โปรโฮสต์ > บล็อก > การบริหาร > 7 ตัวบ่งชี้ความเสี่ยง Active Directory หลักใน Varonis Dashboard

7 ตัวบ่งชี้ความเสี่ยง Active Directory หลักใน Varonis Dashboard

7 ตัวบ่งชี้ความเสี่ยง Active Directory หลักใน Varonis Dashboard

ผู้โจมตีต้องการเวลาและแรงจูงใจในการบุกเข้าไปในเครือข่ายของคุณ แต่งานของเราคือป้องกันไม่ให้เขาทำเช่นนี้ หรืออย่างน้อยก็ทำให้งานนี้ยากที่สุดเท่าที่จะเป็นไปได้ คุณต้องเริ่มต้นด้วยการระบุจุดอ่อนใน Active Directory (ต่อไปนี้จะเรียกว่า AD) ที่ผู้โจมตีสามารถใช้เพื่อเข้าถึงและเคลื่อนย้ายเครือข่ายโดยไม่ถูกตรวจพบ วันนี้ในบทความนี้ เราจะดูตัวบ่งชี้ความเสี่ยงที่สะท้อนถึงช่องโหว่ที่มีอยู่ในการป้องกันทางไซเบอร์ขององค์กรของคุณ โดยใช้แดชบอร์ด AD Varonis เป็นตัวอย่าง

ผู้โจมตีใช้การกำหนดค่าบางอย่างในโดเมน

ผู้โจมตีใช้เทคนิคอันชาญฉลาดและช่องโหว่ที่หลากหลายเพื่อเจาะเครือข่ายองค์กรและเพิ่มสิทธิพิเศษ ช่องโหว่เหล่านี้บางส่วนคือการตั้งค่าการกำหนดค่าโดเมนที่สามารถเปลี่ยนแปลงได้ง่ายเมื่อตรวจพบแล้ว

แดชบอร์ด AD จะแจ้งเตือนคุณทันทีหากคุณ (หรือผู้ดูแลระบบของคุณ) ไม่ได้เปลี่ยนรหัสผ่าน KRBTGT ในเดือนที่ผ่านมา หรือหากมีผู้รับรองความถูกต้องด้วยบัญชีผู้ดูแลระบบเริ่มต้นในตัว บัญชีทั้งสองนี้ให้การเข้าถึงเครือข่ายของคุณได้อย่างไม่จำกัด: ผู้โจมตีจะพยายามเข้าถึงเครือข่ายเหล่านี้เพื่อข้ามข้อจำกัดด้านสิทธิ์และการอนุญาตการเข้าถึงได้อย่างง่ายดาย และเป็นผลให้พวกเขาสามารถเข้าถึงข้อมูลใด ๆ ที่พวกเขาสนใจได้

แน่นอน คุณสามารถค้นพบช่องโหว่เหล่านี้ได้ด้วยตัวเอง เช่น ตั้งค่าการแจ้งเตือนปฏิทินเพื่อตรวจสอบหรือเรียกใช้สคริปต์ PowerShell เพื่อรวบรวมข้อมูลนี้

กำลังอัปเดตแดชบอร์ด Varonis อัตโนมัติ เพื่อให้มองเห็นได้อย่างรวดเร็วและวิเคราะห์ตัวชี้วัดหลักที่เน้นจุดอ่อนที่อาจเกิดขึ้น เพื่อให้คุณสามารถดำเนินการแก้ไขได้ทันที

3 ตัวบ่งชี้ความเสี่ยงระดับโดเมนหลัก

ด้านล่างนี้คือวิดเจ็ตจำนวนหนึ่งที่มีอยู่ในแดชบอร์ด Varonis ซึ่งการใช้งานดังกล่าวจะช่วยเพิ่มการป้องกันเครือข่ายองค์กรและโครงสร้างพื้นฐานด้านไอทีโดยรวมได้อย่างมาก

1. จำนวนโดเมนที่ไม่มีการเปลี่ยนแปลงรหัสผ่านบัญชี Kerberos เป็นระยะเวลาหนึ่ง

บัญชี KRBTGT เป็นบัญชีพิเศษใน AD ที่ลงนามทุกอย่าง ตั๋ว Kerberos . ผู้โจมตีที่เข้าถึงตัวควบคุมโดเมน (DC) สามารถใช้บัญชีนี้เพื่อสร้างได้ ตั๋วทองซึ่งจะทำให้พวกเขาสามารถเข้าถึงเกือบทุกระบบบนเครือข่ายองค์กรได้อย่างไม่จำกัด เราพบกับสถานการณ์ที่หลังจากได้รับ Golden Ticket สำเร็จแล้ว ผู้โจมตีก็สามารถเข้าถึงเครือข่ายขององค์กรได้เป็นเวลาสองปี หากรหัสผ่านบัญชี KRBTGT ในบริษัทของคุณไม่มีการเปลี่ยนแปลงในช่วงสี่สิบวันที่ผ่านมา วิดเจ็ตจะแจ้งให้คุณทราบเกี่ยวกับเรื่องนี้

สี่สิบวันเป็นเวลาเกินพอสำหรับผู้โจมตีในการเข้าถึงเครือข่าย อย่างไรก็ตาม หากคุณบังคับใช้และสร้างมาตรฐานให้กับกระบวนการเปลี่ยนรหัสผ่านนี้เป็นประจำ ผู้โจมตีจะเจาะเข้าสู่เครือข่ายองค์กรของคุณได้ยากขึ้นมาก

7 ตัวบ่งชี้ความเสี่ยง Active Directory หลักใน Varonis Dashboard
โปรดจำไว้ว่าตามการใช้งานโปรโตคอล Kerberos ของ Microsoft คุณต้อง เปลี่ยนรหัสผ่านสองครั้ง KRBTGT.

ในอนาคต วิดเจ็ต AD นี้จะเตือนคุณเมื่อถึงเวลาที่ต้องเปลี่ยนรหัสผ่าน KRBTGT อีกครั้งสำหรับโดเมนทั้งหมดในเครือข่ายของคุณ

2. จำนวนโดเมนที่ใช้บัญชีผู้ดูแลระบบในตัวเมื่อเร็วๆ นี้

ตามที่ หลักการของสิทธิพิเศษน้อยที่สุด — ผู้ดูแลระบบมีสองบัญชี: บัญชีแรกเป็นบัญชีสำหรับการใช้งานในชีวิตประจำวันและบัญชีที่สองสำหรับงานธุรการที่วางแผนไว้ ซึ่งหมายความว่าไม่มีใครควรใช้บัญชีผู้ดูแลระบบเริ่มต้น

บัญชีผู้ดูแลระบบในตัวมักใช้เพื่อลดความซับซ้อนของกระบวนการดูแลระบบ สิ่งนี้อาจกลายเป็นนิสัยที่ไม่ดี ส่งผลให้เกิดการแฮ็ก หากสิ่งนี้เกิดขึ้นในองค์กรของคุณ คุณจะประสบปัญหาในการแยกแยะระหว่างการใช้บัญชีนี้อย่างเหมาะสมและการเข้าถึงที่อาจเป็นอันตราย

7 ตัวบ่งชี้ความเสี่ยง Active Directory หลักใน Varonis Dashboard
หากวิดเจ็ตแสดงอย่างอื่นที่ไม่ใช่ศูนย์ แสดงว่ามีคนทำงานไม่ถูกต้องกับบัญชีผู้ดูแลระบบ ในกรณีนี้ คุณต้องดำเนินการเพื่อแก้ไขและจำกัดการเข้าถึงบัญชีผู้ดูแลระบบที่มีอยู่แล้วภายใน
เมื่อคุณได้รับค่าวิดเจ็ตเป็นศูนย์และผู้ดูแลระบบไม่ใช้บัญชีนี้ในการทำงานอีกต่อไป ในอนาคต การเปลี่ยนแปลงใด ๆ ในบัญชีนี้จะบ่งบอกถึงการโจมตีทางไซเบอร์ที่อาจเกิดขึ้น

3. จำนวนโดเมนที่ไม่มีกลุ่มผู้ใช้ที่ได้รับการคุ้มครอง

AD เวอร์ชันเก่ารองรับประเภทการเข้ารหัสที่ไม่รัดกุม - RC4 แฮกเกอร์แฮ็ก RC4 เมื่อหลายปีก่อน และตอนนี้กลายเป็นงานที่ไม่สำคัญสำหรับผู้โจมตีที่จะแฮ็กบัญชีที่ยังคงใช้ RC4 อยู่ เวอร์ชันของ Active Directory ที่เปิดตัวใน Windows Server 2012 นำเสนอกลุ่มผู้ใช้ประเภทใหม่ที่เรียกว่ากลุ่มผู้ใช้ที่ได้รับการป้องกัน มีเครื่องมือรักษาความปลอดภัยเพิ่มเติมและป้องกันการตรวจสอบผู้ใช้โดยใช้การเข้ารหัส RC4

วิดเจ็ตนี้จะแสดงให้เห็นว่าโดเมนใดในองค์กรขาดกลุ่มดังกล่าวเพื่อให้คุณสามารถแก้ไขได้ เช่น เปิดใช้งานกลุ่มผู้ใช้ที่ได้รับการป้องกันและใช้เพื่อปกป้องโครงสร้างพื้นฐาน

7 ตัวบ่งชี้ความเสี่ยง Active Directory หลักใน Varonis Dashboard

เป้าหมายง่ายสำหรับผู้โจมตี

บัญชีผู้ใช้เป็นเป้าหมายอันดับหนึ่งสำหรับผู้โจมตี ตั้งแต่ความพยายามบุกรุกครั้งแรกไปจนถึงการเพิ่มสิทธิพิเศษและการปกปิดกิจกรรมของพวกเขาอย่างต่อเนื่อง ผู้โจมตีมองหาเป้าหมายง่ายๆ บนเครือข่ายของคุณโดยใช้คำสั่ง PowerShell พื้นฐานที่มักตรวจจับได้ยาก ลบเป้าหมายง่ายๆ เหล่านี้ออกจาก AD ให้ได้มากที่สุด

ผู้โจมตีกำลังมองหาผู้ใช้ที่มีรหัสผ่านไม่มีวันหมดอายุ (หรือผู้ที่ไม่ต้องใช้รหัสผ่าน) บัญชีเทคโนโลยีที่เป็นผู้ดูแลระบบ และบัญชีที่ใช้การเข้ารหัส RC4 แบบเดิม

บัญชีเหล่านี้ไม่สำคัญในการเข้าถึงหรือโดยทั่วไปไม่ได้รับการตรวจสอบ ผู้โจมตีสามารถเข้ายึดบัญชีเหล่านี้และเคลื่อนย้ายภายในโครงสร้างพื้นฐานของคุณได้อย่างอิสระ

เมื่อผู้โจมตีเจาะขอบเขตการรักษาความปลอดภัย พวกเขามีแนวโน้มที่จะเข้าถึงบัญชีอย่างน้อยหนึ่งบัญชี คุณสามารถหยุดไม่ให้พวกเขาเข้าถึงข้อมูลที่ละเอียดอ่อนก่อนที่จะตรวจพบและควบคุมการโจมตีได้หรือไม่?

แดชบอร์ด Varonis AD จะชี้ให้เห็นบัญชีผู้ใช้ที่มีช่องโหว่ เพื่อให้คุณสามารถแก้ไขปัญหาเชิงรุกได้ ยิ่งเจาะเครือข่ายของคุณได้ยากเท่าใด โอกาสในการต่อต้านผู้โจมตีก่อนที่จะสร้างความเสียหายร้ายแรงก็จะยิ่งมากขึ้นเท่านั้น

4 ตัวชี้วัดความเสี่ยงที่สำคัญสำหรับบัญชีผู้ใช้

ด้านล่างนี้คือตัวอย่างวิดเจ็ตแดชบอร์ด Varonis AD ที่เน้นบัญชีผู้ใช้ที่มีความเสี่ยงมากที่สุด

1. จำนวนผู้ใช้งานที่มีรหัสผ่านไม่มีวันหมดอายุ

การที่ผู้โจมตีสามารถเข้าถึงบัญชีดังกล่าวได้ถือเป็นความสำเร็จที่ยิ่งใหญ่เสมอ เนื่องจากรหัสผ่านไม่มีวันหมดอายุ ผู้โจมตีจึงตั้งหลักถาวรภายในเครือข่าย ซึ่งจากนั้นจึงสามารถนำมาใช้ได้ การเพิ่มสิทธิพิเศษ หรือความเคลื่อนไหวภายในโครงสร้างพื้นฐาน
ผู้โจมตีมีรายการชุดรหัสผ่านผู้ใช้และรหัสผ่านหลายล้านชุดที่พวกเขาใช้ในการโจมตีด้วยการยัดข้อมูลประจำตัว และมีแนวโน้มว่า
การรวมกันสำหรับผู้ใช้ที่มีรหัสผ่าน "นิรันดร์" อยู่ในรายการใดรายการหนึ่งเหล่านี้ ซึ่งมากกว่าศูนย์มาก

บัญชีที่มีรหัสผ่านที่ไม่มีวันหมดอายุนั้นง่ายต่อการจัดการแต่ก็ไม่ปลอดภัย ใช้วิดเจ็ตนี้เพื่อค้นหาบัญชีทั้งหมดที่มีรหัสผ่านดังกล่าว เปลี่ยนการตั้งค่านี้และอัปเดตรหัสผ่านของคุณ

7 ตัวบ่งชี้ความเสี่ยง Active Directory หลักใน Varonis Dashboard
เมื่อตั้งค่าวิดเจ็ตนี้เป็นศูนย์ บัญชีใหม่ที่สร้างด้วยรหัสผ่านนั้นจะปรากฏในแดชบอร์ด

2. จำนวนบัญชีผู้ดูแลระบบที่มี SPN

SPN (ชื่อหลักบริการ) คือตัวระบุเฉพาะของอินสแตนซ์บริการ วิดเจ็ตนี้แสดงจำนวนบัญชีบริการที่มีสิทธิ์ผู้ดูแลระบบเต็มรูปแบบ ค่าบนวิดเจ็ตต้องเป็นศูนย์ SPN ที่มีสิทธิ์ระดับผู้ดูแลระบบเกิดขึ้นเนื่องจากการให้สิทธิ์ดังกล่าวสะดวกสำหรับผู้จำหน่ายซอฟต์แวร์และผู้ดูแลระบบแอปพลิเคชัน แต่จะก่อให้เกิดความเสี่ยงด้านความปลอดภัย

การให้สิทธิ์ผู้ดูแลระบบบัญชีบริการช่วยให้ผู้โจมตีสามารถเข้าถึงบัญชีที่ไม่ได้ใช้งานได้อย่างเต็มรูปแบบ ซึ่งหมายความว่าผู้โจมตีที่สามารถเข้าถึงบัญชี SPN สามารถทำงานได้อย่างอิสระภายในโครงสร้างพื้นฐานโดยไม่ต้องมีการตรวจสอบกิจกรรมของพวกเขา

คุณสามารถแก้ไขปัญหานี้ได้โดยการเปลี่ยนสิทธิ์ในบัญชีบริการ บัญชีดังกล่าวควรอยู่ภายใต้หลักการของสิทธิ์ขั้นต่ำและมีสิทธิ์เข้าถึงที่จำเป็นสำหรับการดำเนินการเท่านั้น

7 ตัวบ่งชี้ความเสี่ยง Active Directory หลักใน Varonis Dashboard
เมื่อใช้วิดเจ็ตนี้ คุณสามารถตรวจจับ SPN ทั้งหมดที่มีสิทธิ์ของผู้ดูแลระบบ ลบสิทธิ์ดังกล่าว และตรวจสอบ SPN โดยใช้หลักการเดียวกันของการเข้าถึงที่มีสิทธิพิเศษน้อยที่สุด

SPN ที่ปรากฏใหม่จะแสดงบนแดชบอร์ด และคุณจะสามารถติดตามกระบวนการนี้ได้

3. จำนวนผู้ใช้ที่ไม่จำเป็นต้องมีการตรวจสอบสิทธิ์ล่วงหน้าของ Kerberos

ตามหลักการแล้ว Kerberos จะเข้ารหัสตั๋วการตรวจสอบสิทธิ์โดยใช้การเข้ารหัส AES-256 ซึ่งยังคงไม่สามารถถอดรหัสได้จนถึงทุกวันนี้

อย่างไรก็ตาม Kerberos เวอร์ชันเก่าใช้การเข้ารหัส RC4 ซึ่งสามารถใช้งานไม่ได้ภายในไม่กี่นาที วิดเจ็ตนี้แสดงว่าบัญชีผู้ใช้ใดที่ยังคงใช้ RC4 Microsoft ยังคงรองรับ RC4 สำหรับความเข้ากันได้แบบย้อนหลัง แต่นั่นไม่ได้หมายความว่าคุณควรใช้ในโฆษณาของคุณ

7 ตัวบ่งชี้ความเสี่ยง Active Directory หลักใน Varonis Dashboard
เมื่อคุณระบุบัญชีดังกล่าวแล้ว คุณจะต้องยกเลิกการเลือกช่องทำเครื่องหมาย "ไม่จำเป็นต้องมีการอนุญาตล่วงหน้าของ Kerberos" ใน AD เพื่อบังคับให้บัญชีใช้การเข้ารหัสที่ซับซ้อนมากขึ้น

การค้นหาบัญชีเหล่านี้ด้วยตนเองโดยไม่ต้องใช้แดชบอร์ด Varonis AD นั้นใช้เวลานาน ในความเป็นจริง การตระหนักถึงบัญชีทั้งหมดที่ได้รับการแก้ไขเพื่อใช้การเข้ารหัส RC4 นั้นเป็นงานที่ยากยิ่งกว่า

หากค่าบนวิดเจ็ตเปลี่ยนแปลง อาจบ่งบอกถึงกิจกรรมที่ผิดกฎหมาย

4. จำนวนผู้ใช้ที่ไม่มีรหัสผ่าน

ผู้โจมตีใช้คำสั่ง PowerShell พื้นฐานเพื่ออ่านค่าสถานะ “PASSWD_NOTREQD” จาก AD ในคุณสมบัติของบัญชี การใช้แฟล็กนี้บ่งชี้ว่าไม่มีข้อกำหนดรหัสผ่านหรือข้อกำหนดที่ซับซ้อน
การขโมยบัญชีด้วยรหัสผ่านธรรมดาหรือว่างเปล่านั้นง่ายแค่ไหน? ทีนี้ลองจินตนาการว่าบัญชีใดบัญชีหนึ่งเหล่านี้เป็นผู้ดูแลระบบ

7 ตัวบ่งชี้ความเสี่ยง Active Directory หลักใน Varonis Dashboard
จะเกิดอะไรขึ้นหากไฟล์ที่เป็นความลับหนึ่งในหลายพันไฟล์ที่เปิดสำหรับทุกคนคือรายงานทางการเงินที่กำลังจะมีขึ้นเร็วๆ นี้

การเพิกเฉยต่อข้อกำหนดรหัสผ่านบังคับเป็นทางลัดการบริหารระบบอีกวิธีหนึ่งที่มักใช้ในอดีต แต่ปัจจุบันไม่เป็นที่ยอมรับและไม่ปลอดภัย

แก้ไขปัญหานี้โดยการอัปเดตรหัสผ่านสำหรับบัญชีเหล่านี้

การตรวจสอบวิดเจ็ตนี้ในอนาคตจะช่วยคุณหลีกเลี่ยงบัญชีที่ไม่มีรหัสผ่าน

วาโรนิสพยายามต่อรองให้เสมอกัน

ในอดีต งานรวบรวมและวิเคราะห์หน่วยเมตริกที่อธิบายไว้ในบทความนี้ใช้เวลาหลายชั่วโมงและต้องใช้ความรู้เชิงลึกเกี่ยวกับ PowerShell โดยกำหนดให้ทีมรักษาความปลอดภัยต้องจัดสรรทรัพยากรให้กับงานดังกล่าวทุกสัปดาห์หรือทุกเดือน แต่การรวบรวมและประมวลผลข้อมูลนี้ด้วยตนเองช่วยให้ผู้โจมตีสามารถแทรกซึมและขโมยข้อมูลได้

С วาโรนิส คุณจะใช้เวลาหนึ่งวันในการปรับใช้แดชบอร์ด AD และส่วนประกอบเพิ่มเติม รวบรวมช่องโหว่ทั้งหมดที่กล่าวถึง และอื่นๆ อีกมากมาย ในอนาคต ในระหว่างการดำเนินการ แผงการตรวจสอบจะได้รับการอัปเดตโดยอัตโนมัติเมื่อสถานะของโครงสร้างพื้นฐานเปลี่ยนแปลง

การโจมตีทางไซเบอร์นั้นเป็นการแข่งขันระหว่างผู้โจมตีและผู้ปกป้องเสมอ ซึ่งเป็นความปรารถนาของผู้โจมตีที่จะขโมยข้อมูลก่อนที่ผู้เชี่ยวชาญด้านความปลอดภัยจะสามารถบล็อกการเข้าถึงข้อมูลได้ การตรวจพบผู้โจมตีตั้งแต่เนิ่นๆ และกิจกรรมที่ผิดกฎหมาย ควบคู่ไปกับการป้องกันทางไซเบอร์ที่แข็งแกร่ง เป็นกุญแจสำคัญในการรักษาข้อมูลของคุณให้ปลอดภัย

ที่มา: will.com

เพิ่มความคิดเห็น