Все, що потрібно зловмисникові, – це час та мотивація для проникнення у вашу мережу. Але наша з вами робота полягає в тому, щоб не дати йому цього зробити чи принаймні максимально ускладнити це завдання. Потрібно почати з визначення слабких місць в Active Directory (далі – AD), які зловмисник може використовувати для отримання доступу та переміщення по мережі, залишаючись непоміченим. Сьогодні в статті ми розглянемо індикатори ризику, які відображають уразливості в кіберзахисті вашої організації, на прикладі панелі моніторингу AD Varonis.
Зловмисники використовують певні конфігурації в домені
Зловмисники використовують безліч хитрих прийомів та вразливостей, щоб проникнути всередину корпоративної мережі та підвищити привілеї. Деякі з цих уразливостей є параметрами конфігурації домену, які можна легко змінити після виявлення.
Панель моніторингу AD одразу сповістить, якщо ви (або ваші системні адміністратори) не змінили пароль KRBTGT минулого місяця, або якщо хтось автентифікувався із вбудованим обліковим записом адміністратора за замовчуванням (Administrator). Ці облікові записи надають безмежний доступ до вашої мережі: зловмисники намагатимуться отримати доступ до них, щоб безперешкодно обходити будь-які розмежування в привілеях та дозволах доступу. І, як наслідок, — отримати доступ до будь-яких даних, які їх зацікавлять.
Звичайно, ви можете виявити ці вразливості самостійно: наприклад, встановити нагадування в календарі для перевірки або запустити скрипт PowerShell, щоб зібрати цю інформацію.
Панель моніторингу Varonis оновлюється автоматично , щоб забезпечити швидкий перегляд та аналіз ключових показників, які підкреслюють потенційні вразливості, щоб ви могли негайно вжити заходів щодо їх усунення.
3 ключові індикатори ризику на рівні домену
Нижче наведено ряд віджетів, доступних на панелі моніторингу Varonis, використання яких суттєво посилить захист корпоративної мережі та ІТ-інфраструктури загалом.
1. Число доменів, для яких пароль облікового запису Kerberos не змінювався значний час
Обліковий запис KRBTGT – це спеціальний обліковий запис AD, який підписує все . Зловмисники, які отримали доступ до контролера домену (DC), можуть використовувати цей обліковий запис для створення що дасть їм необмежений доступ до практично будь-якої системи в корпоративній мережі. Ми стикалися з ситуацією, коли після успішного отримання Golden Ticket, зловмисник мав доступ до мережі організації протягом двох років. Якщо пароль облікового запису KRBTGT у вашій компанії не змінювався останні сорок днів, віджет сповістить про це.
Сорок днів – це більш ніж достатній термін для зловмисника, щоб отримати доступ до мережі. Однак, якщо ви забезпечите та стандартизуєте процес зміни цього пароля на регулярній основі, це дуже ускладнить для зловмисника завдання проникнення в корпоративну мережу.
Пам'ятайте, що відповідно до реалізації протоколу Kerberos компанією Microsoft, вам необхідно KRBTGT.
Надалі цей AD-віджет буде нагадувати, коли настане час знову змінити пароль KRBTGT для всіх доменів у вашій мережі.
2. Число доменів, у яких нещодавно використовувався вбудований обліковий запис адміністратора (Administrator)
Згідно з — системним адміністраторам надається два облікові записи: перший – це обліковий запис для щоденного використання, а другий – для запланованих адміністративних робіт. Це означає, що ніхто не повинен використовувати обліковий запис адміністратора за промовчанням.
Вбудований обліковий запис адміністратора найчастіше використовується, щоб спростити процес системного адміністрування. Це може стати поганою звичкою, результатом якої буде злом. Якщо у вашій організації це відбувається, то вам буде важко відрізнити правильне використання цього облікового запису від потенційно шкідливого доступу.
Якщо віджет показує щось відмінне від нуля, то хтось некоректно працює з адміністративними обліковими записами. У такому випадку необхідно вжити заходів щодо виправлення та обмеження доступу до вбудованого облікового запису адміністратора.
Після того, як ви досягли нульового значення віджету і системні адміністратори більше не використовують цей обліковий запис для своєї роботи, то надалі будь-яка його зміна вказуватиме на потенційну кібератаку.
3. Кількість доменів, у яких відсутня група захищених користувачів (Protected Users)
Старі версії AD підтримували слабкий тип шифрування - RC4. Хакери зламали RC4 багато років тому, і зараз для зловмисника зламати обліковий запис, який все ще використовує RC4, є досить тривіальним завданням. У версії Active Directory, представленій у Windows Server 2012, з'явилася група користувачів нового типу під назвою Група захищених користувачів (Protected Users). Вона надає додаткові інструменти захисту та запобігає аутентифікації користувачів з використанням шифрування RC4.
Цей віджет продемонструє, якщо в якомусь домені організації немає такої групи, щоб ви могли виправити це, тобто. увімкнути групу захищених користувачів та використовувати її для захисту інфраструктури.
Легкі цілі для атакуючих
Облікові записи користувачів є метою номер один для зловмисників – від перших спроб проникнення до ескалації привілеїв і приховування своїх дій. Зловмисники шукають прості цілі у вашій мережі, використовуючи базові команди PowerShell, які найчастіше важко виявити. Видаліть з AD якнайбільше таких легких цілей.
Зловмисники шукають користувачів з необмеженим терміном дії паролів (або яким не потрібні паролі), технологічні облікові записи, які є адміністраторами, та облікові записи, які використовують старе шифрування RC4.
Будь-яка з цих облікових записів або тривіальна для доступу, або, як правило, не під моніторингом. Зловмисники можуть захопити ці облікові записи та безперешкодно переміщатися всередині вашої інфраструктури.
Як тільки зловмисники проникнуть через периметр безпеки, вони, ймовірно, матимуть доступ принаймні до одного облікового запису. Чи зможете ви перешкодити їм отримати доступ до конфіденційних даних, перш ніж виявите та ліквідуєте атаку?
Панель моніторингу Varonis AD вкаже на вразливі облікові записи користувачів, щоб усунути проблеми заздалегідь. Чим складніше буде проникнути всередину вашої мережі, тим вище ваші шанси знешкодити атакуючого до того, як він завдасть серйозної шкоди.
4 ключові індикатори ризику для облікових записів користувачів
Нижче наведено приклади віджетів на панелі моніторингу Varonis AD, які вказують на найвразливіші облікові записи користувача.
1. Кількість активних користувачів із паролями, термін дії яких ніколи не закінчується
Для будь-якого зловмисника отримати доступ до такого облікового запису – це завжди великий успіх. Оскільки термін дії пароля ніколи не спливає, зловмисник отримує постійну точку опори всередині мережі, яку потім можна використовувати для чи переміщень усередині інфраструктури.
Зловмисники мають списки з мільйонами комбінацій «користувач-пароль», які вони використовують в атаках з підстановкою облікових даних, і ймовірність того,
що комбінація для користувача з "вічним" паролем знаходиться в одному з таких списків, набагато більше за нуль.
Облікові записи з паролями, що не витікають, зручні в управлінні, але вони не є безпечними. Використовуйте цей віджет, щоб знайти всі облікові записи, які мають такі паролі. Змініть цей параметр та оновіть пароль.
Як тільки значення цього віджету дорівнюватиме нулю, будь-які нові облікові записи, створені з таким паролем, з'являться на панелі моніторингу.
2. Кількість адміністративних облікових записів із SPN
SPN (Service Principal Name) – унікальний ідентифікатор екземпляра сервісу (служби). Цей віджет показує, скільки сервісних облікових записів мають повні права адміністратора. Значення на віджеті має дорівнювати нулю. SPN з правами адміністратора виникає, оскільки надання таких прав зручно постачальникам програмного забезпечення та адміністраторам додатків, але це є загрозою безпеці.
Надання сервісного облікового запису прав адміністратора дозволяє зловмиснику отримати повний доступ до облікового запису, який не використовується. Це означає, що зловмисники з доступом до облікових записів SPN можуть вільно діяти всередині інфраструктури і при цьому уникати моніторингу своїх дій.
Вирішити проблему можна, змінивши дозволи для сервісних облікових записів. Такі облікові записи повинні підкорятися принципу найменших привілеїв і мати лише той доступ, який реально потрібний для їхньої роботи.
За допомогою цього віджету ви зможете виявити всі SPN, які мають права адміністратора, усунути такі привілеї, а надалі проводити контроль SPN, керуючись тим самим принципом доступу з найменшими привілеями.
SPN, що знову з'являється, будуть відображатися на панелі моніторингу, і ви зможете контролювати цей процес.
3. Кількість користувачів, яким не потрібна попередня автентифікація Kerberos
В ідеалі, Kerberos шифрує ticket (квиток) автентифікації за допомогою шифрування AES-256, який залишається незламним до теперішнього часу.
Однак старіші версії Kerberos використовували шифрування RC4, яке тепер можна зламати за лічені хвилини. Цей віджет показує, які облікові записи користувача до цих пір використовують RC4. Microsoft, як і раніше, підтримує RC4 для зворотної сумісності, але це не означає, що ви повинні використовувати його у вашому AD.
Після того, як ви виявили такі облікові записи, потрібно зняти прапорець «не потрібна попередня авторизація Kerberos» AD, щоб облікові записи використовували більш складне шифрування.
Самостійне виявлення цих облікових записів без панелі моніторингу Varonis AD займає багато часу. В реальності бути своєчасно обізнаним про всі облікові записи, які редаговані так, щоб використовувати шифрування RC4, — ще складніше завдання.
Якщо значення на віджеті змінюється, це може свідчити про протиправні дії.
4. Кількість користувачів без пароля
Зловмисники використовують базові команди PowerShell для зчитування з прапора AD «PASSWD_NOTREQD», у властивостях облікового запису. Використання цього прапора означає, що немає вимог до наявності або складності пароля.
Наскільки легко вкрасти обліковий запис із простим чи порожнім паролем? А тепер уявіть, що один із цих облікових записів є адміністратором.
Що, якщо один із тисяч конфіденційних файлів, відкритих для всіх, є майбутнім фінансовим звітом?
Ігнорування обов'язкової вимоги введення пароля є ще одним ярликом для системного адміністрування, який найчастіше використовувався у минулому, але сьогодні це неприпустимо та небезпечно.
Виправте цю проблему, оновивши паролі для таких облікових записів.
Моніторинг цього віджету в майбутньому допоможе уникнути облікових записів без пароля.
Varonis зрівнює шанси
У минулому робота зі збирання та аналізу наведених у статті метрик займала багато годин і вимагала глибоких знань PowerShell: спеціалістам з безпеки доводилося виділяти ресурси на подібні завдання щотижня чи місяць. Але ручний збір та обробка цієї інформації, дає зловмисникам фору для проникнення та крадіжки даних.
С ви витратите один день, щоб розгорнути панель моніторингу AD та додаткові компоненти, зібрати всі розглянуті та багато інших вразливостей. Надалі, в процесі експлуатації, панель моніторингу автоматично оновлюватиметься, в міру зміни стану інфраструктури.
Проведення кібератак – це завжди гонка між атакуючими та такими, що захищаються, прагнення зловмисника вкрасти дані, перш ніж фахівці з безпеки зможуть закрити доступ до них. Раннє виявлення зловмисників та їх протиправних дій у поєднанні з сильним кіберзахистом є ключем до забезпечення безпеки ваших даних.
Джерело: habr.com