Bir saldırganın ağınıza sızmak için ihtiyaç duyduğu tek şey zaman ve motivasyondur. Ama bizim görevimiz onun bunu yapmasını engellemek, ya da en azından bu görevi olabildiğince zorlaştırmaktır. Bir saldırganın tespit edilmeden ağda erişim sağlamak ve hareket etmek için kullanabileceği Active Directory'deki (bundan sonra AD olarak anılacaktır) zayıflıkları tanımlayarak başlamanız gerekir. Bugün bu makalede, AD Varonis kontrol panelini örnek olarak kullanarak kuruluşunuzun siber savunmasındaki mevcut güvenlik açıklarını yansıtan risk göstergelerine bakacağız.
Saldırganlar etki alanında belirli yapılandırmaları kullanır
Saldırganlar, kurumsal ağlara sızmak ve ayrıcalıkları artırmak için çeşitli akıllı teknikler ve güvenlik açıkları kullanır. Bu güvenlik açıklarından bazıları, tanımlandıktan sonra kolayca değiştirilebilen etki alanı yapılandırma ayarlarıdır.
Siz (veya sistem yöneticileriniz) geçen ay KRBTGT şifresini değiştirmediyseniz veya birisi varsayılan yerleşik Yönetici hesabıyla kimlik doğrulaması yaptıysa, AD kontrol paneli sizi hemen uyaracaktır. Bu iki hesap, ağınıza sınırsız erişim sağlar: Saldırganlar, ayrıcalıklar ve erişim izinlerindeki kısıtlamaları kolayca atlamak için bu hesaplara erişmeye çalışacaktır. Ve sonuç olarak kendilerini ilgilendiren her türlü veriye erişim elde ediyorlar.
Elbette bu güvenlik açıklarını kendiniz keşfedebilirsiniz: örneğin, bu bilgileri toplamak için bir PowerShell betiğini kontrol etmek veya çalıştırmak için bir takvim hatırlatıcısı ayarlayın.
Varonis kontrol paneli güncelleniyor otomatik olarak Potansiyel güvenlik açıklarını vurgulayan temel ölçümlerin hızlı görünürlüğünü ve analizini sağlamak ve böylece bunları gidermek için anında harekete geçebilmenizi sağlamak.
3 Temel Etki Alanı Düzeyinde Risk Göstergesi
Aşağıda, Varonis kontrol panelinde bulunan ve bunların kullanımı kurumsal ağın ve bir bütün olarak BT altyapısının korumasını önemli ölçüde artıracak bir dizi widget bulunmaktadır.
1. Kerberos hesap şifresinin önemli bir süre boyunca değiştirilmediği alan adı sayısı
KRBTGT hesabı AD'de her şeyi imzalayan özel bir hesaptır . Bir etki alanı denetleyicisine (DC) erişim sağlayan saldırganlar, bu hesabı kullanarak Bu onlara kurumsal ağdaki hemen hemen her sisteme sınırsız erişim sağlayacak. Bir saldırganın Altın Bileti başarıyla aldıktan sonra iki yıl boyunca örgütün ağına erişim sağladığı bir durumla karşılaştık. Şirketinizdeki KRBTGT hesap şifresi son kırk gün içerisinde değiştirilmediyse widget sizi bu konuda bilgilendirecektir.
Kırk gün, bir saldırganın ağa erişmesi için fazlasıyla yeterli bir süre. Ancak bu şifreyi değiştirme sürecini düzenli olarak uygular ve standartlaştırırsanız, bir saldırganın kurumsal ağınıza sızması çok daha zor hale gelecektir.
Microsoft'un Kerberos protokolünü uygulamasına göre şunları yapmanız gerektiğini unutmayın: KRBTGT.
Gelecekte bu AD widget'ı, ağınızdaki tüm alan adları için KRBTGT şifresini tekrar değiştirme zamanının geldiğini size hatırlatacaktır.
2. Yerleşik Yönetici hesabının yakın zamanda kullanıldığı alan adlarının sayısı
Göre — sistem yöneticilerine iki hesap sağlanır: birincisi günlük kullanıma yönelik bir hesap, ikincisi ise planlı idari işler içindir. Bu, hiç kimsenin varsayılan yönetici hesabını kullanmaması gerektiği anlamına gelir.
Yerleşik yönetici hesabı genellikle sistem yönetimi sürecini basitleştirmek için kullanılır. Bu kötü bir alışkanlığa dönüşebilir ve bilgisayar korsanlığıyla sonuçlanabilir. Kuruluşunuzda bu durum meydana gelirse, bu hesabın doğru kullanımı ile potansiyel olarak kötü niyetli erişim arasında ayrım yapmakta zorluk çekeceksiniz.
Widget sıfırdan farklı bir değer gösteriyorsa birisi yönetim hesaplarıyla düzgün çalışmıyor demektir. Bu durumda, yerleşik yönetici hesabına erişimi düzeltmek ve sınırlamak için gerekli adımları atmanız gerekir.
Sıfır widget değerine ulaştığınızda ve sistem yöneticileri artık bu hesabı işleri için kullanmadıklarında, gelecekte bu hesapta yapılacak herhangi bir değişiklik potansiyel bir siber saldırıya işaret edecektir.
3. Korunan Kullanıcı grubuna sahip olmayan alan adlarının sayısı
AD'nin eski sürümleri zayıf bir şifreleme türünü (RC4) destekliyordu. Bilgisayar korsanları yıllar önce RC4'ü hacklemişti ve şimdi bir saldırganın hâlâ RC4 kullanan bir hesabı hacklemesi çok önemsiz bir görev. Windows Server 2012'de tanıtılan Active Directory sürümü, Korumalı Kullanıcılar Grubu adı verilen yeni bir kullanıcı grubu türünü tanıttı. Ek güvenlik araçları sağlar ve RC4 şifrelemesini kullanarak kullanıcı kimlik doğrulamasını önler.
Bu widget, kuruluştaki herhangi bir etki alanında böyle bir grubun eksik olup olmadığını gösterecek ve böylece bunu düzeltebileceksiniz. Bir grup korunan kullanıcıyı etkinleştirin ve bunu altyapıyı korumak için kullanın.
Saldırganlar için kolay hedefler
Kullanıcı hesapları, ilk izinsiz giriş girişimlerinden ayrıcalıkların sürekli olarak yükseltilmesine ve etkinliklerinin gizlenmesine kadar saldırganların bir numaralı hedefidir. Saldırganlar, genellikle tespit edilmesi zor olan temel PowerShell komutlarını kullanarak ağınızdaki basit hedefleri arar. Bu kolay hedeflerden mümkün olduğunca çoğunu AD'den kaldırın.
Saldırganlar, parolalarının süresi dolmayan (veya parola gerektirmeyen) kullanıcıları, yönetici teknoloji hesaplarını ve eski RC4 şifrelemesini kullanan hesapları arıyor.
Bu hesaplardan herhangi birinin erişimi ya önemsizdir ya da genellikle izlenmez. Saldırganlar bu hesapları ele geçirebilir ve altyapınız içerisinde serbestçe hareket edebilir.
Saldırganlar güvenlik çemberine girdikten sonra muhtemelen en az bir hesaba erişim elde edeceklerdir. Saldırı tespit edilip kontrol altına alınmadan önce onların hassas verilere erişmesini engelleyebilir misiniz?
Varonis AD kontrol paneli, savunmasız kullanıcı hesaplarını işaret edecek ve böylece sorunları proaktif bir şekilde giderebileceksiniz. Ağınıza sızmak ne kadar zor olursa, saldırganı ciddi hasara neden olmadan etkisiz hale getirme şansınız o kadar artar.
Kullanıcı Hesaplarına İlişkin 4 Temel Risk Göstergesi
Aşağıda, en savunmasız kullanıcı hesaplarını vurgulayan Varonis AD kontrol paneli widget'larının örnekleri bulunmaktadır.
1. Süresi hiç dolmayan şifrelere sahip aktif kullanıcı sayısı
Herhangi bir saldırganın böyle bir hesaba erişmesi her zaman büyük bir başarıdır. Parolanın süresi hiçbir zaman dolmadığından, saldırganın ağ içinde kalıcı bir dayanağı olur ve bu daha sonra kullanılabilir. veya altyapı içindeki hareketler.
Saldırganların kimlik bilgisi doldurma saldırılarında kullandıkları milyonlarca kullanıcı-şifre kombinasyonundan oluşan listeleri vardır ve büyük olasılıkla
Kullanıcının "ebedi" şifre ile kombinasyonunun bu listelerden birinde sıfırdan çok daha büyük olduğu.
Süresi dolmayan parolalara sahip hesapların yönetimi kolaydır ancak güvenli değildir. Bu tür şifrelere sahip tüm hesapları bulmak için bu widget'ı kullanın. Bu ayarı değiştirin ve şifrenizi güncelleyin.
Bu widget'ın değeri sıfıra ayarlandığında, bu şifreyle oluşturulan tüm yeni hesaplar kontrol panelinde görünecektir.
2. SPN'li yönetici hesaplarının sayısı
SPN (Hizmet Asıl Adı), bir hizmet örneğinin benzersiz tanımlayıcısıdır. Bu widget, kaç hizmet hesabının tam yönetici haklarına sahip olduğunu gösterir. Widget'taki değer sıfır olmalıdır. Yönetici haklarına sahip SPN, bu tür hakların verilmesinin yazılım satıcıları ve uygulama yöneticileri için uygun olması ancak güvenlik riski oluşturması nedeniyle oluşur.
Hizmet hesabına yönetici haklarının verilmesi, saldırganın kullanılmayan bir hesaba tam erişim elde etmesine olanak tanır. Bu, SPN hesaplarına erişimi olan saldırganların, faaliyetleri izlenmeden altyapı içerisinde serbestçe çalışabilecekleri anlamına gelir.
Hizmet hesaplarındaki izinleri değiştirerek bu sorunu çözebilirsiniz. Bu tür hesaplar en az ayrıcalık ilkesine tabi olmalı ve yalnızca operasyonları için gerçekten gerekli olan erişime sahip olmalıdır.
Bu widget'ı kullanarak, yönetici haklarına sahip tüm SPN'leri tespit edebilir, bu tür ayrıcalıkları kaldırabilir ve ardından aynı en az ayrıcalıklı erişim ilkesini kullanarak SPN'leri izleyebilirsiniz.
Yeni görünen SPN kontrol panelinde görüntülenecek ve bu süreci izleyebileceksiniz.
3. Kerberos ön kimlik doğrulamasına gerek duymayan kullanıcı sayısı
İdeal olarak Kerberos, kimlik doğrulama biletini bugüne kadar kırılamaz durumda olan AES-256 şifrelemesini kullanarak şifreler.
Ancak Kerberos'un eski sürümleri, artık dakikalar içinde kırılabilen RC4 şifrelemesini kullanıyordu. Bu widget hangi kullanıcı hesaplarının hala RC4'ü kullandığını gösterir. Microsoft, geriye dönük uyumluluk açısından hâlâ RC4'ü desteklemektedir ancak bu, RCXNUMX'ü AD'nizde kullanmanız gerektiği anlamına gelmez.
Bu tür hesapları belirledikten sonra, hesapları daha karmaşık şifreleme kullanmaya zorlamak için AD'deki "Kerberos ön yetkilendirmesi gerektirmez" onay kutusunun işaretini kaldırmanız gerekir.
Bu hesapları Varonis AD kontrol paneli olmadan kendi başınıza keşfetmeniz çok zaman alır. Gerçekte, RC4 şifrelemesini kullanacak şekilde düzenlenen tüm hesaplardan haberdar olmak daha da zor bir iştir.
Widget'taki değer değişirse bu, yasa dışı etkinliğe işaret edebilir.
4. Şifresi olmayan kullanıcı sayısı
Saldırganlar, hesap özelliklerinde AD'den "PASSWD_NOTREQD" işaretini okumak için temel PowerShell komutlarını kullanır. Bu bayrağın kullanılması, herhangi bir parola gereksinimi veya karmaşıklık gereksiniminin olmadığını gösterir.
Basit veya boş bir şifreyle bir hesabı çalmak ne kadar kolay? Şimdi bu hesaplardan birinin yönetici olduğunu hayal edin.
Ya herkese açık olan binlerce gizli dosyadan biri yaklaşan bir mali raporsa?
Zorunlu parola gereksinimini göz ardı etmek, geçmişte sıklıkla kullanılan ancak günümüzde ne kabul edilebilir ne de güvenli olan başka bir sistem yönetimi kısayoludur.
Bu hesapların şifrelerini güncelleyerek bu sorunu düzeltin.
Gelecekte bu widget'ı izlemek, şifresi olmayan hesaplardan kaçınmanıza yardımcı olacaktır.
Varonis olasılıkları eşitliyor
Geçmişte, bu makalede açıklanan ölçümleri toplama ve analiz etme işi saatler sürüyordu ve PowerShell hakkında derin bilgi sahibi olmayı gerektiriyordu; güvenlik ekiplerinin bu tür görevlere her hafta veya ayda bir kaynak ayırmasını gerektiriyordu. Ancak bu bilgilerin manuel olarak toplanması ve işlenmesi, saldırganlara verilere sızmak ve verileri çalmak için bir avantaj sağlar.
С AD kontrol panelini ve ek bileşenleri dağıtmak, tartışılan tüm güvenlik açıklarını toplamak ve çok daha fazlasını yapmak için bir gün harcayacaksınız. Gelecekte, işletim sırasında altyapının durumu değiştikçe izleme paneli otomatik olarak güncellenecektir.
Siber saldırılar gerçekleştirmek her zaman saldırganlar ve savunucular arasında bir yarıştır; saldırganın, güvenlik uzmanları verilere erişimi engellemeden önce verileri çalma arzusudur. Saldırganların ve yasa dışı faaliyetlerinin erken tespiti, güçlü siber savunmalarla birleştiğinde verilerinizi güvende tutmanın anahtarıdır.
Kaynak: habr.com