防止攻擊者在您的網(wǎng)絡(luò)中執(zhí)行橫向移動(dòng)的能力不僅是威脅檢測功能，還是一種網(wǎng)絡(luò)衛(wèi)生功能。接下來，我們將回顧一些在企業(yè)網(wǎng)絡(luò)中獲得特權(quán)用戶憑證的最不可見且最常見的方式。

眾所周知，域名管理員或其他高性能憑據(jù)對網(wǎng)絡(luò)攻擊者而言屬于高價(jià)值目標(biāo)。通過這些“通往財(cái)富王國的鑰匙”，他們可以輕松地、悄無聲息地從一個(gè)系統(tǒng)移動(dòng)至另一個(gè)系統(tǒng)，更改域名屬性，添加權(quán)限，更改密碼甚至是連接到域中的任何計(jì)算機(jī)設(shè)備。大多數(shù)企業(yè)都投入了大量資源來仔細(xì)管理活動(dòng)目錄（Active Directory），并使用各種技術(shù)和實(shí)踐來控制訪問權(quán)限。但我們的實(shí)際經(jīng)驗(yàn)表明，即便是在投入最多、組織最有序的企業(yè)中，攻擊者也能輕而易舉地從中獲取到特權(quán)用戶憑證。

1.“孤立的”證書

在日常的IT支持活動(dòng)中，可能會在不經(jīng)意間遺留下強(qiáng)大的憑證信息。假設(shè)財(cái)務(wù)部門的員工打電話給內(nèi)部服務(wù)臺，詢問連接或應(yīng)用程序問題。該服務(wù)臺人員使用域管理員憑據(jù)遠(yuǎn)程訪問系統(tǒng)，進(jìn)行故障排除并解決問題，但其可能會在沒有正確注銷的情況下結(jié)束會話。如此一來，這些域管理員憑據(jù)就可能會保留在最終用戶的系統(tǒng)上，直到他/她注銷網(wǎng)絡(luò)或重新啟動(dòng)系統(tǒng)。雖然這種情況并非惡意，并且這種情況最終會自行糾正，但它會創(chuàng)建一個(gè)無形的漏洞窗口，攻擊者可以在正確的時(shí)間和正確的地方利用這種漏洞窗口。金融、人力資源和其他領(lǐng)域的系統(tǒng)可能特別容易受到這種攻擊影響，因?yàn)檫@些領(lǐng)域的用戶對安全性的認(rèn)知普遍較低，并且經(jīng)常會成為網(wǎng)絡(luò)釣魚和惡意軟件活動(dòng)的攻擊目標(biāo)。

2. 不良的地方管理做法

IT操作和安全性之間長期存在的“孤島”問題，或缺乏協(xié)調(diào)的現(xiàn)狀可能會在危險(xiǎn)的系統(tǒng)部署實(shí)踐中表現(xiàn)出來。從安全性角度來看，企業(yè)通常不應(yīng)允許創(chuàng)建本地管理員，因?yàn)樗鼈兛梢栽诨顒?dòng)目錄域的控制之外運(yùn)行，使系統(tǒng)更容易受到惡意軟件的攻擊，并為一系列安全違規(guī)行為敞開大門。但是，出于提高效率的目的，標(biāo)準(zhǔn)端點(diǎn)通常由包含默認(rèn)本地管理員用戶的系統(tǒng)映像（黃金映像）和相同的默認(rèn)密碼構(gòu)建。雖然這可能會方便IT管理員的操作，但攻擊者現(xiàn)在也有機(jī)會使用單個(gè)密碼訪問多臺計(jì)算機(jī)。雇員或攻擊有了本地管理員權(quán)限，者也可以更輕易地創(chuàng)建未授權(quán)的本地用戶，通常只能通過查詢每臺機(jī)器來發(fā)現(xiàn)這些用戶。

3. “影子”管理員

就好的方面來說，分層防御體系結(jié)構(gòu)包含某種形式的特權(quán)用戶監(jiān)控（PUM）或特權(quán)訪問管理（PAM），以便通過適當(dāng)程度的風(fēng)險(xiǎn)緩解來處理這些憑證。但是，如果沒有適當(dāng)?shù)淖⒁猓�這可能會導(dǎo)致一種虛假的安全感。通過操作活動(dòng)目錄訪問控制列表（ACL），網(wǎng)絡(luò)攻擊者可以提升用戶權(quán)限，從而創(chuàng)建“影子管理員”——具備域管理員級別訪問權(quán)限，但不屬于域管理員組別。

當(dāng)然，惡意IT人員或其他內(nèi)部人員可以故意創(chuàng)建“影子”管理員，也可能會是意外創(chuàng)建出來的。鑒于服務(wù)器權(quán)限結(jié)構(gòu)和組織要求的復(fù)雜程度，這種錯(cuò)誤很容易出現(xiàn)，并最終授予超出用戶功能要求的權(quán)限。

通過可見性進(jìn)行控制

隨著Bloodhound（一款強(qiáng)大的內(nèi)網(wǎng)域滲透提取分析工具）和其他有助于自動(dòng)橫向移動(dòng)的攻擊工具的出現(xiàn)，防止濫用特權(quán)憑證的必要性變得更加迫切。強(qiáng)制執(zhí)行特權(quán)訪問策略不僅僅是正確配置活動(dòng)目錄的問題；憑證違規(guī)可能非常難以管理，其主要有以下兩個(gè)關(guān)鍵原因：

• 這是典型的“大海撈針”問題。安全數(shù)據(jù)體量龐大，一些嚴(yán)重的問題很容易被忽略掉；

• 憑證格局——我們稱之為“訪問足跡”——即使是在運(yùn)營最好的企業(yè)中也在不斷變化。在用戶功能發(fā)生變化時(shí)，很難對身份和訪問管理變更進(jìn)行檢測，因此與訪問相關(guān)的安全漏洞變得很常見，但即便是通過正常的業(yè)務(wù)運(yùn)營，憑證也會存儲并隱藏在各種不同的地方；

即使在相對較小的企業(yè)中，試圖不斷識別和糾正憑據(jù)違規(guī)行為也會消耗掉整個(gè)安全團(tuán)隊(duì)的解決這種助長能量。從實(shí)際角度來看，自動(dòng)化是必需的。這也正是Illusive公司的“攻擊面管理解決方案”（Attack Surface Manager）所面臨的挑戰(zhàn)之一。能夠識別該解決方案標(biāo)識域管理憑據(jù)的位置，不斷發(fā)現(xiàn)憑據(jù)違規(guī)行為，并提供自動(dòng)化流程以幫助糾正這些行為，以便您可以發(fā)現(xiàn)并快速惡意橫向移動(dòng)的情況。

攻擊者偶爾會突破你的防御布局的現(xiàn)象是不可避免的，但是通過不斷減少你的內(nèi)部攻擊面，你將能夠降低特權(quán)用戶憑證落入攻擊者手中的風(fēng)險(xiǎn)，并且極大的阻礙他們實(shí)現(xiàn)惡意目標(biāo)的能力。

標(biāo)簽： 計(jì)算機(jī) 應(yīng)用程序 安全性 分析工具 網(wǎng)絡(luò)攻擊 

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。