Share via

Oldalirányú mozgási útvonalak vizsgálata az ATA-val

  • Cikk

A következőkre vonatkozik: Advanced Threat Analytics 1.9-es verzió

A támadók akkor is használhatják az oldalirányú mozgási útvonalakat, ha a bizalmas felhasználók védelme érdekében a rendszergazdák összetett jelszavakat használnak, amelyeket gyakran módosítanak, a gépek meg vannak erősítve, és az adataik biztonságosan vannak tárolva, a támadók továbbra is használhatnak oldalirányú mozgási útvonalakat a bizalmas fiókok eléréséhez. Oldalirányú mozgásos támadások esetén a támadó kihasználja a példányokat, amikor a bizalmas felhasználók olyan gépre jelentkeznek be, ahol egy nem bizalmas felhasználó helyi jogosultságokkal rendelkezik. A támadók ezután oldalirányban mozoghatnak, hozzáférhetnek a kevésbé bizalmas felhasználóhoz, majd áttérhetnek a számítógépen, hogy hitelesítő adatokat szerezzenek a bizalmas felhasználó számára.

Mi az oldalirányú mozgási útvonal?

Az oldalirányú mozgás az, amikor a támadó nem bizalmas fiókokat használ a bizalmas fiókokhoz való hozzáféréshez. Ez a gyanús tevékenységek útmutatójában leírt módszerekkel végezhető el. A támadók oldalirányú mozgást használnak a hálózat rendszergazdáinak azonosításához és a hozzáférésükhöz szükséges gépek megismeréséhez. Ezzel az információval és további lépésekkel a támadó kihasználhatja a tartományvezérlők adatainak előnyeit.

Az ATA lehetővé teszi, hogy megelőző műveletet hajtson végre a hálózaton, hogy megakadályozza a támadók sikerességét az oldalirányú mozgás során.

A kockázatnak kitett bizalmas fiókok felderítése

Ha szeretné felderíteni, hogy a hálózat mely bizalmas fiókjai vannak sebezhetők a nem bizalmas fiókokhoz vagy erőforrásokhoz való kapcsolódásuk miatt, egy adott időkereten belül kövesse az alábbi lépéseket:

  1. Az ATA-konzol menüjében válassza a jelentések ikont reports icon..

  2. A bizalmas fiókok oldalirányú mozgási útvonalai alatt, ha nem találhatók oldalirányú mozgási útvonalak, a jelentés szürkítve jelenik meg. Ha vannak oldalirányú mozgási útvonalak, akkor a jelentés dátumai automatikusan kiválasztják az első dátumot, amikor releváns adatok vannak.

    Screenshot showing report date selection.

  3. Select Download.

  4. A létrehozott Excel-fájl részletesen ismerteti a veszélyeztetett bizalmas fiókokat. Az Összegzés lap olyan grafikonokat tartalmaz, amelyek részletesen ismertetik a kockázatos erőforrások bizalmas fiókjainak, számítógépeinek és átlagainak számát. A Részletek lap felsorolja azokat a bizalmas fiókokat, amelyek miatt aggódnia kell. Vegye figyelembe, hogy az elérési utak olyan útvonalak, amelyek korábban léteztek, és ma nem érhetők el.

Vizsgálat

Most, hogy már tudja, hogy mely bizalmas fiókok vannak veszélyben, az ATA-ban alaposabban is megismerkedhet, és megelőző intézkedéseket hozhat.

  1. Az ATA-konzolon keresse meg az entitásprofilhoz hozzáadott oldalirányú mozgásjelvényt, ha az entitás oldalirányú mozgási útvonalon lateral icon. vagy path icon. Ez akkor érhető el, ha az elmúlt két napban volt egy oldalirányú mozgási útvonal.

  2. A megnyíló felhasználói profil lapon válassza az Oldalirányú mozgási útvonalak lapot.

  3. A megjelenített gráf térképet biztosít a bizalmas felhasználó lehetséges elérési útjairól. A grafikon az elmúlt két napban létrejött kapcsolatokat mutatja.

  4. Tekintse át a grafikont, és ismerje meg, mit tudhat meg a bizalmas felhasználó hitelesítő adatainak kitettségéről. Ebben a térképen például szürke nyilakkal követheti a Bejelentkezve lehetőséget, hogy lássa, hol jelentkezett be Samira a kiemelt hitelesítő adataikkal. Ebben az esetben Samira bizalmas hitelesítő adatai a REDMOND-WA-DEV számítógépre lettek mentve. Ezután nézze meg, hogy mely felhasználók jelentkeznek be a legnagyobb expozíciót és biztonsági rést okozó számítógépekre. Ezt a Rendszergazda istrator fekete nyilakon való megtekintésével tekintheti meg, hogy ki rendelkezik rendszergazdai jogosultságokkal az erőforráson. Ebben a példában a Contoso All csoport minden tagja hozzáférhet a felhasználói hitelesítő adatokhoz az adott erőforrásból.

    User profile lateral movement paths.

Megelőző ajánlott eljárások

  • Az oldalirányú mozgás megelőzésének legjobb módja annak biztosítása, hogy a bizalmas felhasználók csak akkor használják a rendszergazdai hitelesítő adataikat, ha olyan edzett számítógépekre jelentkeznek be, amelyeken nincs olyan nem bizalmas felhasználó, aki rendszergazdai jogosultságokkal rendelkezik ugyanazon a számítógépen. A példában győződjön meg arról, hogy ha Samira-nak hozzá kell férnie a REDMOND-WA-DEV-hez, a rendszergazdai hitelesítő adataitól eltérő felhasználónévvel és jelszóval jelentkezzen be, vagy távolítsa el a Contoso All csoportot a REDMOND-WA-DEV helyi rendszergazdák csoportjából.

  • Azt is javasoljuk, hogy győződjön meg arról, hogy senki sem rendelkezik szükségtelen helyi rendszergazdai engedélyekkel. A példában ellenőrizze, hogy a Contoso All összes felhasználójának valóban rendszergazdai jogosultságokra van-e szüksége a REDMOND-WA-DEV rendszeren.

  • Győződjön meg arról, hogy a felhasználók csak a szükséges erőforrásokhoz férnek hozzá. A példában Oscar Posada jelentősen kibővíti Samira expozícióját. Szükséges, hogy bekerülnek a Contoso All csoportba? Vannak alcsoportok, amelyeket az expozíció minimalizálása érdekében hozhat létre?

Tipp.

Ha az elmúlt két napban nem észlelhető tevékenység, a gráf nem jelenik meg, de az oldalirányú mozgási útvonal jelentése továbbra is elérhető az oldalirányú mozgási útvonalakról az elmúlt 60 napban.

Tipp.

Ha útmutatást szeretne adni arról, hogyan állíthatja be a kiszolgálókat úgy, hogy az ATA végrehajtsa az oldalirányú mozgás útvonalának észleléséhez szükséges SAM-R műveleteket, konfigurálja az SAM-R-t.

Kapcsolódó információk