网络攻击者可以使用你的特权用户凭证的3种隐藏方式
防备进攻者在您的收集中执行横向移动的手段不只是威胁检测成果。我们将接头下一些在企业收集中得到特权的用户凭据的最常见且最不行见的方法。 众所周知,域名打点员或其他高机能根据是收集进攻者的黄金。通过“钥匙”,他们可以轻松地、无声地从一个体系移动到另一个体系,变动域属性,添加权限,变动暗码以及毗连到域中的任何计较机。大大都企业将大量资源用于细心打点域处事器,并行使各类技能和实践来节制会见权限。但我们的履历表白,纵然在最勤劳的组织中,进攻者也比您想象的更轻易得到特权用户凭据。 1. “孤独的”证书 通过一般的IT支持勾当,强盛的凭据也许会在不经意间落在后头。假设财政部分的员工打电话给内部处事台,扣问毗连或应用措施题目。处事台职员行使域打点员根据长途会见体系,举办妨碍解除并办理题目,但会在没有正确注销的环境下竣事会话。这些域打点员根据也许会保存在最终用户的体系上,直到他或她注销收集或从头启动体系。固然这种环境并非恶意的,而且这种环境最终会自行更正,但它会建设一个无形的裂痕窗口,假如在正确的时刻,正确的位置。在金融、人力资源和其他规模,体系也许出格轻易受到进攻,由于在这些规模,用户对安详性的熟悉较低,而且更常常成为收集垂纶和恶意软件行为的方针。 2. 糟糕的当地打点实践 IT操纵和安详性之间恒久存在的题目或缺乏和谐也许会在伤害的体系陈设实践中示意出来。从安详性角度来看,企业凡是不该应承建设当地打点员,由于它们可以在处事器域的节制之外运行,使体系更轻易受到恶意软件的进攻,并为各类安详违规举动打开大门。可是,为了进步服从,凡是行使包括默认当地打点员用户的体系映像(黄金映像)和沟通的默认暗码构建尺度端点。固然这也许使IT打点员更利便,但进攻者此刻有机遇行使一个暗码会见多台计较机。有了当地打点员权限,雇员或进攻者也更轻易建设未授权的当地用户,凡是只能通过查询每台呆板来发明这些用户。 3. “影子”打点员 有充实的来由,分层防止系统布局包罗某种情势的特权用户监控(PUM)或特权会见打点(PAM),以便通过恰当水平的风险缓解来处理赏罚这些凭据。可是,假如没有恰当的留意,这也许会导致一种卖弄的安详感。通过操纵会见节制列表(ACL),收集进攻者可以晋升用户权限,从而建设具有域打点员会见但不属于域打点员组的“影子打点员”。一个客户,方才接过新事变的安详专员,存心分派给平凡用户晋升了相等于域打点员的权限。 虽然,恶意IT职员或其他内部职员也可以存心建设影子打点员,也也许会心外建设影子打点员。鉴于处事器权限布局和组织要求,也许变得何等伟大,很轻易堕落,最终授予超出用户成果要求的权限。 通过可见性节制 跟着探查和其他有助于自动横向移动的进攻器材的呈现,防备滥用特权凭据的须要性变得越发急切。逼迫执行特权会见计策不只仅是正确设置处事器的题目。凭据斗嘴也许很是难以打点。这有两个首要缘故起因:
纵然在相对较小的企业中,也会耗损整个安详团队,以便不绝辨认和更正根据违规举动。从现实角度来看,自动化是必须的。这是所面对的挑衅之一。它辨认域打点根据的位置,不绝发明根据违规举动,并提供自动化以辅佐更正它们,以便您可以发明并快速办理助长恶意横向移动的环境。 进攻者无意会打破你的防止是不行停止的,可是假如你不绝地镌汰你的内部进攻面,你可以低落你企业的权限落入他们手中的风险,而且极大地阻碍他们达到方针的手段。 【编辑保举】
点赞 0 (编辑:河北网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |