Gå till huvudinnehållet
Andrew Heller, marknadschef

I hundratals projekt som Lares och Damovo har genomfört återkommer samma grundläggande problem gång på gång, oavsett om miljöerna huvudsakligen är lokala, molnbaserade eller hybridlösningar:

  • Svaga lösenord och ineffektiva lösenordsregler
  • Bristfällig hantering av känslig information och bristfällig datastyrning
  • Otillräcklig nätverkssegregering

Felaktiga inställningar och osäkrade sårbarheter är också vanliga, men det är dessa tre områden som genomgående ligger till grund för de mest skadliga attackvägarna.

Svaga lösenord: utgångspunkten för många attacker

Svaga lösenord är fortfarande ett av de säkraste sätten att få tillgång till företagets resurser, från Windows-domäner till molntjänster och allt däremellan. Komprometterade inloggningsuppgifter från extern lösenordsspreying eller knäckta hashvärden från domänattacker är fortfarande de vanligaste fynden.

Att återanvända lösenord är ett nära besläktat problem. Om en uppsättning inloggningsuppgifter läcker ut kan det öppna flera dörrar om samma lösenord används för VPN, e-post, SaaS och interna system. Många användare utan teknisk bakgrund förstår inte helt varför starka, unika lösenord är viktiga, eller hur snabbt ett lösenord kan utnyttjas i skadligt syfte så snart det har läckt ut.

Ett typiskt arbetsflöde för en angripare:

  • Använd OSINT och uppgifter om dataintrång för att hitta lösenord som redan har läckt ut i databasdumpningar och tidigare incidenter.
  • Identifiera en organisations troliga mönster: företagsnamn123, säsongsbetonade ord i kombination med årtal, eller förutsägbara ord ur ordlistan följda av siffror.
  • Genomför credential stuffing och password spraying mot portaler och tjänster som organisationen använder tills åtkomst har uppnåtts.

Att bekämpa svaga lösenord är lättare sagt än gjort. Användare tenderar att välja lösenord som de kan komma ihåg, även om de är lätta att gissa. På övergripande nivå omfattar effektiva åtgärder följande:

  • Införa blockeringslistor för lösenord och listor över förbjudna ord så att vanliga och förutsägbara lösenord avvisas.
  • Regelbundet granska användningen av lösenord och lösenordsriktlinjer för att upptäcka bristfällig praxis.
  • Att fokusera på användarutbildning och positiv förstärkning snarare än enbart straffåtgärder, så att människor förstår konsekvenserna av dåliga lösenordsvanor.
  • Använda tekniska åtgärder som Microsoft Entra Password Protection och liknande tjänster för att minska användningen av vanliga lösenord i hybridmiljöer.

Datastyrning: Angripare ser data som guld

Förutom svaga lösenord är bristfällig datastyrning en av de främsta faktorerna som underlättar för angripare. Att dela för mycket information offentligt på LinkedIn, GitHub och andra kanaler kan avslöja interna system, konfigurationer och inloggningsuppgifter. Inom nätverket ger ofta slarviga rutiner kring dokumenthantering och fillagring angripare allt de behöver för att eskalera sina angrepp.

Bristfällig datastyrning beror oftast på invanda vanor och bekvämlighet: administratörer och användare sprider känslig information över SharePoint, filresurser, skript och kalkylark eftersom det är enkelt just då. Med tiden skapar detta en situation där nästan vem som helst kan hitta något användbart om de vet vad de ska söka efter.

SharePoint

SharePoint blir ofta en rik källa till inloggningsuppgifter och känslig konfigurationsinformation. När angripare väl har fått fotfäste och tillgång till giltiga inloggningsuppgifter kan de söka efter termer som ”password”, ”passwd”, ”pwd”, ”credential” och liknande varianter. Dokumentations- och konfigurationsfiler innehåller ofta inbyggda lösenord eller anslutningssträngar som ger tillgång till ytterligare system.

Hybridmiljöer ökar denna risk. I takt med att fler dokument, inloggningsuppgifter och konfigurationsuppgifter flyttas över till samarbetsplattformar i molnet blir dåligt administrerade SharePoint-webbplatser och liknande tjänster en enkel väg till utökade behörigheter.

Fildelning

Fildelningar i Windows innehåller ofta data som samlats in under flera år. De största riskerna kommer från:

  • Alltför generösa åtkomstkontroller för delade resurser
  • Avsaknad av riktlinjer för lagring och rensning
  • Skript, konfigurationsfiler och kalkylark som innehåller aktiva inloggningsuppgifter

Verktyg som Snaffler har utvecklats just för att utnyttja detta. De kartlägger datorer och resurser i Active Directory, indexerar filer och använder mönster och reguljära uttryck för att identifiera ”intressanta” data, såsom inloggningsuppgifter, nycklar och konfigurationshemligheter. Kalkylblad är särskilt vanliga källor till inloggningsuppgifter, eftersom användarna använder dem som informella lösenordshanterare.

Hur man tillämpar en bättre strategi

Att förbättra datastyrningen handlar dels om policy, dels om tekniska åtgärder och dels om en kulturförändring:

  • Inför tydliga riktlinjer som förbjuder lagring av lösenord i dokument och kalkylark i den mån det är möjligt.
  • Begränsa åtkomsten till känsliga filresurser till specifika kataloger med minsta möjliga behörighet, och granska regelbundet vem som har åtkomst till vad, särskilt när det gäller viktiga administrativa resurser.
  • Övervaka värdefulla resurser för att upptäcka onormala åtkomstmönster, till exempel om en vanlig användare plötsligt läser tusentals filer (till exempel med hjälp av Windows SACL och händelse-ID 5145 för detaljerad granskning av filresurser).
  • Omstrukturera underhålls- och automatiseringsskript så att de undviker att inloggningsuppgifter skrivs in direkt i koden, och använd istället säkra lösenordsförvar, API:er eller hanterade identiteter där detta stöds.
  • När inloggningsuppgifter måste lagras ska du se till att de är unika för ett specifikt ändamål, säkerhetsanpassade och övervakade.

Automatiserade verktyg är allmänt tillgängliga för angripare, så de som skyddar systemen bör känna sig trygga med att använda samma verktyg för att täppa till luckor i detektering och åtgärdande. Webbsökare som Snaffler eller liknande lösningar kan anpassas för att söka efter specifika filtyper eller mönster, vilket hjälper säkerhetsteamen att upptäcka och åtgärda problem innan angriparna hinner göra det.

Bristande nätverkssegregering: underlättar lateral rörelse

Otillräcklig nätverkssegmentering är en annan återkommande svaghet, särskilt i mindre mogna miljöer. Dåligt segmenterade nätverk ökar attackytan och underlättar kraftigt sidorörelser.

I ett korrekt uppdelat nätverk:

  • De tjänster som är tillgängliga för allmänheten har begränsats till ett minimum.
  • Systemen delas in i segment utifrån deras syfte och känslighet.
  • En säkerhetsrisk i en zon innebär inte automatiskt att resten utsätts för risk.

I platta eller svagt segmenterade nätverk kan angripare:

  • Genomföra ARP-förgiftning och andra man-in-the-middle-attacker.
  • Avlyssna nätverkstjänster (SQL, HTTP, RDP, VoIP, SMB m.fl.) och trafik till externa destinationer.
  • Stjäla inloggningsuppgifter och utnyttja brister i eller utnyttja svaga autentiseringsprotokoll.
  • Genomföra omfattande attacker på klientsidan och snabbt sprida skadlig programvara, till exempel utpressningsprogram.

Även om man har implementerat EDR-produkter (Endpoint Detection and Response) leder felaktiga inställningar, luckor i brandväggen och bristande segmentering ofta till att känsliga system utsätts för onödiga risker. När angriparna väl har fått fotfäste blir det svårt att begränsa intrånget, och de hinner skapa flera olika åtkomstvägar och mekanismer för att upprätthålla sin närvaro.

Att kombinera sårbarheter till konkreta angreppsvägar

När svaga lösenord, bristfällig datastyrning och avsaknad av nätverkssegregering samverkar får angripare flera olika, överlappande möjligheter att lyckas. Komprometterade inloggningsuppgifter ger initial åtkomst, medan inloggningsuppgifter och konfigurationsinformation som lagras i filresurser eller på SharePoint-enheter möjliggör eskalering, och platta nätverk gör det enkelt att röra sig i sidled. Det är en av anledningarna till att ransomware och liknande attacker fortfarande är så effektiva i omogna miljöer.

Dessa mönster gäller både i lokala miljöer och i molnmiljöer. Azure och andra molnplattformar minskar vissa säkerhetsrisker genom att tillämpa vedertagna bästa praxis, men konfigurationsfel, brister i identitetshanteringen och alltför generös delning kan fortfarande skapa sårbarheter som kan utnyttjas. Lares tillhandahåller offentliga attackverktyg och forskning för att hjälpa både testare och säkerhetsansvariga att förstå dessa mönster i hybridmiljöer.

Att betrakta sin omgivning utifrån ett bottom-up-perspektiv

Ett praktiskt sätt att minska dessa angreppsvägar är att granska organisationens säkerhetsläge utifrån ett bottom-up-perspektiv:

  • Anordna säkerhetsutbildning för personalen med särskilt fokus på lösenordshantering, datahantering och hur man känner igen riskfyllda beteenden.
  • Granska nätverksutformningen och planera för en ändamålsenlig segmentering, särskilt kring kritiska system och administrativa gränssnitt.
  • Granska Windows- och hybridmolnmiljöer med avseende på brister i datastyrningen och komplettera riktlinjerna med tekniska kontroller som kan genomdrivas.
  • Prioritera förebyggande åtgärder i möjligaste mån, och se till att upptäckt och hantering finjusteras och testas regelbundet i de fall där förebyggande åtgärder inte är realistiska.

Hur Damovo och Lares kan hjälpa till

Damovo hjälper organisationer att utforma, integrera och driva säkra nätverk, samarbetsplattformar och molnmiljöer, med starkt fokus på insyn och kontroll. Lares, som fungerar som Damovos avdelning för offensiv säkerhet, testar dessa miljöer på samma sätt som riktiga angripare skulle göra och avslöjar svaga lösenord, bristfällig datastyrning och brister i segmenteringen genom penetrationstester, red teaming och utvärderingar av interna hot.

Tillsammans kan Damovo och Lares hjälpa dig att:

  • Identifiera de faktiska vägar som angripare kan använda för att kompromettera din miljö.
  • Prioritera åtgärder inom identitetshantering, datastyrning och nätverksdesign.
  • Verifiera förbättringarna genom adversarial testing i enlighet med hotrapporter och ramverk som ENISA Threat Landscape och NIST CSF.

Om du vill ta reda på vilka sårbarheter i din miljö som löper störst risk att leda till fullständig intrång, och hur du på ett praktiskt sätt kan åtgärda dessa, kan Damovo guida dig genom en utvärderingsprocess som är skräddarsydd för just din situation.

prata med våra experter
Gå med i Damovos e-postlista med över 10 000 medlemmar för att få de senaste insikterna och exklusivt innehåll.
Prenumerera nu