Tudo o que um invasor precisa é de tempo e motivação para se infiltrar em sua rede, então, é preciso buscar formas de interromper e detectar uma invasão rapidamente. O primeiro passo é identificar todos os pontos fracos no Active Directory (AD) que um invasor pode usar para obter acesso e percorrer a rede sem ser detectado. O painel do Varonis Active Directory mostra suas vulnerabilidades e ajuda a acompanhar o progresso enquanto fortalece suas defesas.
Neste post, destacamos alguns mais de 25 indicadores de risco do Actve Directory que a Varonis rastreia em tempo real:
Configurações de domínio
Algumas vulnerabilidades são definições de configuração de domínio que podem ser alteradasr facilmente depois de identificar os problemas. E o painel de controle do Varonis AD mostra rapidamente se as configurações de domínio correm risco de fornecer aos atacantes acesso à sua rede. O painel é atualizado automaticamente para fornecer uma visão rápida das principais métricas que destacam possíveis vulnerabilidades, para que uma equipe de segurança cibernética possa tomar medidas para corrigir imediatamente quaisquer problemas.
Indicadores-chave de risco de nível de domínio
Aqui estão alguns widgets do AD destacado no painel que são particularmente úteis para ajudar a fortalecer e proteger a rede.
- Num. de domínios em que a senha da conta de Kerberos não foi alterada recentemente
A conta KRBTGT é a conta de serviço especial no AD que assina todos os tíquetes Kerberos. Os invasores que podem obter acesso a um controlador de domínio (DC) podemusar essa conta para criar um Golden Ticket, que concede acesso irrestrito a todos os sistemas da sua rede. Este widget do AD mostra se a senha de uma conta KRBTGT não mudou nos últimos quarenta dias. E isso é muito tempo para um invasor ter acesso à rede.
- Num. de domínios em que a conta do administrador foi acessado recentemente
O princípio de menor privilégio diz que o administradores de sistemas precisam de duas contas: uma de usuário para uso diário normal e outra para fazer alterações administrativas. Isso significa que ninguém deve usar a conta de administrador padrão por qualquer motivo e, se esse widget mostrar o contrário, isso pode significar um ataque cibernético ativo ou que alguém está usando contas administrativas incorretamente. Nos dois casos, esse widget fornece os dados necessários para investigar e corrigir o problema
- Num. de domínios em que o grupo de usuários protegidos não existe
As versões mais antigas do AD suportavam criptografia fraca, chamada RC4. Os hackers invadiram o RC4 anos atrás e é trivial para um invasor invadir uma conta que ainda usa o RC4. O Windows Server 2012 e versões posteriores introduziram um novo tipo de grupo Usuários chamado grupo Protegido. O grupo fornece recursos de segurança adicionais e impede que os usuários se autentiquem com a criptografia RC4. Esse widget mostra se algum dos seus domínios não possui esse grupo, para que seja possível atualizar e habilitar o grupo Usuários Protegidos e, em seguida, usar este novo grupo para proteger suas permissões.
Alvos fáceis
As contas de usuário são o alvo número um dos atacantes. Os invasores procuram por alvos fáceis em uma rede usando comandos básicos do PowerShell que são difíceis de detectar. O painel do Varonis AD destaca contas de usuários vulneráveis e permite que se faça uma busca detalhada para que o problema seja corrigido e para a criação de barreiras pelas que dificultam o trabalho dos invasores. Quanto mais difícil tornar arede para atacar, maiores serão as chances de capturar um invasor antes que ele possa causar grandes danos.
4 indicadores-chave de risco de conta de usuário
Aqui estão alguns exemplos de widgetes do Varonis AD que destacam contas de usuário arriscadas no AD.
- Num. de usuários habilitados com senhas que nunca expiram
Qualquer invasor que obtenha uma conta com senha que nunca expire é um invasor feliz. Como a senha nunca expira, eles têm uma posição permanente na rede que pode ser usada como uma área de preparação para escalada de privilégios ou movimento lateral.
- Num. de contas do Admin com SPN
Nome principal do serviço (SPN) significa que a conta é uma conta de serviço e o widget mostra quantas de suas contas de serviços têm privilégios administrativos completos. Esse número deve ser zero, pois, essas contas permitem que o invasor tenha acesso total a algo que não é utilizado. Isso significa acesso a contas que podem ser movimentar livremente, sem serem detectadas. Contas de serviço devem seguir os princípios de menor privilégio e ter acesso necessário apenas para realizar seu trabalho.
- Num. de usuários que não exigem pré-autenticação
Apesar do Kerberos criptografar tíquetes de autenticação com criptografia AES-256, algumas versões mais antigas usam a criptografia RC4, que pode ser facilmente quebrada. Este widget mostra quais contas estão usando a RC4 que, depois de identificadas, é necessário desmarcar a opção “não exigir pré-autorização do Kerberos” no AD para fazê-las usar a criptografia mais forte.
- Contas sem política de senha
Invasores usam o PowerShell para consultar o AD pelo sinalizador “PASSWD_NOTREQD”, que significa que não há um requisito de senha para aquele usuário. O Widget encontra essas contas e permite que o problema seja corrigido e a senha seja obrigatória.
Como a Varonis pode ajudar
No passado, pesquisa e reunir essas métricas levava várias horas e um profundo conhecimento do PowerShell, além de dedicar recursos para verificar suas posições de risco regularmente. Fazer isso manualmente, deixa muito tempo para que invasores invadam sua rede e roubem seus dados.
A Varonis precisa de um dia para preencher os painéis do AD com diversas métricas de vulnerabilidade do AD e deixa esse painel atualizado automaticamente. A detecção precoce combinada com uma forte defesa é essencial para manter seus dados seguros. Entre em contato e solicite uma demonstração gratuita.