Buzg'unchiga kerak bo'lgan yagona narsa sizning tarmog'ingizga kirish uchun vaqt va motivatsiyadir. Ammo bizning vazifamiz uni buni qilishiga to'sqinlik qilish yoki hech bo'lmaganda bu vazifani imkon qadar qiyinlashtirishdir. Siz Active Directory (keyingi o'rinlarda AD deb yuritiladi) ning zaif tomonlarini aniqlashdan boshlashingiz kerak, buzg'unchi aniqlanmasdan tarmoq bo'ylab kirish va harakatlanish uchun foydalanishi mumkin. Bugun ushbu maqolada biz AD Varonis boshqaruv panelidan misol tariqasida tashkilotingiz kibermudofaasidagi mavjud zaifliklarni aks ettiruvchi xavf ko'rsatkichlarini ko'rib chiqamiz.
Buzg'unchilar domendagi ma'lum konfiguratsiyalardan foydalanadilar
Hujumchilar korporativ tarmoqlarga kirib borish va imtiyozlarni oshirish uchun turli xil aqlli usullar va zaifliklardan foydalanadilar. Ushbu zaifliklarning ba'zilari domen konfiguratsiyasi sozlamalari bo'lib, ular aniqlangandan keyin osongina o'zgartirilishi mumkin.
Agar siz (yoki tizim ma'murlaringiz) so'nggi oyda KRBTGT parolini o'zgartirmagan bo'lsangiz yoki kimdir standart o'rnatilgan Administrator hisobi bilan autentifikatsiya qilingan bo'lsa, AD boshqaruv paneli sizni darhol ogohlantiradi. Ushbu ikkita hisob sizning tarmog'ingizga cheksiz kirishni ta'minlaydi: tajovuzkorlar imtiyozlar va ruxsatlardagi har qanday cheklovlarni osongina chetlab o'tish uchun ularga kirishga harakat qiladilar. Va buning natijasida ular o'zlarini qiziqtirgan har qanday ma'lumotlarga kirish huquqiga ega bo'ladilar.
Albatta, siz ushbu zaifliklarni o'zingiz topishingiz mumkin: masalan, ushbu ma'lumotni to'plash uchun PowerShell skriptini tekshirish yoki ishga tushirish uchun kalendar eslatmasini o'rnating.
Varonis asboblar paneli yangilanmoqda avtomatik ravishda potentsial zaifliklarni ta'kidlaydigan asosiy ko'rsatkichlarning tezkor ko'rinishi va tahlilini ta'minlash, shuning uchun ularni bartaraf etish uchun darhol choralar ko'rishingiz mumkin.
3 ta asosiy domen darajasidagi xavf ko'rsatkichlari
Quyida Varonis asboblar panelida mavjud bo'lgan bir qator vidjetlar mavjud bo'lib, ulardan foydalanish korporativ tarmoq va umuman IT infratuzilmasi himoyasini sezilarli darajada oshiradi.
1. Kerberos hisob paroli muhim vaqt davomida o'zgartirilmagan domenlar soni
KRBTGT hisobi - bu ADda hamma narsani imzolaydigan maxsus hisob . Domen boshqaruvchisiga (DC) kirish huquqiga ega bo'lgan tajovuzkorlar ushbu hisob qaydnomasini yaratish uchun foydalanishlari mumkin , bu ularga korporativ tarmoqdagi deyarli har qanday tizimga cheksiz kirish imkonini beradi. Biz shunday vaziyatga duch keldikki, Oltin chiptani muvaffaqiyatli qo'lga kiritgandan so'ng, tajovuzkor ikki yil davomida tashkilot tarmog'iga kirish huquqiga ega edi. Agar kompaniyangizdagi KRBTGT hisob paroli so'nggi qirq kun ichida o'zgartirilmagan bo'lsa, vidjet sizni bu haqda xabardor qiladi.
Qirq kun tajovuzkorning tarmoqqa kirishi uchun yetarli vaqt. Biroq, agar siz ushbu parolni o'zgartirish jarayonini muntazam ravishda qo'llasangiz va standartlashtirsangiz, bu tajovuzkorning korporativ tarmog'ingizga kirishini ancha qiyinlashtiradi.
Esda tutingki, Microsoft Kerberos protokolini amalga oshirishga ko'ra, kerak KRBTGT.
Kelajakda ushbu AD vidjeti sizning tarmog'ingizdagi barcha domenlar uchun KRBTGT parolini yana o'zgartirish vaqti kelganini eslatib turadi.
2. O'rnatilgan Administrator hisobi yaqinda ishlatilgan domenlar soni
Shunga ko'ra — tizim ma'murlariga ikkita hisob qaydnomasi taqdim etiladi: birinchisi - kundalik foydalanish uchun hisob, ikkinchisi - rejalashtirilgan ma'muriy ishlar uchun. Bu hech kim standart administrator hisobidan foydalanmasligi kerak degan ma'noni anglatadi.
O'rnatilgan administrator hisobi ko'pincha tizimni boshqarish jarayonini soddalashtirish uchun ishlatiladi. Bu yomon odatga aylanishi mumkin, natijada xakerlik sodir bo'ladi. Agar bu sizning tashkilotingizda sodir bo'lsa, siz ushbu hisobdan to'g'ri foydalanish va potentsial zararli kirish o'rtasidagi farqni aniqlashda qiyinchiliklarga duch kelasiz.
Agar vidjet noldan boshqa narsani ko'rsatsa, demak, kimdir ma'muriy hisoblar bilan to'g'ri ishlamayapti. Bunday holda, o'rnatilgan administrator hisobiga kirishni to'g'rilash va cheklash choralarini ko'rishingiz kerak.
Nol vidjet qiymatiga erishganingizdan so'ng va tizim ma'murlari endi o'z ishi uchun ushbu hisob qaydnomasidan foydalanmaydilar, kelajakda unga kiritilgan har qanday o'zgarish potentsial kiberhujumni ko'rsatadi.
3. Himoyalangan foydalanuvchilar guruhiga ega bo'lmagan domenlar soni
ADning eski versiyalari zaif shifrlash turini qo'llab-quvvatlagan - RC4. Hackerlar RC4-ni ko'p yillar oldin buzishgan va hozirda RC4-dan foydalanayotgan akkauntni buzish tajovuzkor uchun juda ahamiyatsiz vazifadir. Windows Server 2012 da taqdim etilgan Active Directory versiyasi himoyalangan foydalanuvchilar guruhi deb nomlangan yangi turdagi foydalanuvchilar guruhini taqdim etdi. U qo'shimcha xavfsizlik vositalarini taqdim etadi va RC4 shifrlash yordamida foydalanuvchi autentifikatsiyasini oldini oladi.
Ushbu vidjet tashkilotdagi biron bir domenda bunday guruh yo'qligini ko'rsatadi, shunda siz uni tuzatishingiz mumkin, ya'ni. himoyalangan foydalanuvchilar guruhini faollashtirish va undan infratuzilmani himoya qilish uchun foydalanish.
Hujumchilar uchun oson nishonlar
Foydalanuvchi akkauntlari tajovuzkorlar uchun birinchi raqamli maqsad bo'lib, birinchi bosqinchilik urinishlaridan tortib, imtiyozlarni davom ettirish va ularning faoliyatini yashirishgacha. Tajovuzkorlar PowerShell-ning asosiy buyruqlari yordamida tarmoqdagi oddiy nishonlarni qidiradi, ularni aniqlash odatda qiyin. Ushbu oson maqsadlarning ko'pini ADdan iloji boricha olib tashlang.
Hujumchilar muddati tugamaydigan parollari (yoki parol talab qilmaydigan) foydalanuvchilarni, administrator hisoblangan texnologiya hisoblari va eski RC4 shifrlashdan foydalanadigan hisoblarni qidirmoqda.
Ushbu hisoblarning har qandayiga kirish uchun ahamiyatsiz yoki umuman kuzatilmaydi. Hujumchilar ushbu hisoblarni egallab olishlari va infratuzilmangiz ichida erkin harakatlanishlari mumkin.
Tajovuzkorlar xavfsizlik perimetriga kirgandan so'ng, ular kamida bitta hisobga kirish huquqiga ega bo'lishadi. Hujum aniqlanib, to'xtatilishidan oldin ularning maxfiy ma'lumotlarga kirishini to'xtata olasizmi?
Varonis AD boshqaruv paneli zaif foydalanuvchi hisoblarini ko'rsatadi, shunda siz muammolarni proaktif tarzda hal qilishingiz mumkin. Tarmoqqa kirish qanchalik qiyin bo'lsa, tajovuzkorni jiddiy zarar etkazmasdan oldin zararsizlantirish imkoniyati shunchalik yuqori bo'ladi.
Foydalanuvchi hisoblari uchun 4 ta asosiy xavf ko'rsatkichlari
Quyida eng zaif foydalanuvchi hisoblarini ta'kidlaydigan Varonis AD asboblar paneli vidjetlariga misollar keltirilgan.
1. Parollari muddati tugamaydigan faol foydalanuvchilar soni
Har qanday tajovuzkor uchun bunday hisob qaydnomasiga kirish har doim katta muvaffaqiyatdir. Parolning amal qilish muddati hech qachon tugamasligi sababli, tajovuzkor tarmoq ichida doimiy tayanchga ega bo'lib, undan keyin foydalanish mumkin yoki infratuzilma ichidagi harakatlar.
Hujumchilar hisob ma'lumotlarini to'ldirish hujumlarida foydalanadigan millionlab foydalanuvchi parollari ro'yxatiga ega va ehtimol bu
"abadiy" parolga ega foydalanuvchi kombinatsiyasi ushbu ro'yxatlardan birida, noldan ancha katta.
Muddati tugamaydigan parollarga ega hisoblarni boshqarish oson, lekin ular xavfsiz emas. Bunday parollarga ega bo'lgan barcha hisoblarni topish uchun ushbu vidjetdan foydalaning. Ushbu sozlamani o'zgartiring va parolingizni yangilang.
Ushbu vidjetning qiymati nolga o'rnatilgandan so'ng, ushbu parol bilan yaratilgan har qanday yangi hisoblar asboblar panelida paydo bo'ladi.
2. SPN bilan ma'muriy hisoblar soni
SPN (Xizmatning asosiy nomi) - bu xizmat namunasining noyob identifikatoridir. Ushbu vidjet qancha xizmat hisobi toʻliq administrator huquqlariga ega ekanligini koʻrsatadi. Vidjetdagi qiymat nolga teng bo'lishi kerak. Ma'muriy huquqlarga ega SPN bunday huquqlarni berish dasturiy ta'minot ishlab chiqaruvchilari va ilovalar ma'murlari uchun qulay bo'lganligi sababli yuzaga keladi, lekin u xavfsizlikka xavf tug'diradi.
Xizmat hisobiga ma'muriy huquqlarni berish tajovuzkorga foydalanilmayotgan hisob qaydnomasiga to'liq kirish imkonini beradi. Bu shuni anglatadiki, SPN hisoblariga kirish huquqiga ega bo'lgan tajovuzkorlar infratuzilma ichida o'z faoliyatini nazorat qilmasdan erkin ishlashi mumkin.
Ushbu muammoni xizmat hisoblaridagi ruxsatlarni o'zgartirish orqali hal qilishingiz mumkin. Bunday hisoblar eng kam imtiyozlar printsipiga bo'ysunishi va faqat ularning ishlashi uchun zarur bo'lgan kirish huquqiga ega bo'lishi kerak.
Ushbu vidjetdan foydalanib, siz ma'muriy huquqlarga ega bo'lgan barcha SPNlarni aniqlashingiz, bunday imtiyozlarni olib tashlashingiz va keyin eng kam imtiyozli kirish printsipidan foydalangan holda SPNlarni kuzatishingiz mumkin.
Yangi paydo bo'lgan SPN asboblar panelida ko'rsatiladi va siz ushbu jarayonni kuzatishingiz mumkin bo'ladi.
3. Kerberos autentifikatsiyasini talab qilmaydigan foydalanuvchilar soni
Ideal holda, Kerberos AES-256 shifrlash yordamida autentifikatsiya chiptasini shifrlaydi, bu bugungi kungacha buzilmaydi.
Biroq, Kerberosning eski versiyalarida RC4 shifrlash ishlatilgan, endi uni bir necha daqiqada buzish mumkin. Ushbu vidjet qaysi foydalanuvchi hisoblari hali ham RC4 dan foydalanayotganligini ko'rsatadi. Microsoft hali ham orqaga qarab muvofiqligi uchun RC4-ni qo'llab-quvvatlaydi, ammo bu siz uni AD-da ishlatishingiz kerak degani emas.
Bunday hisoblarni aniqlaganingizdan so'ng, hisoblarni yanada murakkab shifrlashdan foydalanishga majburlash uchun ADda "Kerberos oldindan avtorizatsiyani talab qilmaydi" katagiga belgini olib tashlashingiz kerak.
Varonis AD boshqaruv panelisiz ushbu hisoblarni o'zingiz kashf qilish juda ko'p vaqtni oladi. Aslida, RC4 shifrlashdan foydalanish uchun tahrirlangan barcha hisoblardan xabardor bo'lish yanada qiyinroq vazifadir.
Agar vidjetdagi qiymat o'zgarsa, bu noqonuniy faoliyatni ko'rsatishi mumkin.
4. Parolsiz foydalanuvchilar soni
Hujumchilar asosiy PowerShell buyruqlaridan hisob xususiyatlarida AD dan “PASSWD_NOTREQD” bayrog‘ini o‘qish uchun foydalanadilar. Ushbu bayroqdan foydalanish parol talablari yoki murakkablik talablari yo'qligini ko'rsatadi.
Oddiy yoki bo'sh parol bilan hisobni o'g'irlash qanchalik oson? Endi bu hisoblardan biri administrator ekanligini tasavvur qiling.
Agar hamma uchun ochiq bo'lgan minglab maxfiy fayllardan biri yaqinlashib kelayotgan moliyaviy hisobot bo'lsa-chi?
Majburiy parol talabini e'tiborsiz qoldirish tizimni boshqarishning yana bir yorlig'i bo'lib, o'tmishda tez-tez ishlatilgan, ammo bugungi kunda na qabul qilinadi va na xavfsiz.
Ushbu hisoblar uchun parollarni yangilash orqali bu muammoni hal qiling.
Kelajakda ushbu vidjetni kuzatish parolsiz hisoblardan qochishingizga yordam beradi.
Varonis imkoniyatlarni tenglashtiradi
Ilgari, ushbu maqolada tasvirlangan ko'rsatkichlarni to'plash va tahlil qilish ishi ko'p soatlarni talab qildi va PowerShell-ni chuqur bilishni talab qildi, bu xavfsizlik guruhlarini har hafta yoki oyda bunday vazifalarga resurslar ajratishni talab qildi. Ammo bu ma'lumotlarni qo'lda to'plash va qayta ishlash tajovuzkorlarga ma'lumotlarni infiltratsiya qilish va o'g'irlash imkonini beradi.
С Siz AD boshqaruv paneli va qo'shimcha komponentlarni o'rnatish, muhokama qilingan barcha zaifliklarni to'plash va boshqa ko'p narsalar uchun bir kun sarflaysiz. Kelajakda, ish paytida, infratuzilmaning holati o'zgarganda, monitoring paneli avtomatik ravishda yangilanadi.
Kiberhujumlarni amalga oshirish har doim tajovuzkorlar va himoyachilar o'rtasidagi poygadir, tajovuzkorning xavfsizlik mutaxassislari unga kirishni bloklashidan oldin ma'lumotlarni o'g'irlash istagi. Hujumchilarni va ularning noqonuniy xatti-harakatlarini erta aniqlash, kuchli kibermudofaa bilan birgalikda ma'lumotlaringizni xavfsiz saqlashning kalitidir.
Manba: www.habr.com