Ang kailangan lang ng attacker ay oras at motibasyon na pumasok sa iyong network. Ngunit ang aming trabaho ay upang pigilan siya mula sa paggawa nito, o hindi bababa sa gawin ang gawaing ito bilang mahirap hangga't maaari. Kailangan mong magsimula sa pamamagitan ng pagtukoy ng mga kahinaan sa Active Directory (mula rito ay tinutukoy bilang AD) na magagamit ng isang attacker upang makakuha ng access at lumipat sa paligid ng network nang hindi natukoy. Ngayon sa artikulong ito titingnan natin ang mga tagapagpahiwatig ng panganib na nagpapakita ng mga kasalukuyang kahinaan sa cyber defense ng iyong organisasyon, gamit ang AD Varonis dashboard bilang isang halimbawa.
Gumagamit ang mga attacker ng ilang partikular na configuration sa domain
Gumagamit ang mga umaatake ng iba't ibang matatalinong diskarte at kahinaan para makapasok sa mga corporate network at palakihin ang mga pribilehiyo. Ang ilan sa mga kahinaang ito ay mga setting ng configuration ng domain na madaling mabago kapag natukoy ang mga ito.
Aalertuhan ka kaagad ng AD dashboard kung ikaw (o ang iyong mga system administrator) ay hindi nagbago ng KRBTGT password noong nakaraang buwan, o kung may nag-authenticate gamit ang default na built-in na Administrator account. Ang dalawang account na ito ay nagbibigay ng walang limitasyong pag-access sa iyong network: susubukan ng mga umaatake na makakuha ng access sa kanila upang madaling ma-bypass ang anumang mga paghihigpit sa mga pribilehiyo at mga pahintulot sa pag-access. At, bilang resulta, nakakakuha sila ng access sa anumang data na kinaiinteresan nila.
Siyempre, matutuklasan mo mismo ang mga kahinaan na ito: halimbawa, magtakda ng paalala sa kalendaryo para suriin o patakbuhin ang isang PowerShell script para kolektahin ang impormasyong ito.
Ina-update ang dashboard ng Varonis awtomatikong upang makapagbigay ng mabilis na kakayahang makita at pagsusuri ng mga pangunahing sukatan na nagha-highlight ng mga potensyal na kahinaan upang makagawa ka ng agarang pagkilos upang matugunan ang mga ito.
3 Pangunahing Tagapagpahiwatig ng Panganib sa Antas ng Domain
Nasa ibaba ang isang bilang ng mga widget na magagamit sa dashboard ng Varonis, ang paggamit nito ay makabuluhang magpapahusay sa proteksyon ng corporate network at IT infrastructure sa kabuuan.
1. Bilang ng mga domain kung saan hindi nabago ang password ng Kerberos account sa loob ng mahabang panahon
Ang KRBTGT account ay isang espesyal na account sa AD na pumipirma sa lahat . Maaaring gamitin ng mga attacker na nakakakuha ng access sa isang domain controller (DC) ang account na ito para gumawa , na magbibigay sa kanila ng walang limitasyong access sa halos anumang sistema sa corporate network. Nakatagpo kami ng sitwasyon kung saan, pagkatapos na matagumpay na makakuha ng Golden Ticket, nagkaroon ng access ang isang attacker sa network ng organisasyon sa loob ng dalawang taon. Kung ang password ng KRBTGT account sa iyong kumpanya ay hindi nabago sa nakalipas na apatnapung araw, aabisuhan ka ng widget tungkol dito.
Apatnapung araw ay higit pa sa sapat na oras para sa isang umaatake na magkaroon ng access sa network. Gayunpaman, kung regular mong ipapatupad at i-standardize ang proseso ng pagpapalit ng password na ito, magiging mas mahirap para sa isang umaatake na makapasok sa iyong corporate network.
Tandaan na ayon sa pagpapatupad ng Microsoft ng Kerberos protocol, dapat mong KRBTGT.
Sa hinaharap, ang AD widget na ito ay magpapaalala sa iyo kapag oras na para baguhin muli ang KRBTGT password para sa lahat ng domain sa iyong network.
2. Bilang ng mga domain kung saan ginamit kamakailan ang built-in na Administrator account
Ayon sa β Ang mga administrator ng system ay binibigyan ng dalawang account: ang una ay isang account para sa pang-araw-araw na paggamit, at ang pangalawa ay para sa nakaplanong gawaing pang-administratibo. Nangangahulugan ito na walang dapat gumamit ng default na administrator account.
Ang built-in na administrator account ay kadalasang ginagamit upang pasimplehin ang proseso ng pangangasiwa ng system. Ito ay maaaring maging isang masamang ugali, na nagreresulta sa pag-hack. Kung nangyari ito sa iyong organisasyon, mahihirapan kang makilala ang wastong paggamit ng account na ito at potensyal na malisyosong pag-access.
Kung ang widget ay nagpapakita ng kahit ano maliban sa zero, kung gayon ang isang tao ay hindi gumagana nang tama sa mga administratibong account. Sa kasong ito, dapat kang gumawa ng mga hakbang upang itama at limitahan ang pag-access sa built-in na administrator account.
Kapag nakamit mo na ang halaga ng widget na zero at hindi na ginagamit ng mga system administrator ang account na ito para sa kanilang trabaho, sa hinaharap, ang anumang pagbabago dito ay magsasaad ng potensyal na pag-atake sa cyber.
3. Bilang ng mga domain na walang pangkat ng mga Protektadong User
Sinuportahan ng mga lumang bersyon ng AD ang mahinang uri ng pag-encrypt - RC4. Na-hack ng mga hacker ang RC4 maraming taon na ang nakararaan, at ngayon ay napakaliit na gawain para sa isang umaatake na i-hack ang isang account na gumagamit pa rin ng RC4. Ang bersyon ng Active Directory na ipinakilala sa Windows Server 2012 ay nagpakilala ng bagong uri ng pangkat ng user na tinatawag na Protected Users Group. Nagbibigay ito ng mga karagdagang tool sa seguridad at pinipigilan ang pagpapatunay ng user gamit ang RC4 encryption.
Ipapakita ng widget na ito kung may anumang domain sa organisasyon na nawawala ang ganoong grupo para maayos mo ito, i.e. paganahin ang isang pangkat ng mga protektadong user at gamitin ito upang protektahan ang imprastraktura.
Madaling target para sa mga umaatake
Ang mga user account ay ang numero unong target para sa mga umaatake, mula sa paunang pagtatangka sa panghihimasok hanggang sa patuloy na pagdami ng mga pribilehiyo at pagtatago ng kanilang mga aktibidad. Ang mga umaatake ay naghahanap ng mga simpleng target sa iyong network gamit ang mga pangunahing PowerShell command na kadalasang mahirap matukoy. Alisin ang pinakamarami sa mga madaling target na ito mula sa AD hangga't maaari.
Naghahanap ang mga attacker ng mga user na may hindi nag-e-expire na password (o hindi nangangailangan ng mga password), mga account sa teknolohiya na mga administrator, at mga account na gumagamit ng legacy na RC4 encryption.
Anuman sa mga account na ito ay maaaring walang halaga upang ma-access o sa pangkalahatan ay hindi sinusubaybayan. Maaaring sakupin ng mga umaatake ang mga account na ito at malayang gumalaw sa loob ng iyong imprastraktura.
Sa sandaling makapasok ang mga umaatake sa perimeter ng seguridad, malamang na magkakaroon sila ng access sa kahit isang account. Maaari mo bang pigilan ang mga ito mula sa pagkakaroon ng access sa sensitibong data bago ang pag-atake ay natukoy at nakapaloob?
Ang dashboard ng Varonis AD ay ituturo ang mga mahihinang user account upang ma-troubleshoot mo ang mga problema nang maagap. Kung mas mahirap makapasok sa iyong network, mas malaki ang iyong pagkakataong ma-neutralize ang isang umaatake bago sila magdulot ng malubhang pinsala.
4 Pangunahing Tagapagpahiwatig ng Panganib para sa Mga Account ng Gumagamit
Nasa ibaba ang mga halimbawa ng mga widget ng dashboard ng Varonis AD na nagha-highlight sa mga pinaka-mahina na user account.
1. Bilang ng mga aktibong user na may mga password na hindi kailanman mawawalan ng bisa
Para sa sinumang umaatake na magkaroon ng access sa naturang account ay palaging isang mahusay na tagumpay. Dahil hindi kailanman mag-e-expire ang password, ang umaatake ay may permanenteng foothold sa loob ng network, na maaaring magamit o mga paggalaw sa loob ng imprastraktura.
Ang mga umaatake ay may mga listahan ng milyun-milyong kumbinasyon ng user-password na ginagamit nila sa mga pag-atake sa pagpupuno ng kredensyal, at ang posibilidad na
na ang kumbinasyon para sa user na may "walang hanggan" na password ay nasa isa sa mga listahang ito, na higit pa sa zero.
Ang mga account na may hindi nag-e-expire na mga password ay madaling pamahalaan, ngunit hindi sila secure. Gamitin ang widget na ito upang mahanap ang lahat ng mga account na may ganoong mga password. Baguhin ang setting na ito at i-update ang iyong password.
Kapag naitakda sa zero ang halaga ng widget na ito, lalabas sa dashboard ang anumang mga bagong account na ginawa gamit ang password na iyon.
2. Bilang ng mga administratibong account na may SPN
Ang SPN (Service Principal Name) ay isang natatanging identifier ng isang instance ng serbisyo. Ipinapakita ng widget na ito kung gaano karaming mga account ng serbisyo ang may ganap na mga karapatan ng administrator. Ang halaga sa widget ay dapat na zero. Ang SPN na may mga karapatang pang-administratibo ay nangyayari dahil ang pagbibigay ng mga naturang karapatan ay maginhawa para sa mga vendor ng software at mga administrator ng application, ngunit nagdudulot ito ng panganib sa seguridad.
Ang pagbibigay ng mga karapatang pang-administratibo sa account ng serbisyo ay nagbibigay-daan sa isang umaatake na makakuha ng ganap na access sa isang account na hindi ginagamit. Nangangahulugan ito na ang mga umaatake na may access sa mga SPN account ay maaaring malayang gumana sa loob ng imprastraktura nang hindi sinusubaybayan ang kanilang mga aktibidad.
Maaari mong lutasin ang isyung ito sa pamamagitan ng pagbabago ng mga pahintulot sa mga account ng serbisyo. Ang mga naturang account ay dapat na napapailalim sa prinsipyo ng hindi bababa sa pribilehiyo at mayroon lamang access na talagang kinakailangan para sa kanilang operasyon.
Gamit ang widget na ito, matutukoy mo ang lahat ng SPN na may mga karapatang pang-administratibo, alisin ang mga naturang pribilehiyo, at pagkatapos ay subaybayan ang mga SPN gamit ang parehong prinsipyo ng hindi gaanong pribilehiyong pag-access.
Ang bagong lalabas na SPN ay ipapakita sa dashboard, at masusubaybayan mo ang prosesong ito.
3. Bilang ng mga user na hindi nangangailangan ng paunang pagpapatunay ng Kerberos
Sa isip, ine-encrypt ng Kerberos ang tiket sa pagpapatunay gamit ang AES-256 encryption, na nananatiling hindi nababasag hanggang ngayon.
Gayunpaman, ang mga mas lumang bersyon ng Kerberos ay gumamit ng RC4 encryption, na maaari na ngayong sirain sa ilang minuto. Ipinapakita ng widget na ito kung aling mga user account ang gumagamit pa rin ng RC4. Sinusuportahan pa rin ng Microsoft ang RC4 para sa backwards compatibility, ngunit hindi iyon nangangahulugan na dapat mo itong gamitin sa iyong AD.
Kapag natukoy mo na ang mga ganoong account, kailangan mong alisan ng check ang checkbox na "hindi nangangailangan ng pre-authorization ng Kerberos" sa AD upang pilitin ang mga account na gumamit ng mas sopistikadong pag-encrypt.
Ang pagtuklas sa mga account na ito nang mag-isa, nang walang dashboard ng Varonis AD, ay tumatagal ng maraming oras. Sa totoo lang, ang pagkakaroon ng kamalayan sa lahat ng mga account na na-edit upang gumamit ng RC4 encryption ay isang mas mahirap na gawain.
Kung magbabago ang value sa widget, maaari itong magpahiwatig ng ilegal na aktibidad.
4. Bilang ng mga gumagamit na walang password
Gumagamit ang mga attacker ng mga pangunahing PowerShell command para basahin ang flag na βPASSWD_NOTREQDβ mula sa AD sa mga property ng account. Ang paggamit ng flag na ito ay nagpapahiwatig na walang mga kinakailangan sa password o mga kinakailangan sa pagiging kumplikado.
Gaano kadaling magnakaw ng account na may simple o blangkong password? Ngayon isipin na ang isa sa mga account na ito ay isang administrator.
Paano kung isa sa libu-libong kumpidensyal na file na bukas sa lahat ay isang paparating na ulat sa pananalapi?
Ang pagwawalang-bahala sa kinakailangang password ay isa pang shortcut sa pangangasiwa ng system na kadalasang ginagamit noong nakaraan, ngunit hindi katanggap-tanggap o ligtas sa ngayon.
Ayusin ang isyung ito sa pamamagitan ng pag-update ng mga password para sa mga account na ito.
Ang pagsubaybay sa widget na ito sa hinaharap ay makakatulong sa iyong maiwasan ang mga account na walang password.
Varonis evens the odds
Noong nakaraan, ang gawain ng pagkolekta at pagsusuri sa mga sukatan na inilarawan sa artikulong ito ay tumagal ng maraming oras at nangangailangan ng malalim na kaalaman sa PowerShell, na nangangailangan ng mga security team na maglaan ng mga mapagkukunan sa mga naturang gawain bawat linggo o buwan. Ngunit ang manu-manong pagkolekta at pagpoproseso ng impormasyong ito ay nagbibigay sa mga umaatake ng isang ulong simula upang makalusot at magnakaw ng data.
Π‘ Gugugugol ka ng isang araw upang i-deploy ang AD dashboard at mga karagdagang bahagi, kolektahin ang lahat ng mga kahinaan na tinalakay at marami pa. Sa hinaharap, sa panahon ng operasyon, ang monitoring panel ay awtomatikong ia-update habang nagbabago ang estado ng imprastraktura.
Ang pagsasagawa ng mga cyber attack ay palaging isang karera sa pagitan ng mga attacker at defender, ang pagnanais ng attacker na magnakaw ng data bago ma-block ng mga security specialist ang access dito. Ang maagang pagtuklas ng mga umaatake at ang kanilang mga ilegal na aktibidad, kasama ng malalakas na panlaban sa cyber, ay ang susi sa pagpapanatiling ligtas sa iyong data.
Pinagmulan: www.habr.com