Capire come avvengono le compromissioni è una parte fondamentale della formazione di una difesa di sicurezza informatica. In quest'ottica, di recente mi sono unito a Andy Robbins, co-creatore dello strumento open source di individuazione dei percorsi di attacco, BloodHound, per un webinar che ha illustrato come gli aggressori prendono di mira Active Directory (AD).
Durante la presentazione, abbiamo messo in luce una scomoda verità: il centro dei servizi di identità aziendali è ora un frutto maturo e succoso. Non deve sorprendere che Active Directory sia una fonte di interesse per gli aggressori, ma spesso si sottovaluta quanto sia diventato un bersaglio facile.-probabilmente perché il suo status di anello debole nella catena della sicurezza non è dovuto a vulnerabilità del codice di alto profilo. In realtà, in molti casi, le porte più ampie per gli aggressori sono quelle aperte dalle comuni configurazioni di distribuzione e dagli errori di gestione.
Perché l'AD è un bersaglio facile
Il fatto è che AD non è stato costruito tenendo conto delle moderne sfide di sicurezza. In passato, sia i pen-tester che gli aggressori si affidavano a exploit lato server per compromettere i sistemi. Una volta entrati, utilizzavano le comuni password di amministratore locale per spostarsi lateralmente all'interno della rete. Oggi hanno a disposizione tecniche più affidabili che hanno un rischio minore di essere scoperte o di causare un crash del sistema. Queste tecniche sfruttano strumenti come BloodHound e abusano dei protocolli integrati nel sistema operativo Windows e nello stesso AD.
BloodHound, ad esempio, può essere puntato su Active Directory e utilizzato per identificare i percorsi di attacco e trovare il modo più semplice per gli attori delle minacce di elevare i privilegi in un ambiente. Questo è possibile perché, per impostazione predefinita, gli utenti del dominio hanno accesso in lettura a qualsiasi oggetto in AD. Purtroppo, per molte aziende, la complessità delle applicazioni e dell'infrastruttura rende difficile rimuovere l'accesso agli oggetti che potrebbero interessare gli aggressori, lasciando una potenziale porta aperta per la ricognizione.
Questa è la realtà della sicurezza di AD. Mentre le vulnerabilità legate al codice possono essere affrontate applicando gli ultimi aggiornamenti di sicurezza il più rapidamente possibile, è il modo in cui l'AD viene distribuito in un ambiente che spesso rappresenta la sfida più grande per la sicurezza. Le sfide che le organizzazioni devono affrontare aumentano con l'aumentare della complessità dell'ambiente AD. Con l'aggiunta o l'eliminazione di utenti e gruppi, la probabilità che si verifichino configurazioni errate, mentre il team IT lavora per mantenere impostazioni e criteri coerenti, continua ad aumentare. Questi errori possono assumere diverse forme, dalla delega non vincolata alla mancata considerazione delle autorizzazioni ereditate quando si annida un gruppo.
Ma come dice il proverbio, un grammo di prevenzione vale un chilo di cura. Per rendere più solida Active Directory non bastano le patch, ma occorre anche chiudere le porte aperte da problemi come la cattiva gestione dei gruppi. Significa anche chiudere le porte aperte da problemi come la cattiva gestione dei gruppi, e per farlo le organizzazioni devono sapere cosa cercare.
Ridurre il rischio attraverso la visibilità
I problemi più critici sono quelli che potrebbero consentire l'escalation dei privilegi e il movimento laterale da parte degli aggressori. Consideriamo due attacchi comuni.
Incidente numero uno: gli aggressori prendono di mira il AdminSDHolder oggetto. Gli aggressori tentano di modificare l'elenco di controllo degli accessi (ACL) per cambiare le autorizzazioni sugli oggetti privilegiati attraverso l'oggetto AdminSDHolder. In caso di successo, questo darebbe a qualsiasi account aggiunto all'ACL i privilegi di altri account di un gruppo.
Secondo incidente: gli intrusi lanciano attacchi Golden Ticket. Gli attacchi Golden Ticket hanno come obiettivo Kerberos e coinvolgono coinvolgono attaccanti cheche hanno ottenuto l'hash della hash della password della password krbtgt falsificando un ticket di accesso per scalare i privilegi e accedere a qualsiasi servizio servizio come utente qualsiasi.
In sostanza, la difesa contro questi e altri attacchi consiste nel monitorare l'AD alla ricerca di attività sospette. Per farlo in modo efficace, è importante sfruttare le informazioni sulle tattiche degli aggressori. Ridurre il panorama delle minacce con azioni quali la revisione delle autorizzazioni e l'applicazione del principio del minimo privilegio nei gruppi AD, l'utilizzo di password complesse e la garanzia che gli aggiornamenti di sicurezza per i server AD ricevano un'alta priorità è solo una parte dell'equazione per una difesa forte. L'altra parte richiede la capacità di rilevare e rispondere dinamicamente alle minacce che si presentano.
Semperis si è recentemente mossa per aiutare i clienti ad affrontare questa sfida tecnologica. A giugno abbiamo rilasciato la versione 3.0 di Directory Services Protector (DSP) v3.0, che fornisce un monitoraggio continuo e una valutazione delle vulnerabilità. DSP analizza Active Directory alla ricerca di indicatori di esposizione e assegna una priorità alle vulnerabilità in base al loro rischio. Questa capacità è ulteriormente migliorata da una combinazione di informazioni integrate sulle minacce e dalla guida di una comunità di ricercatori sulla sicurezza. Man mano che vengono scoperte nuove ricerche sulle minacce, vengono aggiunti dinamicamente altri indicatori di sicurezza in modo da rilevare nuove tecniche di attacco.
Armati delle informazioni più aggiornate sulle minacce, Semperis DSP può utilizzare la sua nuova funzionalità di auto-remediation per annullare le modifiche operative o di sicurezza critiche senza alcun coinvolgimento dell'amministratore. Con l'auto-remediation, l'organizzazione può annullare le modifiche sospette e prevenire ulteriori danni prima che si verifichino. Inoltre, le organizzazioni sono in grado di rilevare le modifiche e le eliminazioni in tutte le partizioni AD e gli oggetti dei Criteri di gruppo, anche se l'aggressore elude la registrazione.
Prevenzione in azione
La buona notizia sulla sicurezza dell'AD è che i mezzi per prevenire gli attacchi sono proprio davanti a noi. A SemperisSemperis aggiorniamo regolarmente un elenco completo elenco di indicatori di minaccia che consentono alle aziende di chiudere la porta ai tipi di falle nella sicurezza per le quali gli aggressori sono invidiosi. Prendiamo ad esempio le recenti modifiche ai criteri di dominio predefiniti o ai controller di dominio predefiniti. controllori politica GPO. Questo tipo di modifica può segnalare che gli aggressori sono attivi nell'ambiente, in quanto questi Group Policy Objects (GPO) (GPO) controllano le impostazioni di sicurezza e possono essere utilizzati per ottenere un accesso privilegiato ad AD. Un altro esempio è la modifica inaspettata del descrittore di sicurezza predefinito di sicurezza predefinito su una classe di oggetti nello schema-un bersaglio ghiotto per gli aggressori, perché qualsiasi modifica può essere propagata agli oggetti appena creati.
L'uso di indicatori di minaccia per aiutare le attività di monitoraggio migliora l'efficacia dei controlli di sicurezza su AD. Se combinato con la possibilità di annullare le modifiche e di eseguire valutazioni delle vulnerabilità che segnalano gli account utente con controlli a rischio, riduce la probabilità che un comportamento dannoso abbia un impatto sull'AD e passi inosservato.
Gli attori delle minacce seguono il percorso di minor resistenza per raggiungere i loro obiettivi. Finché la porta d'ingresso è aperta a causa di configurazioni errate o del funzionamento di AD, gli aggressori continueranno ad avvicinarsi alla vostra azienda.'azienda. Per rafforzare l'AD, i team IT devono sfruttare le informazioni sulle tattiche degli avversari e concentrare i propri sforzi di sicurezza sulla creazione di quanti più ostacoli digitali possibili davanti ai percorsi di attacco.