Útočníci v kyberprostoru jsou stále o krok napřed před obránci IT (správci, bezpečnostním oddělením, auditory). Snaží se infiltrovat do sítí podniků a organizací, pokoušejí se narušovat jejich činnost, vydírat je anebo krást osobní a jiná citlivá data. K tomu využívají privilegované účty, protože právě ty mají přístup k citlivým informacím (pozor, nemusí přitom jít nutně jen o správcovské účty!).
Privilegované účty existují v každém podniku nebo organizaci a ve většině případů nejsou spravovány adekvátně. Většina organizací neví, kolik a kde má privilegovaných a servisních účtů, jak a jestli vůbec jsou správně zabezpečeny proti krádeži, kdy jim byla naposledy změněna hesla a kolik zaměstnanců je zná.
Navíc, velmi málo organizací má definováno, co je normální, obvyklá uživatelská či správcovská aktivita, a co již ne. Jen velmi málo organizací tedy přistupuje ke správě privilegovaných účtů na základě rizika, které zneužití takových účtů představuje.
Víte…?
Odpovědi na tyto otázky a mnohé další vám dá tento článek.
CyberArk Discovery and Audit (DNA) Scan je nástroj, který dává organizacím vhled do privilegovaných účtů a do rizik, která jejich zneužití představuje. Umožňuje stanovit naléhavost řízení a správy privilegovaných účtů (které z nich ochránit nejdříve) a definovat způsob, jak je systémově zabezpečit.
Samotný nástroj je zdarma, skenování ale vždy musí provádět CyberArk partner. První skenování je při plánované dlouhodobější spolupráci zpravidla zdarma. Detaily jsou uvedeny níže.
Když uvážíme, že počet privilegovaných účtů v jedné organizaci obvykle přesahuje (někdy i několikrát!) počet účtů zaměstnanců, nemá v dnešní době velký smysl snažit se udržovat si přehled o privilegovaných účtech ručně. Je to neefektivní, málo bezpečné, časově náročné, přehled se obtížně aktualizuje, pravděpodobně bude vždy nekompletní a bude skoro určitě obsahovat chyby.
CyberArk DNA Scan je schopen najít a prozkoumat:
CyberArk DNA Scan se neinstaluje – balíček ve formě ZIP souboru obsahující vše potřebné (spustitelný soubor, pomocné knihovny, uživatelskou příručku, odpovědi na často kladené otázky a anonymizační nástroj) stačí jednoduše rozbalit a skenování může začít.
Pro skenování se potřebuje CyberArk DNA Scan přihlásit do skenovaného systému pomocí správcovského účtu. Pro Windows prostředí se jedná o doménové anebo lokální správce. Pro Linux/UNIX počítače je třeba přihlášení jako root. Pro skenování AWS vyžaduje Access ID a Secret, aby mohl skenovat IAM uživatele a EC2 instance.
Při skenování Windows sítě dále potřebuje znát adresu doménového řadiče, což umožní načíst seznam existujících počítačů zařazených do domény Active Directory. Pro samostatné Windows i Linux/UNIX počítače vyžaduje jejich IP adresy, jež lze zadat pomocí CSV souboru nebo rozsahu.
Ve světě Windows jsou podporovány téměř všechny verze operačního systému: servery od Windows 2000, pracovní stanice od Windows XP. Autentizace do Active Directory je možná pomocí LDAP a LDAPS. Skenování probíhá prostřednictvím protokolů WMI, SMB a SSH (v případě instalovaného nástroje Cygwin for Windows).
Ve světě Linux/UNIX jsou podporovány nejrozšířenější klony: Red Hat, Solaris, SUSE, Fedora, Oracle, AIX a MacOS. Autentizace je možná pomocí jmen a hesel nebo SSH klíčů. Podporovány jsou sudoers soubory. Nástroj umožňuje také skenování Linux/UNIX počítačů integrovaných do Active Directory pomocí AD Bridge (Centrify, Quest). Dokonce lze skenovat i VMware ESXi hostitele, a to pomocí SSH relace.
Skenování AWS probíhá prostřednictvím AWS API. CyberArk DNA Scan lze integrovat s nástrojem AWS Inspector.
Průběh skenování je podrobně zachycen v lozích nástroje. Navíc na Linux/UNIX počítačích si lze po skenování prohlédnout rovněž soubory bash_history.
Po skenování vytvoří nástroj obsáhlou zprávu rozdělenou na několik částí.
V Executive Summary jsou uvedena základní fakta o provedeném skenu, tedy:
Taktéž jsou zde k dispozici přehledné mapy znázorňující možnosti útoku na síť prostřednictvím Pass-the-Hash, Golden Ticket a prostřednictvím zneužití SSH klíčů. Z map je zřetelně vidět, které počítače a účty mohou zapříčinit zmíněné útoky a které počítače jsou těmito útoky ohroženy.
Na stránce Windows Scan jsou uvedeny skenované počítače (jméno, typ, verze OS), účty (jméno, typ, kategorie, členství ve skupinách, stav, čas posledního přihlášení), zranitelnost útokem Pass-the-Hash, zda je účet účtem servisním a parametry hesla.
V části Unix Scan jsou vypsány skenované počítače (jméno, verze OS), účty (jméno, typ, kategorie, členství ve skupinách, stav, čas posledního přihlášení), zranitelnosti využitím Insecure Privilege Escalation, počty a parametry SSH klíčů.
Stránka SSH Key Trusts informuje o SSH klíčích (umístění, přiřazení k účtům, stav, vlastnosti, stáří, použití, umístění).
List Domain Scan uvádí nalezené servisní účty, jejich parametry a počítače, na kterých byly nalezeny.
Část Database Scan zachycuje skenované databázové servery Microsoft SQL (jméno, instance, verze) a privilegované účty (jméno, typ, kontext, přiřazení k databázi, kategorie, role, přístupová práva, stav).
Stránka Hard-Coded Credentials představuje nalezené webové aplikační servery (jméno, typ, verze aplikačního serveru, verze OS) a privilegované účty (jméno, výskyt pověření v kódu aplikace, délku hesla, cílový systém).
Pokud některý počítač není skenován, je uveden důvod na listu Scan Errors, a to včetně doporučení, jak chybu odstranit.
S nástrojem CyberArk DNA Scan snadno získáte odpovědi na otázky z úvodu a vytvoříte tak spolehlivé podklady pro nápravu zjištěných nedostatků.
Prvotní sken bývá zpravidla zdarma a získáte ho díky svému CyberArk partnerovi, s nímž spolupracujete, či plánujete dlouhodobě spolupracovat. Neznáte-li svého CyberArk partnera, požádejte o sken na stránce cyberark.com – SCAN YOUR NETWORK. CyberArk vás bude prostřednictvím svého partnera kontaktovat.
Richard Juřík, Senior Infrastructure Security Consultant, ANECT a.s., Jan Celba, Infrastructure Security Consultant, ANECT a.s.
Ukázka výstupu z nástroje CyberArk DNA Scan
