การป้องกันความเสี่ยงจากผู้ดูแลระบบเงา
พฤษภาคม 24th, 2023 ยิฟทัคเคเชท
ผู้ดูแลเงาเป็นหนึ่งในพื้นที่โจมตีหลักที่ศัตรูมักฉวยโอกาส รูปแบบของการค้นหาผู้ใช้ที่ได้รับสิทธิพิเศษในการเข้าถึงระดับสูงโดยไม่ได้ตั้งใจเป็นเรื่องปกติทั่วไปในการดำเนินการทางไซเบอร์ในปัจจุบัน สิ่งนี้ทำให้ความสามารถในการตรวจจับและป้องกันการละเมิดบัญชีเหล่านี้มีความสำคัญสูงสุดสำหรับทั้งทีมข้อมูลประจำตัวและ SecOps ในบทความนี้เราจะอธิบายรายละเอียดวิธีการ Silverfortความสามารถ Identity Threat and Detection (ITDR) ของ Identity Threat and Detection (ITDR) ช่วยให้ค้นพบบัญชี Shadow Admin ที่มีอยู่ได้อย่างรวดเร็ว สามารถตรวจสอบบัญชีใหม่ที่ปรากฏ และรักษาความปลอดภัยในการเข้าถึงด้วย ไอ้เวรตะไล นโยบาย
สารบัญ
บทสรุปของผู้ดูแลระบบ Shadow: คืออะไรและมีความเสี่ยงอะไรบ้าง
ผู้ดูแลระบบเงาคือ บัญชีผู้ใช้ ที่มีสิทธิ์การเข้าถึงของผู้ดูแลระบบหรือมีวิธีในการบรรลุเป้าหมายโดยไม่ได้เป็นส่วนหนึ่งของกลุ่มผู้ดูแลระบบที่ได้รับการบันทึกไว้ ด้วยเหตุนี้ ทั้งทีมข้อมูลประจำตัวและทีมรักษาความปลอดภัยจึงไม่ตระหนักถึงการมีอยู่ของพวกเขา ดังนั้นจึงไม่ได้นำไปใช้กับพวกเขาในการตรวจสอบและการป้องกันมาตรฐานที่บัญชีผู้ดูแลระบบทุกคนต้องการ
ตัวอย่างที่พบบ่อยที่สุดคือบัญชีผู้ใช้ที่มีสิทธิ์ในการรีเซ็ตรหัสผ่านของผู้ดูแลระบบ หากผู้ไม่หวังดีเข้าควบคุมบัญชีประเภทนี้ พวกเขาจะสามารถใช้บัญชีนี้เพื่อรีเซ็ตรหัสผ่านของผู้ดูแลระบบและใช้สิทธิ์ระดับสูงในการเข้าถึงทรัพยากรตามต้องการในทางที่ผิด
สำหรับคำอธิบายโดยละเอียดเกี่ยวกับ shadow admins โปรดอ่าน บทความนี้.
Silverfort ภาพรวมการป้องกันผู้ดูแลระบบเงา
Silverfort ช่วยให้ทีม Identity และ SecOps ค้นพบผู้ดูแลเงาในสภาพแวดล้อมของตนได้อย่างง่ายดาย และลบหรือลบสิทธิ์ที่ซ้ำซ้อนออก นอกจากนี้ ทีมต่างๆ ยังสามารถติดตามการเกิดขึ้นของบัญชีผู้ดูแลเงาใหม่ได้อย่างต่อเนื่อง ตลอดจนดำเนินการตามขั้นตอนการป้องกันเชิงรุกกับความพยายามของบัญชีผู้ดูแลเงาใดๆ เพื่อเข้าถึงทรัพยากรเฉพาะ รวมถึงการบังคับใช้นโยบาย MFA แบบละเอียด ความพยายามรีเซ็ตรหัสผ่านสำหรับผู้ดูแลระบบเงา
การป้องกันเหล่านี้มีผลเท่าเทียมกันทั้งกับบัญชีที่ได้รับสิทธิ์การเข้าถึงที่สูงขึ้นโดยไม่ได้ตั้งใจ เช่นเดียวกับการจัดการบัญชีใดๆ ที่ผู้ไม่หวังดีอาจดำเนินการ ซึ่งรวมถึงการแก้ไขสิทธิ์และสิทธิ์ดั้งเดิมของบัญชี
มาดูกันว่าสิ่งนี้ทำได้อย่างไร Silverfortคอนโซลของ:
การค้นพบและการลบผู้ดูแลระบบเงา
จุดมุ่งหมาย: กำจัดผู้ดูแลเงาปัจจุบันทั้งหมด
In Silverfort's การตรวจจับภัยคุกคาม ภายใต้ โจมตีพื้นผิว การจัดการ ส่วนค้นหา ผู้ดูแลระบบเงา. ในตัวอย่างนี้มีสองสิ่งนี้
คลิกที่ ผู้ดูแลระบบเงา Space จะเปิดหน้าต่างที่แสดงรายละเอียดทั้งหมดเกี่ยวกับบัญชีเหล่านี้
ตอนนี้เรามีชื่อผู้ดูแลเงาเหล่านี้แล้ว เราสามารถระบุตำแหน่งได้ Active Directory และลบการอนุญาตเพิ่มเติมหรือลบทิ้งทั้งหมด
การตรวจสอบอย่างต่อเนื่องของผู้ดูแลระบบเงา
จุดมุ่งหมาย: ตรวจหาผู้ดูแลเงาใหม่ทันทีที่ปรากฏ
On Silverfort's บันทึกการรับรองความถูกต้อง หน้าจอ เพิ่ม ก ตัวบ่งชี้ความเสี่ยง กรองและตรวจสอบ ผู้ดูแลระบบเงา.
คลิก ใช้ จากนั้นปรับช่วงเวลาให้พอดีกับจังหวะการตรวจสอบของคุณ สิ่งนี้จะแสดงให้คุณเห็นผู้ดูแลเงาทั้งหมดที่เพิ่มเข้ามาในสภาพแวดล้อมภายในกรอบเวลานี้
หลังจากการค้นพบ คุณสามารถคลิกไอคอนการตรวจสอบของแต่ละบัญชีเพื่อดูว่าทรัพยากรใดที่พยายามเข้าถึงตั้งแต่สร้าง
ถัดไป คุณสามารถดำเนินการลบบัญชีหรือดาวน์เกรดสิทธิ์ของบัญชีได้ เช่นเดียวกับที่อธิบายไว้ในหัวข้อ การค้นพบและการลบผู้ดูแลระบบเงา.
การป้องกันความเสี่ยง #1: MFA ในการเข้าถึงผู้ดูแลระบบเงาทั้งหมด
จุดมุ่งหมาย: ป้องกันไม่ให้ผู้ดูแลระบบเงาเชื่อมต่อกับทรัพยากรโดยไม่มีการยืนยันผู้ใช้อย่างชัดเจน
On Silverfort's นโยบาย หน้าจอ สร้างนโยบายใหม่ ตรวจสอบ Active Directory เป็น ประเภทการรับรองความถูกต้อง
แล้วตรวจสอบอย่างใดอย่างหนึ่ง เคอร์เบรอส/NTLM or LDAPขึ้นอยู่กับความต้องการของคุณ (หรือหากจำเป็นทั้งคู่ ให้สร้างสองนโยบาย) เลือก ตามความเสี่ยง สำหรับประเภทนโยบายและเรียกใช้โดย ตัวบ่งชี้ความเสี่ยง. ใน ตัวบ่งชี้ความเสี่ยง ทำเครื่องหมายในช่อง ผู้ดูแลระบบเงา
เมื่อเปิดใช้งาน นโยบายนี้จะบังคับใช้การตรวจสอบ MFA ของบัญชีใดๆ ที่ Silverfortเอ็นจิ้นความเสี่ยงของระบุว่าเป็นผู้ดูแลระบบเงา หากบัญชีนี้ถูกบุกรุก นโยบายนี้จะทำให้ฝ่ายตรงข้ามไม่สามารถใช้บัญชีนี้เพื่อการเข้าถึงที่เป็นอันตรายได้
Silverfort เป็นโซลูชันเดียวที่สามารถขยายการป้องกัน MFA ไปสู่การรับรองความถูกต้องประเภทนี้ได้
การป้องกันความเสี่ยง #2: MFA ในการพยายามรีเซ็ตรหัสผ่านของผู้ดูแลระบบเงา
จุดมุ่งหมาย: ป้องกันไม่ให้ฝ่ายตรงข้ามใช้ shadow admins เพื่อรีเซ็ตรหัสผ่านของบัญชีอื่น
ดังที่ได้กล่าวไว้ก่อนหน้านี้ การใช้ shadow admin เพื่อรีเซ็ตรหัสผ่านของบัญชี admin เพิ่มเติมที่มีสิทธิ์การเข้าถึงสูงกว่าเป็นกลวิธีทั่วไปของผู้คุกคาม
Silverfort ช่วยให้ผู้ใช้สามารถลดความเสี่ยงนี้ด้วยวิธีต่อไปนี้:
In Silverfort's นโยบาย หน้าจอ สร้างนโยบายใหม่ ตรวจสอบ Active Directory เป็น ประเภทการรับรองความถูกต้อง,
แล้วตรวจสอบ KRเบรอส/NTLM,เลือก ตามความเสี่ยง เป็นประเภทกรมธรรม์ แล้วตรวจสอบ ผู้ดูแลระบบเงา ตัวบ่งชี้ความเสี่ยง
ตัว Vortex Indicator ได้ถูกนำเสนอลงในนิตยสาร ปลายทาง แทนที่จะใส่ชื่อหรือกลุ่มของเครื่องเหมือนในนโยบายเดิม ให้เลือก krbtgt. การดำเนินการนี้จะใช้นโยบายกับความพยายามในการเข้าถึงบัญชี krbtgt ภายในตัวควบคุมโดเมนในสภาพแวดล้อม
หลังจากเลือก krbtgt เป็นปลายทางให้คลิกเพื่อแสดงรายการบริการ ตรวจสอบ kadmin/changepw และเว้นว่างไว้ (นี่คือบริการที่ดำเนินการรีเซ็ตรหัสผ่าน)
การเปิดใช้งานนโยบายจะทำให้ MFA เรียกใช้เมื่อใดก็ตามที่บัญชีใดๆ Silverfort ได้ทำเครื่องหมายเป็นผู้ดูแลเงาที่พยายามรีเซ็ตรหัสผ่านของบัญชีอื่น ซึ่งช่วยลดความเสี่ยงนี้ได้อย่างเต็มที่
Silverfort เป็นโซลูชันเดียวที่สามารถขยายการป้องกัน MFA ไปสู่การรับรองความถูกต้องประเภทนี้ได้
การค้นพบอัตโนมัติและการป้องกันตามเวลาจริงเป็นกุญแจสำคัญในการลดความเสี่ยงของผู้ดูแลระบบเงา
Silverfortการป้องกันการใช้งาน Shadow Admin อย่างในทางที่ผิดเป็นส่วนหนึ่งของวิสัยทัศน์ของบริษัท การป้องกันเอกลักษณ์ ควรได้รับการออกแบบและปฏิบัติ Silverfort เป็นโซลูชั่นแรกที่ให้บริการแบบ end-to-end สคท ความสามารถทั่ว Active Directory สภาพแวดล้อม ด้วยการใช้การตรวจสอบอย่างต่อเนื่อง การวิเคราะห์ความเสี่ยง และการบังคับใช้นโยบายอย่างแข็งขันในทุกความพยายามในการพิสูจน์ตัวตนและการเข้าถึง Silverfort สามารถทำให้การค้นหาผู้ดูแลเงาเป็นไปโดยอัตโนมัติและมอบการป้องกันแบบเรียลไทม์จากการละเมิดของพวกเขา
ต้องการแก้ปัญหาความท้าทายของผู้ดูแลระบบเงาในสภาพแวดล้อมของคุณหรือไม่ ติดต่อหนึ่งในผู้เชี่ยวชาญของเรา โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม.
