收集进攻者行使你的特权用户凭据的3种潜匿方法
|
防备进攻者在您的收集中执行横向移动的手段不只是威胁检测成果,照旧一种收集卫天水果。接下来,我们将回首一些在企业收集中得到特权用户凭据的最不行见且最常见的方法。
众所周知,域名打点员或其他高机能根据对收集进攻者而言属于高代价方针。通过这些“通往财产王国的钥匙”,他们可以轻松地、悄无声气地从一个体系移动至另一个体系,变动域名属性,添加权限,变动暗码乃至是毗连到域中的任何计较机装备。大大都企业都投入了大量资源来细心打点勾当目次(Active Directory),并行使各类技能和实践来节制会见权限。但我们的现实履历表白,即即是在投入最多、组织最有序的企业中,进攻者也能垂手可得地从中获取到特权用户凭据。 1.“孤独的”证书 在一般的IT支持勾当中,也许会在不经意间遗留下强盛的凭据信息。假设财政部分的员工打电话给内部处事台,扣问毗连或应用措施题目。该处事台职员行使域打点员根据长途会见体系,举办妨碍解除并办理题目,但其也许会在没有正确注销的环境下竣事会话。云云一来,这些域打点员根据就也许会保存在最终用户的体系上,直到他/她注销收集或从头启动体系。固然这种环境并非恶意,而且这种环境最终会自行更正,但它会建设一个无形的裂痕窗口,进攻者可以在正确的时刻和正确的处所操作这种裂痕窗口。金融、人力资源和其他规模的体系也许出格轻易受到这种进攻影响,由于这些规模的用户对安详性的认知广泛较低,而且常常会成为收集垂纶和恶意软件勾当的进攻方针。 2. 不良的处所打点做法 IT操纵和安详性之间恒久存在的“孤岛”题目,或缺乏和谐的近况也许会在伤害的体系陈设实践中示意出来。从安详性角度来看,企业凡是不该应承建设当地打点员,由于它们可以在勾当目次域的节制之外运行,使体系更轻易受到恶意软件的进攻,并为一系列安详违规举动敞开大门。可是,出于进步服从的目标,尺度端点凡是由包括默认当地打点员用户的体系映像(黄金映像)和沟通的默认暗码构建。固然这也许会利便IT打点员的操纵,但进攻者此刻也有机遇行使单个暗码会见多台计较机。雇员或进攻有了当地打点员权限,者也可以更等闲地建设未授权的当地用户,凡是只能通过查询每台呆板来发明这些用户。 3. “影子”打点员 就好的方面来说,分层防止系统布局包括某种情势的特权用户监控(PUM)或特权会见打点(PAM),以便通过恰当水平的风险缓解来处理赏罚这些凭据。可是,假如没有恰当的留意,这也许会导致一种卖弄的安详感。通过操纵勾当目次会见节制列表(ACL),收集进攻者可以晋升用户权限,从而建设“影子打点员”——具备域打点员级别会见权限,但不属于域打点员组别。 虽然,恶意IT职员或其他内部职员可以存心建设“影子”打点员,也也许会是不测建设出来的。鉴于处事器权限布局和组织要求的庞洪水平,这种错误很轻易呈现,并最终授予超出用户成果要求的权限。 通过可见性举办节制 跟着Bloodhound(一款强盛的内网域渗出提取说明器材)和其他有助于自动横向移动的进攻器材的呈现,防备滥用特权凭据的须要性变得越发急切。逼迫执行特权会见计策不只仅是正确设置勾当目次的题目;凭据违规也许很是难以打点,其首要有以下两个要害缘故起因:
纵然在相对较小的企业中,试图不绝辨认和更正根据违规举动也会耗损掉整个安详团队的办理这种助长能量。从现实角度来看,自动化是必须的。这也正是Illusive公司的“进攻面打点办理方案”(Attack Surface Manager)所面对的挑衅之一。可以或许辨认该办理方案标识域打点根据的位置,不绝发明根据违规举动,并提供自动化流程以辅佐更正这些举动,以便您可以发明并快速恶意横向移动的环境。 进攻者无意会打破你的防止机关的征象是不行停止的,可是通过不绝镌汰你的内部进攻面,你将可以或许低落特权用户凭据落入进攻者手中的风险,而且极大的阻碍他们实现恶意方针的手段。 请注明原文地点:https://blog.illusivenetworks.com/3-hidden-ways-privileged-user-credentials-may-be-available-to-cyberattackers 【编辑保举】
点赞 0 (编辑:河北网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
