Keegi võib teha palju kahju, kui ta pääseb teie andmetele sama palju juurde kui teil. See teebki seda tüüpi rünnakud nii hirmutavaks.
Küberturvalisuse edusammud võimaldavad ohtude jälgimise süsteemidel tuvastada kurjategijate ebatavalisi tegevusi. Nende tööriistade ületamiseks kasutavad sissetungijad nüüd pahatahtlikel eesmärkidel volitatud kasutajate legitiimset staatust ja juurdepääsuõigusi.
Häkkeril on kuldse piletirünnaku käivitamisel piiramatu juurdepääs teie andmetele ilma tolmu kergitamata. Seda tehes on neil praktiliselt samad juurdepääsuõigused kui teil. See on liiga riskantne, et ründajatel oleks selline võim, kas te ei arva? Siin on, kuidas neid peatada.
Mis on kuldne piletirünnak?
Selles kontekstis tähendab kuldne pilet piiramatut juurdepääsu. Piletiga kurjategija saab suhelda kõigi teie konto komponentidega, sealhulgas teie andmete, rakenduste, failide jne. Kuldse pileti rünnak on piiramatu juurdepääs, mille ründaja saab teie võrgu ohustamiseks. Nende tegemisel pole piiranguid.
Kuidas kuldse pileti rünnak töötab?
Active Directory (AD) on Microsofti algatus domeenivõrkude haldamiseks. Sellel on määratud Kerberose võtmete jaotuskeskus (KDC), autentimisprotokoll kasutajate legitiimsuse kontrollimiseks. KDC kaitseb AD, genereerides ja jagades volitatud kasutajatele ainulaadse pileti väljastamise pileti (TGT). See krüpteeritud pilet piirab kasutajatel võrgus kahjulike tegevuste sooritamist ja piirab nende sirvimisseansi kindla aja jooksul, tavaliselt mitte rohkem kui 10 tundi.
Kui loote AD-s domeeni, saate automaatselt KRBTGT-konto. Kuldsete piletite rünnakute toimepanijad ohustavad teie konto andmeid, et manipuleerida AD domeenikontrolleriga järgmisel viisil.
Informatsiooni koguma
Kuldse tickeri ründaja alustab teabe kogumisega teie konto kohta, eriti selle täielikult kvalifitseeritud domeeninime (FQDN), turvaidentifikaatori ja parooliräsi kohta. Nad võiksid kasutada oma andmete kogumiseks andmepüügitehnikaidvõi veel parem, nakatage oma seade pahavaraga ja hankige see ise. Nad võivad teabe kogumise protsessis valida toore jõu.
Forge Piletid
Ohustaja võib näha teie aktiivse kataloogi andmeid, kui ta siseneb teie kontole teie sisselogimismandaatidega, kuid ta ei saa praegu toiminguid teha. Nad peavad genereerima teie domeenikontrollerile legitiimsed piletid. KDC krüpteerib kõik genereeritud piletid oma KRBTGT parooliräsi abil, nii et petis peab tegema sama kas faili NTDS.DIT varastamine, DCSynci rünnak või turvaaukude ärakasutamine lõpp-punktid.
Säilitage pikaajaline juurdepääs
Kuna KRBTGT parooliräsi hankimine annab kurjategijale piiramatu juurdepääsu teie süsteemile, kasutavad nad seda maksimaalselt. Nad ei kiirusta lahkuma, vaid jäävad taustale, seades ohtu teie andmed. Nad võivad isegi kehastada kõrgeimate juurdepääsuõigustega kasutajaid ilma kahtlust tekitamata.
5 viisi kuldsete piletite rünnaku ärahoidmiseks
Kuldpileti rünnakud kuuluvad kõige ohtlikumate küberrünnakute hulka tänu sissetungija vabadusele erinevaid tegevusi sooritada. Saate vähendada nende esinemist miinimumini järgmiste küberturvalisuse meetmetega.
1. Hoidke administraatori mandaadid privaatsena
Nagu enamik teisi rünnakuid, sõltub kuldse pileti rünnak kurjategija võimest hankida tundlikke konto mandaate. Kaitske võtmeandmeid, piirates neile juurde pääsevate inimeste arvu.
Kõige väärtuslikumad mandaadid on administraatorite kontodel. Võrguadministraatorina peate oma juurdepääsuõigusi piirama minimaalselt. Teie süsteem on suuremas ohus, kui rohkematel inimestel on juurdepääs administraatoriõigustele.
2. Tuvastage andmepüügikatsed ja seiske neile vastu
Administraatoriõiguste kindlustamine on üks volikirja varguse ärahoidmise viise. Kui blokeerite selle akna, kasutavad häkkerid muid meetodeid, näiteks andmepüügirünnakuid. Andmepüük on pigem psühholoogiline kui tehniline, seega peate selle tuvastamiseks eelnevalt vaimselt valmis olema.
Tutvuge erinevate andmepüügitehnikate ja stsenaariumidega. Kõige tähtsam on olla ettevaatlik võõrastelt saadetud sõnumite suhtes, mis otsivad teie või teie konto kohta isikut tuvastavat teavet. Mõned kurjategijad ei küsi teie mandaate otse, vaid saadavad teile nakatunud e-kirju, linke või manuseid. Kui te ei saa ühegi sisu eest garanteerida, ärge seda avage.
3. Kaitske aktiivseid katalooge nullikindlusega
Oluline teave, mida häkkerid vajavad kuldsete piletite rünnakute sooritamiseks, on teie aktiivsetes kataloogides. Kahjuks võivad teie lõpp-punktides igal ajal haavatavused tekkida ja need võivad jääda enne, kui neid märkate. Kuid haavatavuste olemasolu ei pruugi teie süsteemi kahjustada. Need muutuvad kahjulikuks, kui sissetungijad need tuvastavad ja ära kasutavad.
Te ei saa garanteerida, et kasutajad ei tegele tegevustega, mis ohustavad teie andmeid. Rakendage nulli usaldusväärsust teie võrku külastavate inimeste turvariskide haldamiseks olenemata nende positsioonist või staatusest. Pidage iga inimest ohuks, kuna tema tegevus võib teie andmeid ohtu seada.
4. Muutke oma KRBTGT konto parooli regulaarselt
Teie KRBTGT konto parool on ründaja kuldne pilet teie võrku. Parooli kaitsmine loob barjääri nende ja teie konto vahele. Oletame, et kurjategija on pärast teie parooliräsi hankimist juba teie süsteemi sisenenud. Nende eluiga sõltub parooli kehtivusest. Kui muudate seda, ei saa nad töötada.
Te ei pruugi olla teadlik kuldsete ohtude ründajate olemasolust teie süsteemis. Kasvatage harjumust oma parooli regulaarselt muuta isegi siis, kui te ei kahtlusta rünnakut. See üksainus toiming tühistab nende volitamata kasutajate juurdepääsuõigused, kellel on juba juurdepääs teie kontole.
Microsoft soovitab kasutajatel oma KRBTGT konto paroole regulaarselt muuta, et hoida ära volitamata juurdepääsuga kurjategijaid.
5. Võtta kasutusele inimohtude seire
Aktiivne ohtude otsimine oma süsteemist on üks tõhusamaid viise kuldsete piletite rünnakute tuvastamiseks ja ohjeldamiseks. Need rünnakud on mitteinvasiivsed ja toimuvad taustal, nii et te ei pruugi rikkumisest teadlik olla, kuna pealtnäha võivad asjad normaalsed tunduda.
Kuldsete piletite rünnakute edu seisneb kurjategija võimes tegutseda volitatud kasutajana, kasutades oma juurdepääsuõigust. See tähendab, et automaatsed ohuseireseadmed ei pruugi nende tegevusi tuvastada, kuna need pole ebatavalised. Nende tuvastamiseks vajate inimohtude jälgimise oskusi. Ja seda seetõttu, et inimestel on kuues meel kahtlaste tegevuste tuvastamiseks isegi siis, kui sissetungija väidab end olevat seaduslik.
Kaitske tundlikud volikirjad kuldsete piletite rünnakute vastu
Küberkurjategijatel poleks kuldse piletirünnaku korral piiramatut juurdepääsu teie kontole ilma teiepoolsete katkestusteta. Kui ilmnevad ettenägematud haavatavused, võite võtta kasutusele meetmed nende leevendamiseks enne tähtaega.
Oluliste mandaatide, eriti KRBTGT-konto parooliräsi kaitsmine jätab sissetungijatele teie konto häkkimiseks väga piiratud võimalused. Vaikimisi on teil oma võrgu üle kontroll. Ründajad loodavad edu saavutamiseks teie hooletusse turvalisuse eest. Ärge andke neile võimalust.