Active Directory (AD), birçok kuruluştaki kimlik (veya erişim ve yetkilendirme) sistemi olarak kritik rolü nedeniyle tehdit aktörleri için son derece cazip bir hedeftir. Reklam, kullanıcı kimlik bilgileri, güvenlik parametreleri ve diğer kritik kimlik ve erişim bileşenleri gibi temel varlıkları barındırır.
Başarılı bir AD ihlali, hem yetkisiz erişime hem de tüm çevre üzerinde tam kontrole yol açabilir.
İş operasyonlarını potansiyel felaket kesintilerinden korumak için, aşağıda listelenenler gibi ortak reklam güvenlik açıklarına karşı uyanık kalmak önemlidir. SpecOps Parola Politikası gibi bir güvenlik çözümünün dağıtılması, saldırganlar tarafından sıklıkla ilk giriş noktası olarak kullanılmayan şifrelerin korunmasını geliştirir.
Kerberos kimlik doğrulama protokolü AD için merkezi bir güvenlik mekanizmasıdır. Kullanıcıların veya hizmetlerin bir uygulama veya belge gibi bir ağ kaynağına erişmesi gerektiğinde, Anahtar Dağıtım Merkezi'ne (KDC) kimlik doğrulaması yapar ve bilet verme bileti (TGT) alırlar. Bu TGT daha sonra belirli kaynaklar için hizmet bileti istemek için kullanılır.
Kerberoasting, bir hizmeti reklam hesabına bağlayan benzersiz bir tanımlayıcı olan ilişkili bir hizmet anapara adına (SPN) sahip olan AD'deki hizmet hesaplarını hedefleyen bir saldırı yöntemidir. Bu saldırıda, tipik olarak meşru erişimle tehlikeye atılmış düşük seviyeli bir hesap kullanan fail, SPN'li hesaplar için hizmet biletleri ister.
Bu biletler hizmet hesabının şifresiyle şifrelenir. Saldırgan daha sonra TGT değil, elde edilen servis biletinin şifrelemesini zorlayarak şifreyi çevrimdışı olarak kırmaya çalışır.
Kerberoasting saldırılarına karşı savunmada güçlü, karmaşık şifreler hayati önem taşır. Sağlam şifre politikalarının uygulanması ve olağandışı hizmet bileti taleplerinin izlenmesi riski önemli ölçüde azaltabilir. SpecOps şifre denetçisi gibi araçlar, ihlal edilen şifre listelerinde bulunanlar da dahil olmak üzere AD içindeki zayıf şifrelerin taranmasını ve algılanmasını sağladıkları için faydalıdır. Araç ayrıca, Kerberoasting saldırılarına karşı özellikle savunmasız olan bayat hesaplara görünürlük sağlar.
Hizmet hesapları için daha uzun ve daha karmaşık şifrelerin kullanılması, Kerberos için AES şifrelemesini sağlamak ve SPN'lerle hizmet hesaplarının sayısını en aza indirmek gibi ek önlemler bu tür saldırılara karşı güvenliği daha da artırabilir.
Diğer kaba kuvvet saldırıları gibi, şifre püskürtme de cilt oyununu oynar. Saldırganlar, manuel olarak veya otomasyon araçları aracılığıyla, bir kullanıcı adı-password eşleşmesi bulmayı umarak bir kuruluş boyunca çeşitli kullanıcı hesaplarında en yaygın şifreleri deneyin.
Bu saldırı işe yarıyor çünkü insanlar genellikle kolaylığa öncelik veriyor, hatırlanması kolay basit şifreleri benimser. Bu nedenle, daha uzun şifreleri uygulayabilen ve yüksek olasılık parolalarının kullanımını engelleyebilen üçüncü taraf bir şifre çözümü en iyi yaklaşımdır.
AD'deki varsayılan veya özdeş kimlik bilgileri çeşitli senaryolardan kaynaklanabilir. Ortak bir senaryo, kullanıcıların aynı varsayılan şifreye sahip olmalarına neden olan yeni kullanıcı hesaplarının komut dosyasıdır. Başka bir senaryo, kullanıcıların yönetici ve normal kullanıcı hesabı gibi birden fazla hesaba sahip olması ve birden fazla şifreyi hatırlama zorluğundan kaçınmak için aynı şifreyi kullanmayı tercih ettikleri zamandır.
Bu senaryolar, saldırganlar sistemlere ve hassas verilere yetkisiz erişim elde etmek için varsayılan kimlik bilgilerini kullanabildiğinden önemli güvenlik riskleri oluşturmaktadır.
Bu sorunu azaltmak için SpecOps Parola Denetçisi, AD'de aynı şifreye sahip kullanıcıları tanımlayarak kuruluşların varsayılan kimlik bilgilerinin neden olduğu güvenlik boşluklarını ele almasını sağlayabilir.
Ayrıcalık yükseltme, bir kuruluşun ağı üzerinde tam kontrol sahibi olmak için saldırganlar tarafından istihdam edilen bir taktiktir. Saldırganlar bir sistem güvenlik açığından yararlanacak, kullanıcı kimlik bilgilerini çalacak veya daha yüksek izinler almak için ayrıcalıklı hesapların şifrelerini tahmin edecektir.
Bu yıkıcı saldırıların önlenmesi, özellikle ayrıcalıklı kullanıcılar için şifre politikalarının güçlü bir şekilde uygulanmasını gerektirir.
Active Directory, BT kaynaklarını, kullanıcıları ve cihazları yönetmek için merkezi bir merkez görevi görür ve bu da onu siber saldırganlar için çekici bir hedef haline getirir. SpecOps Parola Politikası, güçlü şifre politikalarını uygulayarak AD'deki güvenlik kontrollerini geliştirir.
Anahtar özelliklerinden biri, bilinen 4 milyardan fazla uzatılmış parolayı kullanılmasını engelleyen ihlal edilen şifre korumasıdır. Bu, şifre saldırıları ve şifre yeniden kullanımı ile ilişkili riskleri azaltmaya yardımcı olur.
Reklamınızın güvenliğini daha da değerlendirmek için, reklamınızı 950 milyondan fazla uzlaştırılmış şifre, boş şifreler, özdeş şifreler ve parola ile ilgili diğer güvenlik açıkları için tarayan ücretsiz okuma raporu aracı olan SpecOps Parola Denetçisi indirebilirsiniz.
Sponspored ve SpecOps Software tarafından yazılmıştır.
Self servis şifre sıfırlama ile güvenlik nasıl artırılır
Son kullanıcılarınız şifreleri yeniden kullanıyor-bu büyük bir sorun
Siber saldırılarla savaşmak mı? Kullanıcı kimlik bilgilerinin tehlikeye girmediğinden emin olun
CISA, teknoloji üreticilerini varsayılan şifreleri kullanmayı bırakmaya çağırıyor
Sağlık Hizmetlerinde Fidye Yazılımının Yükselişi: BT liderlerinin bilmesi gerekenler
Kaynak: Bleeping Computer