқеан барои фаъолияти онҳо зарур аст.
Бо истифода аз ин видҷет, шумо метавонед ҳамаи SPN-ҳоро, ки ҳуқуқи маъмурӣ доранд, ошкор кунед, чунин имтиёзҳоро хориҷ кунед ва сипас SPN-ро бо истифода аз ҳамон принсипи дастрасии камтарин имтиёзнок назорат кунед.
SPN-и нав пайдошуда дар панели идоракунӣ намоиш дода мешавад ва шумо метавонед ин равандро назорат кунед.
3. Шумораи корбароне, ки тасдиқи пешакии Kerberos-ро талаб намекунанд
Идеалӣ, Kerberos чиптаи аутентификатсияро бо истифода аз рамзгузории AES-256 рамзгузорӣ мекунад, ки то имрӯз шикастнопазир боқӣ мемонад.
Аммо, версияҳои кӯҳнаи Kerberos рамзгузории RC4-ро истифода мебурданд, ки ҳоло онро дар дақиқаҳо шикастан мумкин аст. Ин виҷет нишон медиҳад, ки кадом ҳисобҳои корбар то ҳол RC4-ро истифода мебаранд. Microsoft то ҳол RC4-ро барои мутобиқати ақиб дастгирӣ мекунад, аммо ин маънои онро надорад, ки шумо бояд онро дар AD-и худ истифода баред.
Пас аз он ки шумо чунин ҳисобҳоро муайян кардед, шумо бояд қуттии аломати "авторизатсияи пешакии Kerberosро талаб намекунад" -ро дар AD хориҷ кунед, то ҳисобҳоро маҷбур созед, ки рамзгузории мураккабтарро истифода баранд.
Кашфи ин ҳисобҳо мустақилона, бидуни панели Varonis AD, вақти зиёдро мегирад. Дар асл, огоҳ будан аз ҳамаи ҳисобҳое, ки барои истифодаи рамзгузории RC4 таҳрир карда мешаванд, кори боз ҳам мушкилтар аст.
Агар арзиши виджет тағир ёбад, ин метавонад фаъолияти ғайриқонуниро нишон диҳад.
4. Шумораи истифодабарандагони бе парол
Ҳамлагарон фармонҳои асосии PowerShell-ро барои хондани парчами "PASSWD_NOTREQD" аз AD дар хосиятҳои ҳисоб истифода мебаранд. Истифодаи ин парчам нишон медиҳад, ки ҳеҷ гуна талаботи парол ё талаботи мураккаб вуҷуд надорад.
Дуздидани ҳисоб бо пароли оддӣ ё холӣ то чӣ андоза осон аст? Акнун тасаввур кунед, ки яке аз ин ҳисобҳо администратор аст.
Чӣ мешавад, агар яке аз ҳазорон файлҳои махфии барои ҳама кушодашуда ҳисоботи молиявии дарпешистода бошад?
Нодида гирифтани талаботи ҳатмии парол як миёнабури дигари маъмурияти система аст, ки аксар вақт дар гузашта истифода мешуд, аммо имрӯз на қобили қабул ва на бехатар аст.
Ин масъаларо тавассути навсозии паролҳо барои ин ҳисобҳо ҳал кунед.
Мониторинги ин виджет дар оянда ба шумо кӯмак мекунад, ки аз ҳисобҳои бидуни парол канорагирӣ кунед.
Варонис эҳтимолиятҳоро баробар мекунад
Дар гузашта, кори ҷамъоварӣ ва таҳлили ченакҳои дар ин мақола тавсифшуда соатҳои зиёдро талаб мекард ва дониши амиқи PowerShellро талаб мекард, ки аз гурӯҳҳои амниятӣ талаб мекард, ки ҳар ҳафта ё моҳ захираҳоро барои чунин вазифаҳо ҷудо кунанд. Аммо ҷамъоварӣ ва коркарди дастӣ ин маълумот ба ҳамлагарон имкони ворид шудан ва дуздидани маълумот медиҳад.
С Шумо як рӯзро барои ҷойгиркунии панели AD ва ҷузъҳои иловагӣ сарф мекунед, ҳама осебпазириҳои муҳокимашуда ва бисёр чизҳои дигарро ҷамъ кунед. Дар оянда, ҳангоми кор, панели мониторинг ҳангоми тағирёбии ҳолати инфрасохтор ба таври худкор нав карда мешавад.
Гузаронидани ҳамлаҳои киберӣ ҳамеша як мусобиқа байни ҳамлагарон ва муҳофизон аст, хоҳиши ҳамлагар барои дуздидани маълумот пеш аз он ки мутахассисони амният дастрасиро ба он манъ кунанд. Муайян кардани барвақти ҳамлагарон ва фаъолиятҳои ғайриқонунии онҳо дар якҷоягӣ бо муҳофизати пурқуввати киберӣ калиди бехатарии маълумоти шумост.
Манбаъ: will.com