Tất cả những gì kẻ tấn công cần là thời gian và động lực để đột nhập vào mạng của bạn. Nhưng công việc của chúng ta là ngăn cản anh ta làm điều này, hoặc ít nhất là làm cho nhiệm vụ này trở nên khó khăn nhất có thể. Bạn cần bắt đầu bằng cách xác định các điểm yếu trong Active Directory (sau đây gọi là AD) mà kẻ tấn công có thể sử dụng để giành quyền truy cập và di chuyển khắp mạng mà không bị phát hiện. Hôm nay, trong bài viết này, chúng ta sẽ xem xét các chỉ báo rủi ro phản ánh các lỗ hổng hiện có trong hệ thống phòng thủ không gian mạng của tổ chức bạn, sử dụng bảng thông tin AD Varonis làm ví dụ.
Kẻ tấn công sử dụng các cấu hình nhất định trong miền
Những kẻ tấn công sử dụng nhiều kỹ thuật thông minh và lỗ hổng khác nhau để xâm nhập vào mạng công ty và leo thang đặc quyền. Một số lỗ hổng này là cài đặt cấu hình miền có thể dễ dàng thay đổi sau khi được xác định.
Bảng điều khiển AD sẽ ngay lập tức cảnh báo bạn nếu bạn (hoặc quản trị viên hệ thống của bạn) không thay đổi mật khẩu KRBTGT trong tháng trước hoặc nếu ai đó đã xác thực bằng tài khoản Quản trị viên tích hợp mặc định. Hai tài khoản này cung cấp quyền truy cập không giới hạn vào mạng của bạn: những kẻ tấn công sẽ cố gắng giành quyền truy cập vào chúng để dễ dàng vượt qua mọi hạn chế về đặc quyền và quyền truy cập. Và kết quả là họ có quyền truy cập vào bất kỳ dữ liệu nào mà họ quan tâm.
Tất nhiên, bạn có thể tự mình phát hiện ra những lỗ hổng này: ví dụ: đặt lời nhắc lịch để kiểm tra hoặc chạy tập lệnh PowerShell nhằm thu thập thông tin này.
Bảng điều khiển Varonis đang được cập nhật tự động để cung cấp khả năng hiển thị và phân tích nhanh chóng các số liệu chính giúp nêu bật các lỗ hổng tiềm ẩn để bạn có thể thực hiện hành động ngay lập tức để giải quyết chúng.
3 chỉ báo rủi ro cấp miền chính
Dưới đây là một số tiện ích có sẵn trên bảng điều khiển Varonis, việc sử dụng chúng sẽ tăng cường đáng kể khả năng bảo vệ toàn bộ mạng công ty và cơ sở hạ tầng CNTT.
1. Số miền mà mật khẩu tài khoản Kerberos không được thay đổi trong một khoảng thời gian đáng kể
Tài khoản KRBTGT là tài khoản đặc biệt trong AD ký mọi thứ . Những kẻ tấn công có quyền truy cập vào bộ điều khiển miền (DC) có thể sử dụng tài khoản này để tạo , điều này sẽ cung cấp cho họ quyền truy cập không giới hạn vào hầu hết mọi hệ thống trên mạng công ty. Chúng tôi đã gặp phải tình huống sau khi lấy được Vé Vàng thành công, kẻ tấn công đã có quyền truy cập vào mạng của tổ chức trong hai năm. Nếu mật khẩu tài khoản KRBTGT trong công ty của bạn không được thay đổi trong bốn mươi ngày qua, tiện ích sẽ thông báo cho bạn về điều này.
Bốn mươi ngày là quá đủ thời gian để kẻ tấn công có thể truy cập vào mạng. Tuy nhiên, nếu bạn thực thi và chuẩn hóa quy trình thay đổi mật khẩu này một cách thường xuyên, điều này sẽ khiến kẻ tấn công khó xâm nhập vào mạng công ty của bạn hơn rất nhiều.
Hãy nhớ rằng theo cách triển khai giao thức Kerberos của Microsoft, bạn phải KRBTGT.
Trong tương lai, tiện ích AD này sẽ nhắc nhở bạn khi đến lúc phải thay đổi lại mật khẩu KRBTGT cho tất cả các miền trên mạng của bạn.
2. Số lượng miền mà tài khoản Quản trị viên tích hợp được sử dụng gần đây
Theo — quản trị viên hệ thống được cung cấp hai tài khoản: tài khoản thứ nhất là tài khoản để sử dụng hàng ngày và tài khoản thứ hai là tài khoản dành cho công việc quản trị theo kế hoạch. Điều này có nghĩa là không ai nên sử dụng tài khoản quản trị viên mặc định.
Tài khoản quản trị viên tích hợp thường được sử dụng để đơn giản hóa quy trình quản trị hệ thống. Điều này có thể trở thành một thói quen xấu, dẫn đến việc hack. Nếu điều này xảy ra trong tổ chức của bạn, bạn sẽ gặp khó khăn trong việc phân biệt giữa việc sử dụng tài khoản này đúng cách và việc truy cập có mục đích xấu.
Nếu tiện ích hiển thị bất kỳ thông tin nào khác XNUMX thì có nghĩa là ai đó đang hoạt động không chính xác với tài khoản quản trị. Trong trường hợp này, bạn phải thực hiện các bước để sửa và giới hạn quyền truy cập vào tài khoản quản trị viên tích hợp.
Khi bạn đã đạt được giá trị tiện ích bằng XNUMX và quản trị viên hệ thống không còn sử dụng tài khoản này cho công việc của họ nữa thì trong tương lai, bất kỳ thay đổi nào đối với tài khoản đó sẽ cho thấy một cuộc tấn công mạng tiềm ẩn.
3. Số miền không có nhóm Người dùng được bảo vệ
Các phiên bản cũ hơn của AD hỗ trợ loại mã hóa yếu - RC4. Hacker đã hack RC4 từ nhiều năm trước và bây giờ việc hack tài khoản vẫn đang sử dụng RC4 là một nhiệm vụ rất tầm thường đối với kẻ tấn công. Phiên bản Active Directory được giới thiệu trong Windows Server 2012 đã giới thiệu một loại nhóm người dùng mới được gọi là Nhóm người dùng được bảo vệ. Nó cung cấp các công cụ bảo mật bổ sung và ngăn chặn xác thực người dùng bằng mã hóa RC4.
Tiện ích này sẽ hiển thị nếu bất kỳ tên miền nào trong tổ chức thiếu nhóm như vậy để bạn có thể sửa nó, tức là. cho phép một nhóm người dùng được bảo vệ và sử dụng nó để bảo vệ cơ sở hạ tầng.
Mục tiêu dễ dàng cho kẻ tấn công
Tài khoản người dùng là mục tiêu số một của những kẻ tấn công, từ những nỗ lực xâm nhập ban đầu cho đến việc tiếp tục leo thang đặc quyền và che giấu các hoạt động của chúng. Những kẻ tấn công tìm kiếm các mục tiêu đơn giản trên mạng của bạn bằng các lệnh PowerShell cơ bản thường khó phát hiện. Loại bỏ càng nhiều mục tiêu dễ dàng này khỏi AD càng tốt.
Những kẻ tấn công đang tìm kiếm người dùng có mật khẩu không bao giờ hết hạn (hoặc không yêu cầu mật khẩu), tài khoản công nghệ là quản trị viên và tài khoản sử dụng mã hóa RC4 cũ.
Bất kỳ tài khoản nào trong số này đều không thể truy cập được hoặc thường không được giám sát. Những kẻ tấn công có thể chiếm lấy các tài khoản này và di chuyển tự do trong cơ sở hạ tầng của bạn.
Khi kẻ tấn công xâm nhập vào phạm vi bảo mật, chúng có thể sẽ có quyền truy cập vào ít nhất một tài khoản. Bạn có thể ngăn họ truy cập vào dữ liệu nhạy cảm trước khi cuộc tấn công được phát hiện và ngăn chặn không?
Bảng điều khiển Varonis AD sẽ chỉ ra các tài khoản người dùng dễ bị tổn thương để bạn có thể chủ động khắc phục sự cố. Việc xâm nhập mạng của bạn càng khó thì bạn càng có cơ hội vô hiệu hóa kẻ tấn công trước khi chúng gây ra thiệt hại nghiêm trọng.
4 chỉ báo rủi ro chính cho tài khoản người dùng
Dưới đây là ví dụ về các tiện ích bảng điều khiển Varonis AD nêu bật những tài khoản người dùng dễ bị tấn công nhất.
1. Số người dùng đang hoạt động có mật khẩu không bao giờ hết hạn
Đối với bất kỳ kẻ tấn công nào có được quyền truy cập vào một tài khoản như vậy luôn là một thành công lớn. Vì mật khẩu không bao giờ hết hạn nên kẻ tấn công có chỗ đứng vĩnh viễn trong mạng, sau đó có thể được sử dụng để hoặc các chuyển động bên trong cơ sở hạ tầng.
Những kẻ tấn công có danh sách hàng triệu tổ hợp mật khẩu người dùng mà chúng sử dụng trong các cuộc tấn công nhồi thông tin xác thực và rất có thể là như vậy.
rằng sự kết hợp dành cho người dùng với mật khẩu "vĩnh cửu" nằm trong một trong những danh sách này, lớn hơn nhiều so với XNUMX.
Những tài khoản có mật khẩu không hết hạn rất dễ quản lý nhưng không an toàn. Sử dụng tiện ích này để tìm tất cả các tài khoản có mật khẩu như vậy. Thay đổi cài đặt này và cập nhật mật khẩu của bạn.
Khi giá trị của tiện ích này được đặt thành XNUMX, mọi tài khoản mới được tạo bằng mật khẩu đó sẽ xuất hiện trong trang tổng quan.
2. Số lượng tài khoản quản trị có SPN
SPN (Tên chính của dịch vụ) là mã định danh duy nhất của phiên bản dịch vụ. Tiện ích này hiển thị số lượng tài khoản dịch vụ có đầy đủ quyền quản trị viên. Giá trị trên tiện ích phải bằng XNUMX. SPN có quyền quản trị xảy ra vì việc cấp các quyền đó thuận tiện cho nhà cung cấp phần mềm và quản trị viên ứng dụng, nhưng nó gây ra rủi ro bảo mật.
Việc cấp quyền quản trị tài khoản dịch vụ cho phép kẻ tấn công có toàn quyền truy cập vào tài khoản không được sử dụng. Điều này có nghĩa là những kẻ tấn công có quyền truy cập vào tài khoản SPN có thể hoạt động tự do trong cơ sở hạ tầng mà không bị giám sát hoạt động của chúng.
Bạn có thể giải quyết vấn đề này bằng cách thay đổi quyền trên tài khoản dịch vụ. Những tài khoản như vậy phải tuân theo nguyên tắc đặc quyền tối thiểu và chỉ có quyền truy cập thực sự cần thiết cho hoạt động của chúng.
Bằng cách sử dụng tiện ích này, bạn có thể phát hiện tất cả SPN có quyền quản trị, xóa các đặc quyền đó và sau đó giám sát SPN bằng cùng một nguyên tắc truy cập có đặc quyền tối thiểu.
SPN mới xuất hiện sẽ được hiển thị trên bảng điều khiển và bạn sẽ có thể theo dõi quá trình này.
3. Số người dùng không yêu cầu xác thực trước Kerberos
Lý tưởng nhất là Kerberos mã hóa vé xác thực bằng mã hóa AES-256, cho đến nay vẫn không thể phá vỡ được.
Tuy nhiên, các phiên bản cũ hơn của Kerberos sử dụng mã hóa RC4 nên giờ đây mã hóa này có thể bị phá vỡ trong vài phút. Tiện ích này hiển thị tài khoản người dùng nào vẫn đang sử dụng RC4. Microsoft vẫn hỗ trợ RC4 để tương thích ngược nhưng điều đó không có nghĩa là bạn nên sử dụng nó trong AD của mình.
Khi đã xác định được những tài khoản như vậy, bạn cần bỏ chọn hộp kiểm "không yêu cầu ủy quyền trước Kerberos" trong AD để buộc các tài khoản sử dụng mã hóa phức tạp hơn.
Việc tự mình khám phá những tài khoản này mà không có bảng điều khiển Varonis AD sẽ mất rất nhiều thời gian. Trên thực tế, việc nhận biết tất cả các tài khoản được chỉnh sửa để sử dụng mã hóa RC4 còn là một nhiệm vụ khó khăn hơn.
Nếu giá trị trên tiện ích thay đổi, điều này có thể cho thấy hoạt động bất hợp pháp.
4. Số người dùng không có mật khẩu
Những kẻ tấn công sử dụng các lệnh PowerShell cơ bản để đọc cờ “PASSWD_NOTREQD” từ AD trong thuộc tính tài khoản. Việc sử dụng cờ này cho biết rằng không có yêu cầu về mật khẩu hoặc độ phức tạp.
Việc đánh cắp một tài khoản với mật khẩu đơn giản hoặc trống có dễ dàng như thế nào? Bây giờ hãy tưởng tượng rằng một trong những tài khoản này là quản trị viên.
Điều gì sẽ xảy ra nếu một trong hàng nghìn tệp bí mật được mở cho mọi người là báo cáo tài chính sắp tới?
Bỏ qua yêu cầu mật khẩu bắt buộc là một lối tắt quản trị hệ thống khác thường được sử dụng trước đây nhưng ngày nay không được chấp nhận và cũng không an toàn.
Khắc phục sự cố này bằng cách cập nhật mật khẩu cho các tài khoản này.
Việc theo dõi tiện ích này trong tương lai sẽ giúp bạn tránh được các tài khoản không có mật khẩu.
Varonis cân bằng tỷ lệ cược
Trước đây, công việc thu thập và phân tích các số liệu được mô tả trong bài viết này mất nhiều giờ và đòi hỏi kiến thức sâu về PowerShell, đòi hỏi các nhóm bảo mật phải phân bổ nguồn lực cho các nhiệm vụ đó hàng tuần hoặc hàng tháng. Tuy nhiên, việc thu thập và xử lý thủ công thông tin này giúp kẻ tấn công có cơ hội xâm nhập và đánh cắp dữ liệu.
С Bạn sẽ dành một ngày để triển khai bảng điều khiển AD và các thành phần bổ sung, thu thập tất cả các lỗ hổng được thảo luận và nhiều lỗ hổng khác. Trong tương lai, trong quá trình vận hành, bảng giám sát sẽ được cập nhật tự động khi trạng thái cơ sở hạ tầng thay đổi.
Thực hiện các cuộc tấn công mạng luôn là cuộc chạy đua giữa kẻ tấn công và người bảo vệ, mong muốn của kẻ tấn công là đánh cắp dữ liệu trước khi các chuyên gia bảo mật có thể chặn quyền truy cập vào nó. Phát hiện sớm những kẻ tấn công và các hoạt động bất hợp pháp của chúng, cùng với hệ thống phòng thủ mạng mạnh mẽ, là chìa khóa để giữ an toàn cho dữ liệu của bạn.
Nguồn: www.habr.com