W setkach wdrożeń realizowanych przez firmy Lares i Damovo wciąż powracają te same podstawowe problemy, niezależnie od tego, czy środowiska działają głównie lokalnie, w chmurze, czy w modelu hybrydowym:
- Słabe hasła i nieskuteczne zasady dotyczące haseł
- Nieprawidłowe postępowanie z danymi wrażliwymi oraz niewłaściwe zarządzanie danymi
- Niewystarczająca segregacja sieci
Często zdarzają się również błędy w konfiguracji i niezałatane luki w zabezpieczeniach, jednak to właśnie te trzy obszary stanowią podstawę najbardziej szkodliwych ścieżek ataku.
Słabe hasła: punkt wyjścia dla wielu ataków
Słabe hasła nadal stanowią jeden z najpewniejszych sposobów uzyskania dostępu do zasobów przedsiębiorstwa – od domen Windows po aplikacje w chmurze i wszystko pomiędzy. Najczęściej wykrywane są dane uwierzytelniające przejęte w wyniku zewnętrznych ataków typu „password spraying” lub złamane skróty haseł pochodzące z ataków na domeny.
Powtarzające się używanie haseł to problem ściśle z tym powiązany. Włamanie do jednego zestawu danych logowania może otworzyć wiele możliwości, jeśli to samo hasło jest używane w sieciach VPN, poczcie elektronicznej, usługach SaaS i systemach wewnętrznych. Wielu użytkowników nieposiadających wiedzy technicznej nie do końca rozumie, dlaczego silne, unikalne hasła mają znaczenie ani jak szybko jedno hasło może stać się narzędziem ataku po jego ujawnieniu.
Typowy przebieg działania atakującego:
- Wykorzystaj dane OSINT oraz informacje o naruszeniach bezpieczeństwa, aby znaleźć hasła, które zostały już ujawnione w zrzutach baz danych i podczas wcześniejszych incydentów.
- Określ typowe schematy stosowane przez daną organizację: nazwa_firmy123, słowa związane z porami roku w połączeniu z latami lub przewidywalne słowa ze słownika, po których następują cyfry.
- Należy przeprowadzać ataki typu credential stuffing i password spraying na portale i serwisy wykorzystywane przez organizację, aż do uzyskania dostępu.
Walka ze słabymi hasłami jest łatwiejsza w teorii niż w praktyce. Użytkownicy zazwyczaj wybierają hasła, które są w stanie zapamiętać, nawet jeśli łatwo je odgadnąć. Ogólnie rzecz biorąc, skuteczne środki obejmują:
- Wprowadzenie list haseł zablokowanych oraz list słów zabronionych, tak aby powszechnie używane i łatwe do odgadnięcia hasła były odrzucane.
- Regularne sprawdzanie sposobu korzystania z haseł oraz obowiązujących zasad w celu wykrycia nieprawidłowości.
- Skupiamy się na edukacji użytkowników i pozytywnym wzmacnianiu, a nie wyłącznie na środkach karnych, aby ludzie zrozumieli, jakie konsekwencje ma nieodpowiednie zarządzanie hasłami.
- Wykorzystanie środków technicznych, takich jak Microsoft Entra Password Protection i podobne usługi, w celu ograniczenia powtarzającego się używania haseł w środowiskach hybrydowych.
Zarządzanie danymi: dla cyberprzestępców dane są na wagę złota
Oprócz słabych haseł jednym z głównych czynników ułatwiających atakującym działanie jest nieodpowiednie zarządzanie danymi. Nadmierne upublicznianie informacji na LinkedIn, GitHubie i innych platformach może ujawnić szczegóły dotyczące wewnętrznych systemów, konfiguracji i danych uwierzytelniających. Wewnątrz sieci niedbałe praktyki związane z dokumentami i przechowywaniem plików często dostarczają atakującym wszystkiego, czego potrzebują do eskalacji uprawnień.
Słabe zarządzanie danymi wynika zazwyczaj z przyzwyczajeń i dążenia do wygody: administratorzy i użytkownicy rozrzucają poufne informacje po platformie SharePoint, udziałach plików, skryptach i arkuszach kalkulacyjnych, ponieważ w danej chwili jest to najłatwiejsze. Z czasem tworzy to środowisko, w którym niemal każdy może znaleźć coś przydatnego, jeśli tylko wie, czego szukać.
SharePoint
SharePoint często stanowi bogate źródło danych uwierzytelniających i poufnych ustawień konfiguracyjnych. Gdy atakujący zdobędą punkt oparcia i uzyskają dostęp do prawidłowych danych uwierzytelniających, mogą wyszukiwać takie terminy jak „password”, „passwd”, „pwd”, „credential” oraz podobne warianty. Dokumentacja i pliki konfiguracyjne często zawierają na stałe zakodowane hasła lub ciągi połączeń, które umożliwiają dostęp do kolejnych systemów.
Środowiska hybrydowe zwiększają to ryzyko. W miarę jak coraz więcej dokumentów, danych uwierzytelniających i szczegółów konfiguracyjnych trafia na platformy współpracy w chmurze, źle zarządzane witryny SharePoint i podobne usługi stają się prostą drogą do uzyskania podwyższonych uprawnień.
Udostępnianie plików
Współdzielone zasoby plików w systemie Windows często zawierają dane gromadzone przez lata. Główne zagrożenia wynikają z:
- Zbyt liberalne mechanizmy kontroli dostępu do udziałów
- Brak zasad dotyczących przechowywania i usuwania danych
- Skrypty, pliki konfiguracyjne i arkusze kalkulacyjne zawierające aktualne dane uwierzytelniające
Narzędzia takie jak Snaffler zostały stworzone specjalnie po to, by wykorzystać tę sytuację. Przeszukują one komputery i udziały w usłudze Active Directory, indeksują pliki oraz wykorzystują wzorce i wyrażenia regularne do identyfikacji „cennych” danych, takich jak dane uwierzytelniające, klucze i poufne informacje konfiguracyjne. Arkusze kalkulacyjne są szczególnie częstym źródłem danych uwierzytelniających, ponieważ użytkownicy traktują je jako nieformalne menedżery haseł.
Jak przyjąć lepsze podejście
Poprawa zarządzania danymi to po części kwestia polityki, po części kwestia środków technicznych, a po części zmiana kulturowa:
- Należy wprowadzić jasne zasady zabraniające, w miarę możliwości, zapisywania haseł w dokumentach i arkuszach kalkulacyjnych.
- Ogranicz udostępnianie plików wrażliwych do określonych katalogów z dostępem opartym na zasadzie minimalnych uprawnień oraz regularnie sprawdzaj, kto ma dostęp do jakich zasobów, zwłaszcza w przypadku szczególnie cennych zasobów administracyjnych.
- Należy monitorować udostępnione zasoby o dużej wartości pod kątem nietypowych wzorców dostępu, takich jak sytuacja, w której zwykły użytkownik nagle odczytuje tysiące plików (na przykład przy użyciu list kontroli dostępu systemu Windows (SACL) oraz identyfikatora zdarzenia 5145 w celu szczegółowej kontroli dostępu do udostępnionych plików).
- Przeprojektuj skrypty konserwacyjne i automatyzacyjne tak, aby nie zawierały na stałe wpisanych danych uwierzytelniających, a zamiast tego korzystały z bezpiecznych magazynów haseł, interfejsów API lub tożsamości zarządzanych, o ile jest to obsługiwane.
- Jeśli konieczne jest przechowywanie danych uwierzytelniających, należy zadbać o to, by były one przeznaczone wyłącznie do konkretnego celu, odpowiednio zabezpieczone i monitorowane.
Atakujący mają szeroki dostęp do zautomatyzowanych narzędzi, dlatego osoby odpowiedzialne za ochronę powinny swobodnie korzystać z tych samych narzędzi, aby wyeliminować luki w wykrywaniu i usuwaniu zagrożeń. Roboty indeksujące, takie jak Snaffler, lub podobne rozwiązania można dostosować do wyszukiwania określonych typów plików lub wzorców, co pomaga zespołom ds. bezpieczeństwa wykrywać i usuwać problemy, zanim zrobią to atakujący.
Brak segregacji sieciowej: ułatwienie przemieszczania się w sieci
Kolejnym powracającym problemem jest niewystarczająca segregacja sieci, zwłaszcza w mniej dojrzałych środowiskach. Słabo podzielone sieci zwiększają powierzchnię ataku i znacznie ułatwiają przemieszczanie się w sieci.
W prawidłowo wydzielonej sieci:
- Liczba udostępnionych usług została ograniczona do minimum.
- Systemy są podzielone na segmenty w zależności od ich przeznaczenia i stopnia wrażliwości.
- Kompromis w jednym obszarze nie oznacza automatycznie zagrożenia dla pozostałych elementów.
W sieciach płaskich lub słabo rozgałęzionych osoby atakujące mogą:
- Przeprowadzać ataki typu ARP poisoning oraz inne ataki typu „man-in-the-middle”.
- Przechwytuj usługi sieciowe (SQL, HTTP, RDP, VoIP, SMB itp.) oraz ruch kierowany do lokalizacji zewnętrznych.
- Wykradaj dane uwierzytelniające oraz wykorzystuj luki w zabezpieczeniach lub słabe protokoły uwierzytelniania.
- Przeprowadzać masowe ataki po stronie klienta i szybko rozprzestrzeniać złośliwe oprogramowanie, takie jak oprogramowanie typu ransomware.
Nawet przy wdrożonych rozwiązaniach do wykrywania i reagowania w punktach końcowych (EDR) nieprawidłowe konfiguracje, luki w zaporach sieciowych oraz brak segmentacji często narażają wrażliwe systemy na niepotrzebne zagrożenia. Gdy atakujący zdobędą już przyczółek, powstrzymanie naruszenia staje się trudne, a oni sami zyskują czas na stworzenie wielu dróg dostępu i mechanizmów zapewniających trwałość.
Łączenie słabych punktów w rzeczywiste ścieżki ataku
Gdy słabe hasła, nieodpowiednie zarządzanie danymi i brak segregacji sieci łączą się, atakujący zyskują wiele nakładających się na siebie sposobów na osiągnięcie celu. Włamane dane uwierzytelniające umożliwiają uzyskanie wstępnego dostępu, a dane uwierzytelniające i szczegóły konfiguracyjne przechowywane w udziałach plików lub na dyskach SharePoint pozwalają na eskalację uprawnień; ponadto sieci o płaskiej strukturze sprawiają, że przemieszczanie się w sieci staje się dziecinnie proste. Jest to jeden z powodów, dla których oprogramowanie ransomware i podobne ataki pozostają tak skuteczne w niedojrzałych środowiskach.
Wzorce te mają zastosowanie zarówno w środowiskach lokalnych, jak i chmurowych. Platforma Azure i inne platformy chmurowe ograniczają niektóre zagrożenia dzięki egzekwowaniu najlepszych praktyk, jednak błędy konfiguracyjne, słabe punkty w zabezpieczeniach tożsamości oraz zbyt swobodne udostępnianie danych mogą nadal stwarzać możliwości wykorzystania przez atakujących. Firma Lares udostępnia publiczne zestawy narzędzi do przeprowadzania ataków oraz wyniki badań, aby pomóc zarówno testerom, jak i osobom odpowiedzialnym za ochronę w zrozumieniu tych wzorców w środowiskach hybrydowych.
Spójrz na swoje otoczenie z perspektywy oddolnej
Praktycznym sposobem na ograniczenie tych ścieżek ataku jest spojrzenie na stan bezpieczeństwa organizacji z perspektywy oddolnej:
- Należy przeprowadzić szkolenia dla pracowników z zakresu świadomości bezpieczeństwa, skupiające się w szczególności na zarządzaniu hasłami, postępowaniu z danymi oraz rozpoznawaniu zachowań stwarzających zagrożenie.
- Należy przeanalizować projekt sieci i opracować plan sensownej segmentacji, zwłaszcza w odniesieniu do kluczowych systemów i interfejsów administracyjnych.
- Należy przeanalizować środowiska chmury Windows i chmury hybrydowej pod kątem niedociągnięć w zarządzaniu danymi oraz wesprzeć zasady odpowiednimi środkami technicznymi, które można egzekwować.
- W miarę możliwości należy stawiać na pierwszym miejscu działania zapobiegawcze, a w sytuacjach, gdy zapobieganie nie jest realne, należy zadbać o to, by procedury wykrywania i reagowania były odpowiednio dostosowane i regularnie testowane.
W jaki sposób Damovo i Lares mogą pomóc
Damovo pomaga organizacjom w projektowaniu, wdrażaniu i obsłudze bezpiecznych sieci, platform do współpracy oraz środowisk chmurowych, kładąc szczególny nacisk na przejrzystość i kontrolę. Lares, działający jako jednostka ds. bezpieczeństwa ofensywnego w ramach Damovo, testuje te środowiska tak, jak zrobiliby to prawdziwi atakujący, ujawniając słabe hasła, nieodpowiednie zarządzanie danymi oraz luki w segmentacji poprzez testy penetracyjne, red teaming oraz oceny zagrożeń wewnętrznych.
Damovo i Lares wspólnie mogą Ci pomóc:
- Zidentyfikuj rzeczywiste sposoby, jakimi atakujący mogliby wykorzystać w celu naruszenia bezpieczeństwa Twojego środowiska.
- Należy nadać priorytet działaniom naprawczym w obszarach zarządzania tożsamością, zarządzania danymi oraz projektowania sieci.
- Należy weryfikować wprowadzone ulepszenia poprzez testy oparte na scenariuszu ataku, zgodne z raportami dotyczącymi zagrożeń oraz ramami takimi jak ENISA Threat Landscape i NIST CSF.
Jeśli chcesz dowiedzieć się, które słabe punkty w Twoim środowisku niosą największe ryzyko całkowitego przejęcia kontroli, oraz jak w praktyczny sposób je wyeliminować, firma Damovo pomoże Ci przeprowadzić ocenę dostosowaną do Twoich potrzeb.