การเลิกใช้งาน NTLM ทำให้เรารำลึกถึง XP EOL: คุณได้รับการปกป้องหรือไม่? 

Silverfort ภาพ
NTLM Deprecation – 1234 x 402
สารบัญ

แบ่งปันโพสต์นี้:

Microsoft เมื่อเร็ว ๆ นี้ ประกาศ การเลิกใช้งานโปรโตคอล NTLM สำหรับไคลเอนต์ Windows สิ่งนี้สอดคล้องกับการสนับสนุนของ Microsoft ที่จะเลิกใช้ NTLM เนื่องจากความเสี่ยงด้านความปลอดภัยที่เกิดขึ้น และทำหน้าที่เป็นสัญญาณเตือนว่าการรักษาการใช้งาน NTLM จะทำให้สภาพแวดล้อมมีความเสี่ยงสูง  

เราไม่สามารถมองข้ามความคล้ายคลึงอันน่าทึ่งระหว่างวันนี้ได้ NTLM การเลิกใช้งานและ EOL ของ Windows XP เมื่อทศวรรษที่แล้ว ในทั้งสองกรณี Microsoft หยุดสนับสนุนโครงสร้างพื้นฐานแบบเดิมที่ยังพบเห็นได้ทั่วไปอย่างมาก ซึ่งทำให้ผู้ใช้ตกอยู่ในความเสี่ยงร้ายแรง- ในกรณีของ XP ความเสี่ยงคือการเรียกใช้โค้ดจากระยะไกลที่เป็นอันตราย ด้วย NTLM มันคือ การเข้าถึงข้อมูลรับรอง และต่อมา การเคลื่อนไหวด้านข้าง และ ransomware กระจาย 

บล็อกนี้ให้ข้อมูลสรุปเกี่ยวกับภัยคุกคามด้านข้อมูลประจำตัวที่อาจเกิดขึ้นที่ NTLM แนะนำแก่องค์กรต่างๆ ในปัจจุบัน และสรุปแผนการบรรเทาผลกระทบเพื่อให้แน่ใจว่าสภาพแวดล้อมของคุณยังคงมีความยืดหยุ่น

คุณรู้ไหมว่า NTLM ยังมีชีวิตอยู่และกำลังเตะอยู่? 

แม้ว่า NTLM จะ 'ไม่ปลอดภัย' เป็นความรู้ทั่วไป แต่ก็ยังมีการใช้อย่างมากในสภาพแวดล้อมการใช้งานจริง ที่ รายงานข้อมูลประจำตัวใต้ดินซึ่งเผยแพร่เมื่อเดือนมีนาคม พ.ศ. 2024 เปิดเผยว่าก สัดส่วนที่น่าตกใจของผู้ใช้ ผู้ดูแลระบบ และบัญชีบริการยังคงใช้ NTLM สำหรับการเข้าถึงทรัพยากร

64% จาก บัญชีผู้ใช้ ใช้ NTLM ในการเข้าถึงทรัพยากรเป็นประจำ  

แผนภาพ #1: รายละเอียดการตรวจสอบสิทธิ์ NTLM ตามเปอร์เซ็นต์ของผู้ใช้ 

37% ของผู้ใช้ผู้ดูแลระบบใช้ NTLM เพื่อเข้าถึงทรัพยากรเป็นประจำ 

แผนภาพ #2: รายละเอียดเพิ่มเติมที่เน้นไปที่ผู้ใช้ที่เป็นผู้ดูแลระบบและไม่ใช่ผู้ดูแลระบบ 

 

46% จาก บัญชีบริการ ใช้ NTLM ในการเข้าถึงทรัพยากรเป็นประจำ 

แผนภาพ #3: รายละเอียดการตรวจสอบสิทธิ์ NTLM ตามเปอร์เซ็นต์ของบัญชีบริการ

คุณรู้หรือไม่ว่า NTLM สามารถเปิดใช้งานการแพร่กระจายของแรนซัมแวร์จำนวนมากได้ 

แต่อะไรคือความเสี่ยงที่แท้จริงของการใช้ NTLM ในระดับสูง 

ปัญหาด้านความปลอดภัยของ NTLM เกิดจากการใช้แฮชแทนรหัสผ่าน วิธีนี้จะช่วยลดการส่งรหัสผ่านข้อความธรรมดาผ่านสายซึ่งเป็นสิ่งที่ดี อย่างไรก็ตาม ผู้โจมตีสามารถใช้กลไกนี้ในทางที่ผิด และใช้แฮชของ NTLM เองเป็นรหัสผ่านที่เทียบเท่ากับการเข้าถึงทรัพยากรที่เป็นอันตราย  

มาแมปการละเมิด NTLM นี้กับ ใส่ คำศัพท์เฉพาะของกรอบงาน ATT&CK: 

  • การเข้าถึงข้อมูลประจำตัว: ผู้โจมตีสามารถใช้เครื่องมือที่มีอยู่มากมายเพื่อแยก NTLM ออกจากที่เก็บข้อมูลในหน่วยความจำของเครื่องหรือในขณะที่มันสำรวจเครือข่ายระหว่างเครื่อง 
  • การเคลื่อนไหวด้านข้าง: หลังจากแฮชประนีประนอม ผู้โจมตีสามารถใช้แฮชเองหรือถอดรหัสมันแบบออฟไลน์เพื่อรับรหัสผ่านข้อความที่ชัดเจน ในกรณีแรก พวกเขาจะใช้เทคนิคเช่นการถ่ายทอด Pass-the-Hash หรือ NTLM ในระยะหลัง พวกเขาจะใช้รหัสผ่านที่ได้รับใหม่สำหรับการเข้าถึงที่เป็นอันตราย   

การรวมกันของ การเข้าถึงข้อมูลรับรอง และการเคลื่อนไหวด้านข้างเป็นปัจจัย X ที่อยู่เบื้องหลังการโจมตีแรนซัมแวร์ที่มีชื่อเสียงระดับสูงทั้งหมดที่องค์กรต้องเผชิญในช่วงไม่กี่ปีที่ผ่านมา 

ความรู้คือพลัง: ถามคำถามต่อไปนี้เพื่อทำความเข้าใจและแก้ไขปัญหาความเสี่ยงจาก NTLM  

รับข้อมูลเชิงลึกเกี่ยวกับการสัมผัส NTLM และความสามารถในการบรรเทาผลกระทบในสภาพแวดล้อมของคุณโดยสอบถามจากคุณ ความปลอดภัยของข้อมูลประจำตัว รวมทีมคำถามต่อไปนี้: 

เรามีการมองเห็นการใช้งาน NTLM จริงในสภาพแวดล้อมของเราหรือไม่ 

คำถามนี้มุ่งเน้นไปที่ขอบเขตของการเปิดเผย NTLM ของคุณสำหรับผู้ใช้ ผู้ดูแลระบบ บัญชีบริการ และทรัพยากรที่มีการใช้ NTLM คำตอบควรระบุเป็นเปอร์เซ็นต์ เช่นเดียวกับที่เราแสดงไว้ด้านบน  

เราสามารถจำกัดการใช้งาน NTLM ให้อยู่เพียงเท่านี้ได้ไหม อย่างแน่นอน จำเป็น? 

ขั้นตอนต่อไปคือดูว่าคุณสามารถทำอะไรได้บ้างเพื่อลดการใช้งาน NTLM คำตอบสำหรับคำถามนี้ควรแสดงส่วนของการใช้งาน NTLM ของคุณที่ไม่สามารถกำจัดได้ (แอปรุ่นเก่าเป็นตัวอย่างที่พบบ่อยที่สุด) และส่วนที่สามารถนำออกได้โดยไม่หยุดชะงักในการปฏิบัติงาน  

เราสามารถบล็อกการเคลื่อนไหวด้านข้างที่อำนวยความสะดวกโดย NTLM แบบเรียลไทม์ได้หรือไม่ 

ที่นี่เราควรถือว่ามีการละเมิดเกิดขึ้นแล้ว หากใช้ NTLM ก็มีโอกาสสูงที่ผู้โจมตีจะประนีประนอมรหัสผ่านและพยายามเข้าถึงแบบที่เป็นอันตราย คำตอบสำหรับคำถามนี้ควรแสดงรายการการควบคุมความปลอดภัยที่มีอยู่ซึ่งสามารถตรวจจับและบล็อกความพยายามในการเข้าถึงที่เป็นอันตรายโดยใช้ NTLM ที่เกี่ยวข้อง ข้อมูลประจำตัวที่ถูกบุกรุก.  

บทสรุป: ดู รู้ และดำเนินการเพื่อลดความเสี่ยงของ NTLM 

เช่นเดียวกับ Windows XP การดำเนินการเชิงรุกเป็นวิธีที่ดีที่สุดในการลดความเสี่ยงที่ขับเคลื่อนด้วย NTLM คำถามสามข้อข้างต้นเป็นโครงร่างสำหรับกลยุทธ์การลดผลกระทบเชิงรุก ดังนั้นทีมข้อมูลประจำตัวและความปลอดภัยของคุณสามารถให้คำตอบที่ชัดเจนแก่พวกเขาได้หรือไม่ แน่นอนว่าสิ่งนี้จะขึ้นอยู่กับโซลูชันการระบุตัวตนและความปลอดภัยที่คุณมีอยู่ หากคุณไม่พบคำตอบหรือไม่พอใจ จำเป็นต้องดำเนินการทันทีเพื่อค้นหาวิธีแก้ปัญหาที่สามารถช่วยได้ อะไรที่สั้นกว่านั้นจะทำให้คุณถูกเปิดเผย   

จำ XP และการโจมตีหลายครั้งที่องค์กรต้องเผชิญในแต่ละวันหรือไม่ ปัญหานั้นไม่ได้หายไปเอง NTLM ก็ไม่ต่างกัน  

เรากล้าที่จะผลักดันการรักษาความปลอดภัยข้อมูลประจำตัวไปไกลยิ่งขึ้น

ค้นพบสิ่งที่เป็นไปได้

ตั้งค่าการสาธิตเพื่อดู Silverfort แพลตฟอร์มการรักษาความปลอดภัยข้อมูลประจำตัวในการดำเนินการ

รับการสาธิต
ฮีโร่ใหม่ (1)

Silverfort เข้าซื้อกิจการ Fabrix Security

มอบการรักษาความปลอดภัยข้อมูลประจำตัวแบบอัตโนมัติในระหว่างการทำงาน

เป็นผู้บุกเบิกเครื่องมือควบคุมการเข้าถึงแบบเรียลไทม์อัตโนมัติเป็นครั้งแรก ซึ่งออกแบบมาเพื่อปกป้องข้อมูลประจำตัวของมนุษย์ เครื่องจักร และตัวแทนทั้งหมด โดยใช้บริบทเชิงลึกและความเร็วของ AI

อ่านเรื่องราวฉบับเต็มได้ที่นี่