確保身份安全應對網絡高級威脅攻擊-Tenable.pdf

《確保身份安全應對網絡高級威脅攻擊-Tenable.pdf》由會員分享，可在線閱讀，更多相關《確保身份安全應對網絡高級威脅攻擊-Tenable.pdf（27頁珍藏版）》請在三個皮匠報告上搜索。

1、確確保保身身份份安安全全應應對對網網絡絡高高級級威威脅脅攻攻擊擊吳志勇 Tenable 高級技術顧問安世加安世加安世加安世加安世加安世加勒勒索索軟軟件件/數數據據竊竊取取攻攻擊擊過過程程利用身份脆弱點利用資產脆弱點外外部部攻攻擊擊面面數據竊取敲詐勒索擾亂運營期期望望的的結結果果攻擊者橫橫向向移移動動$獲得初始特權提權&行動持續滲透確定目標E.g.釣魚郵件,社會工程,暴力破解,憑證泄露E.g.CVE漏洞,暴露端口,明文密碼,非多因素驗證安世加安世加安世加安世加安世加安世加 管理身份驗證，保存所有密碼管理對每項重要資產的訪問權限部署在 95%的大型組織中一個復雜的、不斷發展的架構，隨著時間的推移變

2、得難以管理Active Directory holds the keys to everythingICS&SCADAUSERS&CREDENTIALSE-MAILAPPLICATIONSCLOUD RESOURCESCORPORATE DATA安世加安世加安世加安世加安世加安世加為為什什么么 ACTIVE DIRECTORY 的的安安全全至至關關重重要要？ACTIVE DIRECTORY 已成為一一切切的的關關鍵鍵！CS 和 SCADA公司數據電子郵件用戶和憑據應用程序云資源的企企業業依依賴賴 Active Directory 服務95%的全全球球企企業業在針對 Active Directo

3、ry 問題的審計中發現存在嚴嚴重重的的錯錯誤誤配配置置80%的新惡惡意意軟軟件件中包含針針對對 Active Directory 的特定代碼60%安世加安世加安世加安世加安世加安世加當當前前AD面面臨臨的的挑挑戰戰我是新管理員，以前配置不清楚，能發現權限過高的用戶嗎？AD日志很難關聯分析，我的AD現在安全嗎？AD中每天都會發生變化，任何變化都可能打開攻擊路徑。此用戶需要訪問哪些資源？我們有很多用戶不敢刪除，擔心應用中斷。域內存在大量的休眠賬號及過時操作系統，是否能發現他們？缺乏可見性缺乏深厚的安全知識沒有時間修復已知問題依靠 SOC/SIEM 來查找問題每年定期 AD 安全檢查安世加安世加安世

4、加安世加安世加安世加每起登上頭版頭條的信信息息泄泄露露或或勒勒索索事件背后都與暴暴露露面面缺缺陷陷及AD風風險險相關！安世加安世加安世加安世加安世加安世加理理解解安安全全風風險險是是基基本本的的價價值值命命題題檢檢測測與與響響應應(事事后后)Detection and ResponseRapidly Detect,Contain and Remediate Incidents During an Attack:Threat Intelligence,Incident Response,SIEM,Network Access Control防防御御(事事中中)ProtectionPreventi

5、on Before an Attack:Firewall,Antivirus,Intrusion Prevention暴暴露露風風險險可可視視(事事前前)Cyber ExposureWhere are we exposed?Where should we prioritize based on risk?How are we reducing our risk over time?安世加安世加安世加安世加安世加安世加8AD安安全全來來說說什什么么是是最最重重要要的的?實實時時攻攻擊擊檢檢測測是是不不夠夠的的實實時時攻攻擊擊檢檢測測實實時時攻攻擊擊保保護護收收到到一一條條短短信信說說“你你的的車

6、車撞撞墻墻了了”收收到到一一條條短短信信說說:“你你需需要要檢檢查查剎剎車車配配置置安世加安世加安世加安世加安世加安世加基基礎礎安安全全工工作作仍仍面面臨臨考考驗驗過過去去幾幾年年中中的的攻攻防防演演練練中中，多多家家單單位位因因攻攻擊擊面面評評估估不不到到位位等等低低級級錯錯誤誤而而被被攻攻破破例例1：某某單單位位被被物物理理攻攻擊擊，通通過過營營業業廳廳的的網網絡絡接接入入到到內內網網，再再使使用用已已知知漏漏洞洞拿拿下下護護網網域域控控目目標標例例2：某某單單位位員員工工被被釣釣魚魚攻攻擊擊，郵郵件件鏈鏈接接下下載載惡惡意意代代碼碼，后后作作為為跳跳板板進進一一步步拿拿下下內內網網域域控

7、控目目標標絕大部分情況下，攻擊者無無需需耗耗費費0-day#Low-hanging Fruits(HW高高風風險險攻攻擊擊手手法法)未未修修復復的的漏漏洞洞老老舊舊的的資資產產未未知知且且不不必必要要的的暴暴露露弱弱口口令令過過度度的的程程序序權權限限AD錯錯誤誤配配置置安世加安世加安世加安世加安世加安世加國國內內大大型型機機構構AD攻攻擊擊案案例例分分析析黑黑客客攻攻擊擊過過程程：攻擊者通過釣魚郵件獲得普通加域電腦權限。通過普通域賬號查詢特權賬號運行MSSQL服務，被發起Kerberoast攻擊獲取到用戶憑據。攻擊者獲取憑據之后進行離線破解。黑客使用破解后的密碼登錄特權賬號進行非法活動。憑憑

8、據據的的獲獲取取為為正正常常行行為為，安安全全防防護護系系統統及及攻攻擊擊檢檢測測工工具具無無法法檢檢測測出出異異常常。Tenable.IE檢測示例圖安世加安世加安世加安世加安世加安世加11“回回歸歸基基本本面面”發發現現嚴嚴重重CVE漏漏洞洞盡盡快快修修補補您您的的系系統統注注意意您您的的AD配配置置錯錯誤誤“因因為為攻攻擊擊者者也也會會做做同同樣樣的的事事情情”安世加安世加安世加安世加安世加安世加“身份是新新的的邊邊界界”*Source:Gartner,Implement a Continuous Threat Exposure Management(CTEM)Program,July 2

9、022“身身份份優優先先安安全全是一種使基于身份的控制成為組織網絡安全架構中的基本元素的方法?！鄙矸莅踩珜⒊蔀榘踩剡x項 GARTNER ISACA,FORBES安世加安世加安世加安世加安世加安世加Tenable身身份份安安全全位位于于現現代代威威脅脅生生態態系系統統初初始始破破壞壞端端點點侵侵占占公公司司感感染染數數據據泄泄露露下下一一代代防防病病毒毒EDR 解解決決方方案案主主機機IPS/IDSUEBADLP解解決決方方案案蜜蜜罐罐EMAIL安安全全雙雙因因素素認認證證端端到到端端加加密密沙沙箱箱NAC123456789100No existing solution bridge this

10、 gap現現有有的的保保護護技技術術現現有有的的保保護護技技術術針針對對目目標標的的釣釣魚魚活活動動初初始始端端點點中中招招公公司司基基礎礎設設施施制制圖圖本本地地權權限限獲獲取取橫橫向向移移動動特特權權帳帳戶戶上上的的憑憑據據重重現現AD的的特特權權升升級級后后利利用用(持持久久性性、植植入入后后門門)業業務務資資源源篡篡改改使使用用側側通通道道滲滲出出數數據據目目標標識識別別安世加安世加安世加安世加安世加安世加Prevention與與ITDR重重疊疊越越來來越越多多 身身份份安安全全優優先先 身身份份安安全全必必須須與與風風險險暴暴露露管管理理結結合合 與與非非人人類類身身份份相相關關的的

11、風風險險必必須須考考量量安世加安世加安世加安世加安世加安世加以以黑黑客客的的思思維維優優化化防防守守策策略略黑黑客客針針對對AD域域控控攻攻擊擊的的三三部部曲曲：1、獲獲取取特特權權賬賬號號及及資資產產信信息息，繪繪制制AD域域控控攻攻擊擊路路徑徑；2、識識別別錯錯誤誤配配置置，掌掌握握AD域域中中的的權權限限提提升升脆脆弱弱點點；3、結結合合可可利利用用的的攻攻擊擊路路徑徑以以及及錯錯誤誤配配置置發發動動攻攻擊擊，獲獲取取特特權權，植植入入后后門門，持持續續滲滲透透。安世加安世加安世加安世加安世加安世加攻攻擊擊路路徑徑Attack Path可視化資產風險顯示可能遭到入侵的帳戶的爆炸半徑識別潛

12、在的攻擊路徑聚焦于AD中的危險權限關系無無需需代代理理無無需需管管理理員員權權限限AD原原生生API近近實實時時以以黑黑客客的的思思維維優優化化防防守守策策略略-可可視視化化黑黑客客潛潛在在入入侵侵路路徑徑安世加安世加安世加安世加安世加安世加暴暴露露風風險險指指標標 Indicators of Exposure過百余種AD暴露風險指標分析發現影響AD的安全的潛在配置隱患查看修復建議和復雜問題的詳細說明確保攻擊者難以找到立足點，如果阻斷了他們的攻擊立足點，就沒有下一步行動!無無需需代代理理無無需需管管理理員員權權限限AD原原生生API近近實實時時以以黑黑客客的的思思維維優優化化防防守守策策略略-

13、全全面面發發現現AD潛潛在在配配置置風風險險安世加安世加安世加安世加安世加安世加T Tr ra ai il lf fl lo oww 跟跟蹤蹤事事件件流流在 AD 更改和惡意操作之間建立鏈接。實時監控AD object的事件可視化攻擊事件發生時，AD產生的所有變化。并自動化將高危變動串聯現存風險中查看數據，仿佛它在你面前重新發生。查看它發生的過去時，現在時！無無需需代代理理無無需需管管理理員員權權限限AD原原生生API近近實實時時以以黑黑客客的的思思維維優優化化防防守守策策略略-實實時時分分析析AD的的每每一一處處改改變變安世加安世加安世加安世加安世加安世加實實時時攻攻擊擊指指標標 I In

14、nd di ic ca at to or rs s o of f A At tt ta ac ck k調查AD攻擊收到偵察活動的警報MITRE ATT&CK關聯每次攻擊的信息確保攻擊者不會保持隱藏無無需需代代理理無無需需管管理理員員權權限限AD原原生生API近近實實時時以以黑黑客客的的思思維維優優化化防防守守策策略略-洞洞察察黑黑客客的的攻攻擊擊手手法法安世加安世加安世加安世加安世加安世加方方案案優優勢勢：低低風風險險&輕輕量量級級部部署署Forest A-DCForest B-DCT.IE偵聽模塊T.IE安全分析引擎T.IE日志及外部接口模塊T.IE偵聽模塊藍藍隊隊攻攻擊擊溯溯源源團團隊隊S

15、MTPSIEM第第三三方方應應用用基基于于虛虛擬擬化化分分布布式式部部署署無無需需安安裝裝Agent無無需需管管理理權權限限只只利利用用微微軟軟標標準準協協議議安世加安世加安世加安世加安世加安世加方方案案優優勢勢：易易執執行行的的風風險險緩緩解解指指南南詳詳細細的的修修復復指指南南多多維維度度的的緩緩解解方方式式參參考考微微軟軟最最佳佳實實踐踐安世加安世加安世加安世加安世加安世加方方案案優優勢勢：實實時時告告警警風風險險配配置置 實實時時告告警警AD風風險險配配置置 實實時時告告警警特特定定配配置置變變更更 以以上上變變更更追追蹤蹤無無需需配配置置任任何何策策略略定定期期收收集集安世加安世加安

16、世加安世加安世加安世加方方案案優優勢勢 ：更更多多的的AD風風險險檢檢測測規規則則安全模型相關IOEKDC 密碼很久未改未啟用Protected Users組潛在可被拿到票據的特權賬戶管理員賬號近期被使用SD Propagator連續性問題AD域間復制問題AD對象訪問控制風險未受限制的委派Bitlocker密鑰訪問控制用不過期的賬戶弱密碼/空密碼/重復密碼管理員屬性值風險特權組成員過多存在可逆向解密的密碼特權組中被禁用的賬戶匿名用戶行為Kerberos 賬戶配置風險密碼策略不符合安全實踐AD域間信任風險活動目錄配置風險被禁用的OU服務賬號配置風險過時的操作系統證書風險安全描述符風險GPO配置風

17、險高級日志策略風險RODC KDC 賬戶RODC 管理賬戶RODC上的緩存策略RODC 過濾屬性RODC 全局組敏感的GPO鏈接缺少勒索病毒加固AD域等級過低禁用或未鏈接的GPOS3S2S1S4S8S9S5S6S7A2A1A4A8A9A5A6A7A3C2C1C4C8C9C5C6C7C3R2R1R4R8R9R5R6R7R3賬戶相關IOE配置相關IOE只讀DC相關IOE安世加安世加安世加安世加安世加安世加46,000CUSTOMERS WORLDWIDEPUBLICLY TRADEDNASDAQ:TENB+60%OF FORTUNE 500COMPANIES40%OF GLOBAL 2000COM

18、PANIES6ACQUISITIONS SINCE 2019一一個個值值得得信信賴賴的的品品牌牌安世加安世加安世加安世加安世加安世加T TE EN NA AB BL LE E:從從漏漏洞洞到到暴暴露露管管理理領領導導者者漏漏洞洞風風險險管管理理攻攻擊擊面面管管理理AD域域控控安安全全工工業業產產線線安安全全云云原原生生安安全全安世加安世加安世加安世加安世加安世加云云身身份份安安全全（CIEM）主主流流市市場場玩玩家家Tenable由于資產數量和授權系統的多樣化，加上機器身份的爆炸式增長，管理云權限具有挑戰性?！鞍踩惋L險管理領導者必須將傳統的IAM和云安全方法與CIEM相結合，以實現高效的身份優先安全?！卑彩兰影彩兰影彩兰影彩兰影彩兰影彩兰又x謝！安世加安世加安世加安世加安世加安世加