攻擊者所需要的只是時間和動力來闖入您的網路。 但我們的工作是阻止他這樣做,或至少讓這項任務變得盡可能困難。 您需要先識別 Active Directory(以下簡稱 AD)中的弱點,攻擊者可以利用這些弱點來取得存取權限並在網路中移動而不被發現。 今天,在本文中,我們將使用 AD Varonis 儀表板作為範例,研究反映組織網路防禦中現有漏洞的風險指標。
攻擊者在網域中使用某些配置
攻擊者使用各種巧妙的技術和漏洞來滲透企業網路並升級權限。 其中一些漏洞是域配置設置,一旦識別,就可以輕鬆更改。
如果您(或您的系統管理員)在上個月沒有更改 KRBTGT 密碼,或者有人使用預設內建管理員帳戶進行了身份驗證,AD 儀表板將立即提醒您。 這兩個帳戶提供對您的網路的無限制存取:攻擊者將嘗試取得對它們的存取權限,以輕鬆繞過特權和存取權限的任何限制。 因此,他們可以存取他們感興趣的任何數據。
當然,您可以自行發現這些漏洞:例如,設定日曆提醒來檢查或執行 PowerShell 腳本來收集此資訊。
Varonis 儀表板正在更新 自動 提供對突出潛在漏洞的關鍵指標的快速可見性和分析,以便您可以立即採取行動來解決它們。
3 個關鍵領域層級風險指標
以下是 Varonis 儀表板上提供的一些小部件,使用這些小部件將顯著增強對整個企業網路和 IT 基礎設施的保護。
1. Kerberos 帳戶密碼在很長一段時間內未更改的網域數量
KRBTGT帳戶是AD中的一個特殊帳戶,可以對所有內容進行簽名 。 獲得網域控制器 (DC) 存取權限的攻擊者可以使用此帳戶建立 ,這將使他們能夠無限制地存取公司網路上的幾乎所有系統。 我們遇到過這樣的情況:成功獲得金票後,攻擊者可以在兩年內訪問該組織的網路。 如果您公司的 KRBTGT 帳戶密碼在過去四十天內沒有更改,小工具會通知您。
四十天對於攻擊者取得網路存取權限來說已經足夠了。 但是,如果您定期強制執行並標準化更改此密碼的流程,攻擊者將更難闖入您的公司網路。
請記住,根據 Microsoft 對 Kerberos 協定的實現,您必須 KRBTGT。
將來,此 AD 小工具將提醒您何時需要再次變更網路上所有網域的 KRBTGT 密碼。
2. 最近使用內建管理員帳號的網域數量
根據 — 系統管理員有兩個帳戶:第一個是日常使用的帳戶,第二個是用於計畫管理工作的帳戶。 這意味著任何人都不應使用預設管理員帳戶。
內建管理員帳戶通常用於簡化系統管理流程。 這可能會成為一個壞習慣,從而導致駭客攻擊。 如果您的組織中發生這種情況,您將很難區分該帳戶的正確使用和潛在的惡意存取。
如果小工具顯示除零以外的任何內容,則表示有人無法正確使用管理帳戶。 在這種情況下,您必須採取措施糾正和限制對內建管理員帳戶的存取。
一旦您的小部件值為零並且系統管理員不再使用此帳戶進行工作,那麼將來對其進行的任何更改都將表明潛在的網路攻擊。
3. 沒有受保護使用者群組的網域數量
舊版的 AD 支援弱加密類型 - RC4。 駭客多年前就破解了 RC4,現在對於攻擊者來說,破解仍在使用 RC4 的帳戶是一件非常微不足道的任務。 Windows Server 2012 中引入的 Active Directory 版本引進了一種稱為受保護使用者群組的新使用者群組。 它提供了額外的安全工具並防止使用 RC4 加密進行使用者身份驗證。
此小工具將演示組織中是否有任何網域缺少此類群組,以便您可以修復它,即啟用一組受保護的使用者並用它來保護基礎設施。
容易成為攻擊者的目標
從最初的入侵嘗試到持續升級權限和隱藏其活動,使用者帳號是攻擊者的首要目標。 攻擊者使用通常難以偵測的基本 PowerShell 指令在網路上尋找簡單目標。 從 AD 中刪除盡可能多的這些簡單目標。
攻擊者正在尋找密碼永不過期(或不需要密碼)的使用者、管理員技術帳戶以及使用舊版 RC4 加密的帳戶。
這些帳戶中的任何一個都易於存取或通常不受監控。 攻擊者可以接管這些帳戶並在您的基礎設施內自由移動。
一旦攻擊者突破安全邊界,他們可能會獲得至少一個帳戶的存取權限。 您能否在檢測到並遏制攻擊之前阻止他們存取敏感資料?
Varonis AD 儀表板將指出易受攻擊的使用者帳戶,以便您可以主動排除問題。 滲透網路的難度越大,在攻擊者造成嚴重損害之前將其消滅的機會就越大。
用戶帳號的 4 個關鍵風險指標
以下是 Varonis AD 儀表板小部件的範例,突出顯示了最容易受到攻擊的使用者帳戶。
1. 密碼永不過期的活躍用戶數
對於任何攻擊者來說,獲得此類帳戶的存取權限總是一個巨大的成功。 由於密碼永不過期,攻擊者在網路中擁有永久的立足點,然後可以利用該立足點 或基礎設施內的移動。
攻擊者擁有數百萬個用戶密碼組合的列表,他們在撞庫攻擊中使用這些組合,並且可能性是:
使用者與「永久」密碼的組合位於這些清單之一中,且遠大於零。
密碼不過期的帳戶易於管理,但並不安全。 使用此小部件可以找到具有此類密碼的所有帳戶。 更改此設定並更新您的密碼。
一旦此小部件的值設為零,使用該密碼建立的任何新帳戶都會顯示在儀表板中。
2. 具有 SPN 的管理帳號數量
SPN(服務主體名稱)是服務實例的唯一識別碼。 此小工具顯示有多少服務帳戶擁有完全管理員權限。 小部件上的值必須為零。 具有管理權限的 SPN 的出現是因為授予此類權限對於軟體供應商和應用程式管理員來說很方便,但會帶來安全風險。
授予服務帳戶管理權限允許攻擊者獲得對未使用的帳戶的完全存取權。 這意味著有權存取 SPN 帳戶的攻擊者可以在基礎設施內自由操作,而無需監控其活動。
您可以透過變更服務帳戶的權限來解決此問題。 此類帳戶應遵守最小權限原則,並且僅具有其操作實際所需的存取權限。
使用此小部件,您可以偵測具有管理權限的所有 SPN,刪除此類權限,然後使用相同的最小特權存取原則監視 SPN。
新出現的 SPN 將顯示在儀表板上,您將能夠監控此過程。
3. 不需要Kerberos預先認證的用戶數
理想情況下,Kerberos 使用 AES-256 加密技術對身分驗證票證進行加密,該加密技術至今仍無法破解。
然而,舊版的 Kerberos 使用 RC4 加密,現在可以在幾分鐘內破解。 此小工具顯示哪些使用者帳號仍在使用 RC4。 Microsoft 仍然支援 RC4 以實現向後相容性,但這並不意味著您應該在 AD 中使用它。
一旦識別出此類帳戶,您需要取消選取 AD 中的「不需要 Kerberos 預授權」複選框,以強制帳戶使用更複雜的加密。
如果沒有 Varonis AD 儀表板,您自己發現這些帳戶需要花費大量時間。 事實上,要了解所有被編輯為使用 RC4 加密的帳戶是一項更困難的任務。
如果小部件上的值發生變化,則可能表示存在非法活動。
4.無密碼用戶數
攻擊者使用基本的 PowerShell 指令從帳號屬性中的 AD 讀取「PASSWD_NOTREQD」標誌。 使用此標誌表示沒有密碼要求或複雜性要求。
使用簡單密碼或空白密碼竊取帳戶有多容易? 現在假設這些帳戶之一是管理員。
如果向所有人開放的數千個機密文件之一是即將發布的財務報告怎麼辦?
忽略強制密碼要求是過去經常使用的另一個系統管理快捷方式,但現在既不可接受也不安全。
透過更新這些帳戶的密碼來解決此問題。
將來監視此小工具將幫助您避免使用沒有密碼的帳戶。
瓦羅尼斯扳平比分
過去,收集和分析本文所述指標的工作需要花費大量時間,並且需要深入了解 PowerShell,需要安全團隊每週或每月為此類任務分配資源。 但手動收集和處理這些資訊使攻擊者能夠先機滲透和竊取資料。
С 您將花費一天的時間來部署 AD 儀表板和其他元件,收集討論的所有漏洞等等。 未來,在運作過程中,監控面板將隨著基礎架構狀態的變化而自動更新。
進行網路攻擊始終是攻擊者和防禦者之間的競賽,攻擊者希望在安全專家阻止存取資料之前竊取資料。 及早發現攻擊者及其非法活動,再加上強大的網路防禦,是確保資料安全的關鍵。
來源: www.habr.com