Tudo o que um invasor precisa é de tempo e motivação para penetrar na sua rede. Mas nosso trabalho com você é impedi-lo de fazer isso ou, pelo menos, complicar essa tarefa o máximo possível. Você precisa começar identificando pontos fracos no Active Directory (a seguir denominado AD) que um invasor pode usar para obter acesso e se mover pela rede, sem ser detectado. Hoje, neste artigo, examinaremos os indicadores de risco que refletem as vulnerabilidades existentes na defesa cibernética de sua organização, usando o painel do AD Varonis como exemplo.
Os invasores usam configurações específicas no domínio
Os invasores usam muitos truques e vulnerabilidades para penetrar na rede corporativa e aumentar os privilégios. Algumas dessas vulnerabilidades são parâmetros de configuração de domínio que podem ser facilmente alterados após serem identificados.
O painel do AD notificará você imediatamente se você (ou os administradores do sistema) não alterou a senha do KRBTGT no mês passado ou se alguém se autenticou com a conta de administrador padrão incorporada (Administrador). Essas duas contas fornecem acesso ilimitado à sua rede: os invasores tentarão obter acesso a elas para contornar livremente quaisquer distinções de privilégios e permissões de acesso. E, como resultado, obter acesso a qualquer dado que lhes interesse.
Obviamente, você pode detectar essas vulnerabilidades: por exemplo, defina um lembrete de calendário para verificação ou execute um script do PowerShell para coletar essas informações.
O painel da Varonis é atualizado
automaticamente para exibir e analisar rapidamente as principais métricas que destacam possíveis vulnerabilidades, para que você possa tomar medidas imediatas.
3 principais indicadores de risco no nível do domínio
Abaixo estão alguns widgets disponíveis no painel da Varonis, cuja utilização fortalecerá significativamente a proteção da rede corporativa e da infraestrutura de TI como um todo.
1. O número de domínios para os quais a senha da conta Kerberos não mudou significativamenteA conta KRBTGT é uma conta especial no AD que assina todos
os tíquetes Kerberos . Os invasores que obtêm acesso a um controlador de domínio (DC) podem usar essa conta para criar um
ticket Golden , que lhes dará acesso ilimitado a praticamente qualquer sistema na rede corporativa. Nos deparamos com uma situação em que, após receber com êxito o Bilhete de Ouro, o atacante teve acesso à rede da organização por dois anos. Se a senha da conta KRBTGT na sua empresa não tiver sido alterada nos últimos quarenta dias, o widget o notificará sobre isso.
Quarenta dias é tempo mais que suficiente para um invasor obter acesso à rede. No entanto, se você fornecer e padronizar o processo de alterar essa senha regularmente, isso complicará bastante a tarefa de um invasor penetrar na rede corporativa.
Lembre-se de que, de acordo com a implementação do protocolo Kerberos pela Microsoft, você precisa
alterar a senha KRBTGT duas vezes.
No futuro, esse widget do AD lembrará você quando for a hora de alterar a senha do KRBTGT novamente para todos os domínios da sua rede.
2. Número de domínios recentemente usando a conta de administrador internaDe acordo com o
princípio de menos privilégios , duas contas são fornecidas aos administradores do sistema: a primeira é uma conta para uso diário e a segunda é para o trabalho administrativo planejado. Isso significa que ninguém deve usar a conta de administrador padrão.
Uma conta de administrador interna é frequentemente usada para simplificar o processo de administração do sistema. Isso pode ser um mau hábito, resultando em um hack. Se isso acontecer em sua organização, será difícil distinguir o uso adequado dessa conta do acesso potencialmente malicioso.
Se o widget mostrar algo diferente de zero, significa que alguém não está funcionando corretamente com contas administrativas. Nesse caso, você deve tomar medidas para corrigir e restringir o acesso à conta de administrador interna.
Depois de atingir um valor zero para o widget e os administradores de sistema não usarem mais essa conta para o trabalho deles, no futuro, qualquer alteração nela indicará um possível ataque cibernético.
3. O número de domínios em que não há um grupo de usuários protegidos (usuários protegidos)As versões antigas do AD suportavam um tipo fraco de criptografia - RC4. Os hackers invadiram o RC4 há muitos anos e, agora, um invasor quebra uma conta que ainda usa o RC4 é uma tarefa trivial. A versão do Active Directory introduzida no Windows Server 2012 introduziu um grupo de usuários de um novo tipo chamado Grupo de Usuários Protegidos. Ele fornece ferramentas de segurança adicionais e evita a autenticação do usuário usando a criptografia RC4.
Este widget demonstrará se não existe um grupo desse tipo em nenhum domínio da organização para que você possa corrigi-lo, ou seja, habilite um grupo de usuários protegidos e use-o para proteger a infraestrutura.
Alvos leves para atacantes
As contas de usuário são o alvo número um dos atacantes - desde as primeiras tentativas de penetrar até a escalada contínua de privilégios e ocultar suas ações. Os invasores procuram alvos simples em sua rede usando comandos básicos do PowerShell, que geralmente são difíceis de detectar. Remova o maior número possível desses alvos leves do AD.
Os invasores procuram usuários com senhas ilimitadas (ou que não precisam de senhas), contas de tecnologia que são administradores e contas que usam criptografia RC4 antiga.
Qualquer uma dessas contas é de acesso trivial ou, como regra, não é monitorada. Os invasores podem seqüestrar essas contas e se mover livremente dentro da sua infraestrutura.
Uma vez que os invasores penetram no perímetro de segurança, é provável que tenham acesso a pelo menos uma conta. Você pode impedir que eles obtenham acesso a dados confidenciais antes de detectar e encerrar o ataque?
O painel do Varonis AD apontará para contas de usuário vulneráveis, para que você possa corrigir os problemas com antecedência. Quanto mais difícil for entrar na sua rede, maiores serão as chances de neutralizar um invasor antes que ele cause sérios danos.
4 principais indicadores de risco para contas de usuário
A seguir, exemplos de widgets no painel do Varonis AD que indicam as contas de usuário mais vulneráveis.
1. O número de usuários ativos com senhas que nunca expiramPara qualquer invasor, acessar uma conta desse tipo sempre é um grande sucesso. Como a senha nunca expira, o invasor obtém uma posição permanente na rede, que pode ser usada para
aumentar privilégios ou mover-se dentro da infraestrutura.
Os invasores têm listas com milhões de combinações de senha de usuário que eles usam em ataques de substituição de credenciais e a probabilidade
que a combinação para o usuário com a senha "eterna" está em uma dessas listas, muito mais que zero.
Contas com senhas que não expiram são fáceis de gerenciar, mas não são seguras. Use este widget para encontrar todas as contas que possuem essas senhas. Altere essa configuração e atualize a senha.
Assim que o valor desse widget se tornar zero, quaisquer novas contas criadas com essa senha aparecerão no painel.
2. O número de contas administrativas com SPNO SPN (nome principal do serviço) é um identificador exclusivo para uma instância de um serviço. Este widget mostra quantas contas de serviço têm direitos totais de administrador. O valor no widget deve ser zero. Um SPN com direitos de administrador ocorre porque a concessão desses direitos é conveniente para fornecedores de software e administradores de aplicativos, mas isso representa um risco à segurança.
A concessão de privilégios de administrador de uma conta de serviço permite que um invasor obtenha acesso total a uma conta que não é usada. Isso significa que invasores com acesso a contas SPN podem agir livremente dentro da infraestrutura e, ao mesmo tempo, evitar o monitoramento de suas ações.
Você pode corrigir esse problema alterando as permissões para contas de serviço. Tais contas devem obedecer ao princípio do menor privilégio e ter apenas o acesso realmente necessário para o seu trabalho.
Usando esse widget, você pode encontrar todos os SPNs com direitos de administrador, eliminar esses privilégios e controlar ainda mais o SPN, guiado pelo mesmo princípio de acesso com o mínimo de privilégios.
O SPN recém-exibido será exibido no painel e você pode controlar esse processo.
3. Número de usuários que não exigem pré-autenticação KerberosIdealmente, o Kerberos criptografa um tíquete de autenticação usando a criptografia AES-256, que permanece inalterada até o momento.
No entanto, versões mais antigas do Kerberos usavam a criptografia RC4, que agora pode ser quebrada em questão de minutos. Este widget mostra quais contas de usuário ainda usam o RC4. A Microsoft ainda oferece suporte ao RC4 para compatibilidade com versões anteriores, mas isso não significa que você deve usá-lo no seu AD.
Depois de encontrar essas contas, desmarque a caixa de seleção "não requer pré-autorização do Kerberos" no AD para que as contas usem criptografia mais complexa.
A autodescoberta dessas contas, sem o painel do Varonis AD, consome muito tempo. Na realidade, ser informado oportunamente de todas as contas editadas para usar a criptografia RC4 é uma tarefa ainda mais difícil.
Se o valor no widget mudar, isso pode indicar ações ilegais.
4. O número de usuários sem uma senhaOs invasores usam os comandos básicos do PowerShell para ler o sinalizador "PASSWD_NOTREQD" nas propriedades do AD nas propriedades da conta. O uso desse sinalizador significa que não há requisitos para a presença ou complexidade de uma senha.
Quão fácil é roubar uma conta com uma senha simples ou em branco? Agora imagine que uma dessas contas é um administrador.
E se um dos milhares de arquivos confidenciais abertos a todos for um próximo relatório financeiro?
Ignorar o requisito obrigatório de entrada de senha é outro atalho para a administração do sistema que costumava ser usado no passado, mas hoje é inaceitável e inseguro.
Corrija esse problema atualizando as senhas dessas contas.
O monitoramento desse widget no futuro ajudará a evitar contas de usuário sem uma senha.
Varonis iguala as probabilidades
No passado, o trabalho de coletar e analisar as métricas do artigo levava muitas horas e exigia um conhecimento profundo do PowerShell: os especialistas em segurança tinham que alocar recursos para essas tarefas toda semana ou mês. Porém, a coleta e o processamento manual dessas informações oferecem aos invasores uma vantagem para a penetração e o roubo de dados.
Com o
Varonis, você passará um dia para implantar o painel do AD e componentes adicionais, para coletar todas as vulnerabilidades consideradas e muitas outras vulnerabilidades. No futuro, durante a operação, o painel será atualizado automaticamente à medida que o estado da infraestrutura for alterado.
A realização de ataques cibernéticos é sempre uma corrida entre invasores e defensores, o desejo de um invasor de roubar dados antes que os especialistas em segurança possam bloquear o acesso a eles. A detecção precoce de cibercriminosos e suas ações ilegais, combinadas com forte defesa cibernética, é a chave para garantir a segurança de seus dados.