Yang dibutuhkan penyerang adalah waktu dan motivasi untuk menembus jaringan Anda. Tetapi pekerjaan kami dengan Anda adalah untuk mencegahnya melakukan hal ini, atau setidaknya mempersulit tugas ini sebanyak mungkin. Anda harus mulai dengan mengidentifikasi kelemahan dalam Active Directory (selanjutnya disebut sebagai AD) yang dapat digunakan penyerang untuk mendapatkan akses dan bergerak di sekitar jaringan, tanpa terdeteksi. Hari ini di artikel ini kita akan melihat indikator risiko yang mencerminkan kerentanan yang ada dalam pertahanan cyber organisasi Anda, menggunakan dashboard AD Varonis sebagai contoh.
Penyerang menggunakan konfigurasi spesifik di domain
Penyerang menggunakan banyak trik dan kerentanan untuk menembus jaringan perusahaan dan meningkatkan hak istimewa. Beberapa kerentanan ini adalah parameter konfigurasi domain yang dapat dengan mudah diubah setelah diidentifikasi.
Dasbor AD akan segera memberi tahu Anda jika Anda (atau administrator sistem Anda) tidak mengubah kata sandi KRBTGT bulan lalu, atau jika seseorang mengautentikasi dengan akun Administrator (Administrator) bawaan bawaan. Kedua akun ini menyediakan akses tak terbatas ke jaringan Anda: penyerang akan mencoba untuk mendapatkan akses ke mereka untuk secara bebas memotong perbedaan dalam hak istimewa dan izin akses. Dan, sebagai hasilnya, untuk mendapatkan akses ke data apa pun yang menarik minat mereka.
Tentu saja, Anda dapat mendeteksi sendiri kerentanan ini: misalnya, mengatur pengingat kalender untuk verifikasi atau menjalankan skrip PowerShell untuk mengumpulkan informasi ini.
Dasbor Varonis diperbarui
secara otomatis untuk dengan cepat melihat dan menganalisis metrik kunci yang menyoroti kerentanan potensial sehingga Anda dapat mengambil tindakan segera.
3 indikator risiko utama di tingkat domain
Di bawah ini adalah sejumlah widget yang tersedia di dashboard Varonis, yang penggunaannya akan secara signifikan memperkuat perlindungan jaringan perusahaan dan infrastruktur TI secara keseluruhan.
1. Jumlah domain yang kata sandi akun Kerberos tidak berubah secara signifikanAkun KRBTGT adalah akun khusus dalam AD yang menandatangani semua
tiket Kerberos . Penyerang yang mendapatkan akses ke pengontrol domain (DC) dapat menggunakan akun ini untuk membuat
tiket Emas , yang akan memberi mereka akses tak terbatas ke hampir semua sistem di jaringan perusahaan. Kami dihadapkan pada situasi di mana, setelah berhasil menerima Tiket Emas, penyerang memiliki akses ke jaringan organisasi selama dua tahun. Jika kata sandi akun KRBTGT di perusahaan Anda tidak berubah selama empat puluh hari terakhir, widget akan memberi tahu Anda tentang hal ini.
Empat puluh hari lebih dari cukup waktu bagi penyerang untuk mendapatkan akses ke jaringan. Namun, jika Anda memberikan dan menstandardisasi proses mengubah kata sandi ini secara teratur, ini akan sangat menyulitkan tugas penyerang untuk menembus jaringan perusahaan.
Ingat bahwa sesuai dengan implementasi protokol Kerberos oleh Microsoft, Anda perlu
mengubah kata sandi KRBTGT dua kali.
Di masa depan, widget AD ini akan mengingatkan Anda kapan saatnya untuk mengubah kata sandi KRBTGT lagi untuk semua domain di jaringan Anda.
2. Jumlah domain yang baru-baru ini menggunakan akun Administrator bawaanMenurut
prinsip privilege paling tidak , dua akun disediakan untuk administrator sistem: yang pertama adalah akun untuk penggunaan sehari-hari, dan yang kedua adalah untuk pekerjaan administrasi yang direncanakan. Ini berarti bahwa tidak seorang pun boleh menggunakan akun administrator default.
Akun administrator internal sering digunakan untuk menyederhanakan proses administrasi sistem. Ini bisa menjadi kebiasaan yang buruk, menghasilkan peretasan. Jika ini terjadi di organisasi Anda, maka akan sulit bagi Anda untuk membedakan penggunaan yang tepat dari akun ini dari akses yang berpotensi berbahaya.
Jika widget menunjukkan sesuatu selain nol, itu berarti seseorang tidak bekerja dengan benar dengan akun administratif. Dalam hal ini, Anda harus mengambil langkah-langkah untuk memperbaiki dan membatasi akses ke akun administrator bawaan.
Setelah Anda mencapai nilai nol dari widget dan administrator sistem tidak lagi menggunakan akun ini untuk pekerjaan mereka, maka di masa depan, setiap perubahan di dalamnya akan menunjukkan potensi serangan cyber.
3. Jumlah domain di mana tidak ada grup Pengguna yang dilindungi (Pengguna yang Dilindungi)Versi lama dari AD mendukung jenis enkripsi yang lemah - RC4. Peretas meretas RC4 bertahun-tahun yang lalu, dan sekarang bagi penyerang untuk meretas akun yang masih menggunakan RC4 adalah tugas yang sepele. Versi Active Directory yang diperkenalkan di Windows Server 2012 memperkenalkan sekelompok pengguna tipe baru yang disebut Grup Pengguna yang Dilindungi. Ini menyediakan alat keamanan tambahan dan mencegah otentikasi pengguna menggunakan enkripsi RC4.
Widget ini akan menunjukkan jika tidak ada grup seperti itu di domain organisasi apa pun sehingga Anda dapat memperbaikinya, yaitu. memungkinkan sekelompok pengguna yang dilindungi, dan menggunakannya untuk melindungi infrastruktur.
Target ringan untuk penyerang
Akun pengguna adalah target nomor satu bagi penyerang - mulai dari upaya pertama untuk menembus hingga eskalasi hak istimewa yang berkelanjutan dan menyembunyikan tindakan mereka. Penyerang mencari target sederhana di jaringan Anda menggunakan perintah PowerShell dasar, yang seringkali sulit dideteksi. Hapus sebanyak mungkin target cahaya ini dari AD.
Penyerang mencari pengguna dengan kata sandi tak terbatas (atau yang tidak memerlukan kata sandi), akun teknologi yang merupakan administrator, dan akun yang menggunakan enkripsi RC4 lama.
Salah satu akun ini mudah diakses, atau, sebagai suatu peraturan, tidak dimonitor. Penyerang dapat membajak akun ini dan bergerak bebas di dalam infrastruktur Anda.
Setelah penyerang menembus batas keamanan, mereka cenderung mendapatkan akses ke setidaknya satu akun. Bisakah Anda mencegah mereka mendapatkan akses ke data sensitif sebelum Anda mendeteksi dan menghentikan serangan?
Dasbor Varonis AD akan mengarah ke akun pengguna yang rentan sehingga Anda dapat memperbaiki masalah di muka. Semakin sulit untuk masuk ke dalam jaringan Anda, semakin tinggi peluang Anda untuk menetralisir penyerang sebelum ia melakukan kerusakan serius.
4 indikator risiko utama untuk akun pengguna
Berikut ini adalah contoh widget di dasbor Varonis AD yang menunjukkan akun pengguna yang paling rentan.
1. Jumlah pengguna aktif dengan kata sandi yang tidak pernah kedaluwarsaUntuk setiap penyerang, mengakses akun seperti itu selalu sukses besar. Karena kata sandi tidak pernah kedaluwarsa, penyerang memperoleh pijakan permanen dalam jaringan, yang kemudian dapat digunakan untuk
meningkatkan hak istimewa atau bergerak dalam infrastruktur.
Penyerang memiliki daftar dengan jutaan kombinasi kata sandi pengguna yang mereka gunakan dalam serangan substitusi kredensial, dan kemungkinannya
bahwa kombinasi untuk pengguna dengan kata sandi "abadi" ada di salah satu dari daftar ini, lebih dari nol.
Akun dengan kata sandi yang tidak kedaluwarsa mudah dikelola, tetapi tidak aman. Gunakan widget ini untuk menemukan semua akun yang memiliki kata sandi ini. Ubah pengaturan ini dan perbarui kata sandi.
Segera setelah nilai widget ini menjadi nol, setiap akun baru yang dibuat dengan kata sandi ini akan muncul di dasbor.
2. Jumlah akun administratif dengan SPNSPN (Nama Pokok Layanan) adalah pengidentifikasi unik untuk instance layanan. Widget ini menunjukkan berapa banyak akun layanan yang memiliki hak administrator penuh. Nilai pada widget harus nol. SPN dengan hak administrator terjadi karena pemberian hak seperti itu nyaman untuk penyedia perangkat lunak dan administrator aplikasi, tetapi ini menimbulkan risiko keamanan.
Memberikan hak administrator akun layanan memungkinkan penyerang untuk mendapatkan akses penuh ke akun yang tidak digunakan. Ini berarti bahwa penyerang dengan akses ke akun SPN dapat dengan bebas bertindak di dalam infrastruktur dan pada saat yang sama menghindari pemantauan tindakan mereka.
Anda dapat memperbaiki masalah ini dengan mengubah izin untuk akun layanan. Akun semacam itu harus mematuhi prinsip hak istimewa yang paling rendah dan hanya memiliki akses yang benar-benar diperlukan untuk pekerjaan mereka.
Dengan menggunakan widget ini, Anda dapat menemukan semua SPN yang memiliki hak administrator, menghilangkan hak istimewa tersebut, dan selanjutnya mengontrol SPN, dipandu oleh prinsip akses yang sama dengan hak istimewa yang paling sedikit.
SPN yang baru muncul akan ditampilkan di dasbor, dan Anda dapat mengontrol proses ini.
3. Jumlah pengguna yang tidak memerlukan pra-otentikasi KerberosIdealnya, Kerberos mengenkripsi tiket otentikasi menggunakan enkripsi AES-256, yang tetap tidak terputus hingga saat ini.
Namun, versi Kerberos yang lama menggunakan enkripsi RC4, yang sekarang dapat di-crack dalam hitungan menit. Widget ini menunjukkan akun pengguna mana yang masih menggunakan RC4. Microsoft masih mendukung RC4 untuk kompatibilitas mundur, tetapi itu tidak berarti Anda harus menggunakannya dalam AD Anda.
Setelah Anda menemukan akun seperti itu, Anda perlu mengosongkan kotak centang "tidak memerlukan pra-otorisasi Kerberos" di AD sehingga akun menggunakan enkripsi yang lebih kompleks.
Penemuan diri dari akun ini, tanpa dasbor Varonis AD, memakan waktu. Pada kenyataannya, mendapat informasi tentang semua akun yang diedit untuk menggunakan enkripsi RC4 adalah tugas yang bahkan lebih sulit.
Jika nilai pada widget berubah, ini mungkin mengindikasikan tindakan ilegal.
4. Jumlah pengguna tanpa kata sandiPenyerang menggunakan perintah PowerShell dasar untuk membaca bendera βPASSWD_NOTREQDβ dari properti AD di properti akun. Menggunakan bendera ini berarti bahwa tidak ada persyaratan untuk keberadaan atau kompleksitas kata sandi.
Seberapa mudah mencuri akun dengan kata sandi sederhana atau kosong? Sekarang bayangkan salah satu akun ini adalah administrator.
Bagaimana jika salah satu dari ribuan file rahasia terbuka untuk semua orang adalah laporan keuangan yang akan datang?
Mengabaikan persyaratan entri kata sandi wajib adalah cara pintas lain untuk administrasi sistem yang telah sering digunakan di masa lalu, tetapi hari ini tidak dapat diterima dan tidak aman.
Perbaiki masalah ini dengan memperbarui kata sandi untuk akun ini.
Memantau widget ini di masa mendatang akan membantu Anda menghindari akun pengguna tanpa kata sandi.
Varonis menyamakan peluang
Di masa lalu, pekerjaan mengumpulkan dan menganalisis metrik dalam artikel tersebut memakan waktu berjam-jam dan membutuhkan pengetahuan mendalam tentang PowerShell: spesialis keamanan harus mengalokasikan sumber daya untuk tugas-tugas tersebut setiap minggu atau bulan. Tetapi pengumpulan dan pemrosesan informasi ini secara manual memberi penyerang langkah awal untuk penetrasi dan pencurian data.
Dengan
Varonis, Anda akan menghabiskan satu hari untuk menggunakan dasbor AD dan komponen tambahan, untuk mengumpulkan semua kerentanan yang dipertimbangkan dan banyak lainnya. Di masa depan, selama operasi, dasbor akan diperbarui secara otomatis ketika keadaan infrastruktur berubah.
Melakukan serangan cyber selalu merupakan balapan antara penyerang dan pembela, keinginan penyerang untuk mencuri data sebelum pakar keamanan dapat memblokir akses ke sana. Deteksi dini para penjahat dunia maya dan tindakan mereka yang melawan hukum, dikombinasikan dengan pertahanan dunia maya yang kuat, adalah kunci untuk memastikan keamanan data Anda.