攻击者所需要的只是时间和动力来闯入您的网络。 但我们的工作是阻止他这样做,或者至少让这项任务变得尽可能困难。 您需要首先识别 Active Directory(以下简称 AD)中的弱点,攻击者可以利用这些弱点来获取访问权限并在网络中移动而不被发现。 今天,在本文中,我们将使用 AD Varonis 仪表板作为示例,研究反映组织网络防御中现有漏洞的风险指标。
攻击者在域中使用某些配置
攻击者使用各种巧妙的技术和漏洞来渗透企业网络并升级权限。 其中一些漏洞是域配置设置,一旦识别,就可以轻松更改。
如果您(或您的系统管理员)在上个月没有更改 KRBTGT 密码,或者有人使用默认内置管理员帐户进行了身份验证,AD 仪表板将立即提醒您。 这两个帐户提供对您的网络的无限制访问:攻击者将尝试获取对它们的访问权限,以轻松绕过特权和访问权限的任何限制。 因此,他们可以访问他们感兴趣的任何数据。
当然,您可以自己发现这些漏洞:例如,设置日历提醒来检查或运行 PowerShell 脚本来收集此信息。
Varonis 仪表板正在更新 自动 提供对突出潜在漏洞的关键指标的快速可见性和分析,以便您可以立即采取行动来解决它们。
3 个关键领域级别风险指标
以下是 Varonis 仪表板上提供的一些小部件,使用这些小部件将显着增强对整个企业网络和 IT 基础设施的保护。
1. Kerberos 帐户密码在很长一段时间内未更改的域数量
KRBTGT账户是AD中的一个特殊账户,可以对所有内容进行签名 。 获得域控制器 (DC) 访问权限的攻击者可以使用此帐户创建 ,这将使他们能够无限制地访问公司网络上的几乎所有系统。 我们遇到过这样的情况:成功获得金票后,攻击者可以在两年内访问该组织的网络。 如果您公司的 KRBTGT 帐户密码在过去四十天内没有更改,小部件会通知您。
四十天对于攻击者获得网络访问权限来说已经足够了。 但是,如果您定期强制执行并标准化更改此密码的流程,攻击者将更难闯入您的公司网络。
请记住,根据 Microsoft 对 Kerberos 协议的实现,您必须 KRBTGT。
将来,此 AD 小部件将提醒您何时需要再次更改网络上所有域的 KRBTGT 密码。
2. 最近使用内置管理员帐户的域数量
根据 — 系统管理员有两个帐户:第一个是日常使用的帐户,第二个是用于计划管理工作的帐户。 这意味着任何人都不应使用默认管理员帐户。
内置管理员帐户通常用于简化系统管理过程。 这可能会成为一个坏习惯,从而导致黑客攻击。 如果您的组织中发生这种情况,您将很难区分该帐户的正确使用和潜在的恶意访问。
如果小部件显示除零以外的任何内容,则表明有人无法正确使用管理帐户。 在这种情况下,您必须采取措施纠正和限制对内置管理员帐户的访问。
一旦您的小部件值为零并且系统管理员不再使用此帐户进行工作,那么将来对其进行的任何更改都将表明潜在的网络攻击。
3. 没有受保护用户组的域数量
旧版本的 AD 支持弱加密类型 - RC4。 黑客多年前就破解了 RC4,现在对于攻击者来说,破解仍在使用 RC4 的帐户是一件非常微不足道的任务。 Windows Server 2012 中引入的 Active Directory 版本引入了一种称为受保护用户组的新型用户组。 它提供了额外的安全工具并防止使用 RC4 加密进行用户身份验证。
此小部件将演示组织中是否有任何域缺少此类组,以便您可以修复它,即启用一组受保护的用户并用它来保护基础设施。
容易成为攻击者的目标
从最初的入侵尝试到持续升级权限和隐藏其活动,用户帐户是攻击者的首要目标。 攻击者使用通常难以检测的基本 PowerShell 命令在网络上寻找简单目标。 从 AD 中删除尽可能多的这些简单目标。
攻击者正在寻找密码永不过期(或不需要密码)的用户、管理员技术帐户以及使用旧版 RC4 加密的帐户。
这些帐户中的任何一个都易于访问或通常不受监控。 攻击者可以接管这些帐户并在您的基础设施内自由移动。
一旦攻击者突破安全边界,他们可能会获得至少一个帐户的访问权限。 您能否在检测到并遏制攻击之前阻止他们访问敏感数据?
Varonis AD 仪表板将指出易受攻击的用户帐户,以便您可以主动排除问题。 渗透网络的难度越大,在攻击者造成严重损害之前将其消灭的机会就越大。
用户账户的 4 个关键风险指标
以下是 Varonis AD 仪表板小部件的示例,突出显示了最容易受到攻击的用户帐户。
1. 密码永不过期的活跃用户数量
对于任何攻击者来说,获得此类帐户的访问权限总是一个巨大的成功。 由于密码永不过期,攻击者在网络中拥有永久的立足点,然后可以利用该立足点 或基础设施内的移动。
攻击者拥有数百万个用户密码组合的列表,他们在撞库攻击中使用这些组合,并且可能性是:
用户与“永久”密码的组合位于这些列表之一中,且远大于零。
密码不过期的帐户易于管理,但并不安全。 使用此小部件可以查找具有此类密码的所有帐户。 更改此设置并更新您的密码。
一旦此小部件的值设置为零,使用该密码创建的任何新帐户都将显示在仪表板中。
2. 具有 SPN 的管理帐户数量
SPN(服务主体名称)是服务实例的唯一标识符。 此小部件显示有多少服务帐户拥有完全管理员权限。 小部件上的值必须为零。 具有管理权限的 SPN 的出现是因为授予此类权限对于软件供应商和应用程序管理员来说很方便,但会带来安全风险。
授予服务帐户管理权限允许攻击者获得对未使用的帐户的完全访问权限。 这意味着有权访问 SPN 帐户的攻击者可以在基础设施内自由操作,而无需监控其活动。
您可以通过更改服务帐户的权限来解决此问题。 此类帐户应遵守最小权限原则,并且仅具有其操作实际所需的访问权限。
使用此小部件,您可以检测具有管理权限的所有 SPN,删除此类权限,然后使用相同的最小特权访问原则监视 SPN。
新出现的 SPN 将显示在仪表板上,您将能够监控此过程。
3. 不需要Kerberos预认证的用户数
理想情况下,Kerberos 使用 AES-256 加密技术对身份验证票证进行加密,该加密技术至今仍无法破解。
然而,旧版本的 Kerberos 使用 RC4 加密,现在可以在几分钟内破解。 此小部件显示哪些用户帐户仍在使用 RC4。 Microsoft 仍然支持 RC4 以实现向后兼容性,但这并不意味着您应该在 AD 中使用它。
一旦识别出此类帐户,您需要取消选中 AD 中的“不需要 Kerberos 预授权”复选框,以强制帐户使用更复杂的加密。
如果没有 Varonis AD 仪表板,您自己发现这些帐户需要花费大量时间。 事实上,了解所有被编辑为使用 RC4 加密的帐户是一项更加困难的任务。
如果小部件上的值发生变化,则可能表明存在非法活动。
4、无密码用户数
攻击者使用基本的 PowerShell 命令从帐户属性中的 AD 读取“PASSWD_NOTREQD”标志。 使用此标志表示没有密码要求或复杂性要求。
使用简单密码或空白密码窃取帐户有多容易? 现在假设这些帐户之一是管理员。
如果向所有人开放的数千个机密文件之一是即将发布的财务报告怎么办?
忽略强制密码要求是过去经常使用的另一个系统管理快捷方式,但现在既不可接受也不安全。
通过更新这些帐户的密码来解决此问题。
将来监视此小部件将帮助您避免使用没有密码的帐户。
瓦罗尼斯扳平比分
过去,收集和分析本文所述指标的工作需要花费大量时间,并且需要深入了解 PowerShell,需要安全团队每周或每月为此类任务分配资源。 但手动收集和处理这些信息使攻击者能够先机渗透和窃取数据。
С 您将花费一天的时间来部署 AD 仪表板和其他组件,收集讨论的所有漏洞等等。 未来,在运行过程中,监控面板将随着基础设施状态的变化而自动更新。
进行网络攻击始终是攻击者和防御者之间的竞赛,攻击者希望在安全专家阻止访问数据之前窃取数据。 及早发现攻击者及其非法活动,再加上强大的网络防御,是确保数据安全的关键。
来源: habr.com