Birçok kuruluş için, Active Directory (AD) hizmet hesapları, orijinal amaçları unutulduktan çok sonra arka planda devam eden sessizce olan sessizdir. Daha da kötüsü, bu yetim hizmet hesapları (eski uygulamalar, planlanan görevler, otomasyon komut dosyaları veya test ortamları için oluşturulan) genellikle var olmayan veya bayat şifrelerle aktif bırakılır.
Reklam hizmeti hesaplarının genellikle rutin güvenlik gözetiminden kaçması şaşırtıcı değildir. Güvenlik ekipleri, günlük talepler ve devam eden teknik borçlardan bunalmış, genellikle hizmet hesaplarını (bireysel kullanıcılarla bağlantısız ve nadiren incelenmiş) göz ardı ederek arka plana girmelerine izin verir. Bununla birlikte, bu belirsizlik onları ağda gizli yollar arayan saldırganlar için birincil hedefler haline getiriyor. Ve kontrol edilmemiş, unutulmuş hizmet hesapları, işletme ortamlarında saldırı yolları ve yanal hareket için sessiz ağ geçitleri olarak hizmet edebilir. Bu makalede, unutulmuş reklam hizmet hesaplarının poz verdiği riskleri ve maruz kalmanızı nasıl azaltabileceğinizi inceleyeceğiz.
Unutulmuş olanı ortaya çıkar ve envanter
Eski siber güvenlik atasözü ilerledikçe, göremediğinizi koruyamazsınız. Bu özellikle reklam hizmeti hesapları için geçerlidir. Görünürlük kazanmak, bunları güvence altına almanın ilk adımıdır, ancak yetim veya izlenmemiş hizmet hesapları genellikle arka planda sessizce çalışır, bildirim ve gözetimden kaçar. Bu unutulmuş hizmet hesapları, son yıllarda en zararlı ihlallerden bazılarında merkezi bir rol oynadıkları için özellikle sorunludur. 2020 Solarwinds saldırısı durumunda, tehlikeye atılan hizmet hesapları, tehdit aktörlerinin hedeflenen ortamlarda gezinmesine ve hassas sistemlere erişmesine yardımcı olmada etkili oldu.
Saldırganlar kimlik avı veya sosyal mühendislik yoluyla bir dayanak kazandıktan sonra, bir sonraki hamleleri genellikle hizmet hesaplarının sömürülmesi için avlanmayı ve bunları ayrıcalıkları yükseltmek ve ağdan yanal olarak hareket ettirmek için kullanmayı içerir. Neyse ki, yöneticilerin unutulmuş veya işlenmemiş reklam hizmet hesaplarını tanımlamak ve ortaya çıkarmak için çeşitli teknikler vardır:
- Hizmet Ana Adı (SPN) için sorgu reklamı, genellikle hizmetler tarafından diğer sistemlerle kimlik doğrulaması yapmak için kullanılır.
- Bulunmayan şifrelere sahip veya uzun süre giriş yapmayan hesaplar için filtre edin.
- Kullanılmayan hesaplara başvuran sabit kodlu veya gömülü kimlik bilgileri için planlanan görevleri ve komut dosyalarını tarayın.
- Grup üyelik anormalliklerini inceleyin, burada hizmet hesaplarının zaman içinde yüksek ayrıcalıkları devralmış olabileceği.
- Active Directory’nizi denetleyin. Specops’un Ücretsiz Reklam Denetleme Aracı: SpecOps Parola Denetçisi ile bugün salt okunur bir tarama çalıştırabilirsiniz
Gerçek Dünya Örnek: Botnet Unutulmuş Hesapları Sökümler
2024’ün başlarında, güvenlik araştırmacıları, Microsoft 365 hizmet hesaplarını büyük bir şifre püskürtme kampanyasında hedefleyen 130.000’den fazla cihazdan oluşan bir botnet keşfetti. Saldırganlar, birçok ortamda hala etkinleştirilmiş modası geçmiş bir kimlik doğrulama şeması olan temel kimlik doğrulamasını kötüye kullanarak çok faktörlü kimlik doğrulamasını (MFA) atladı. Bu saldırılar tipik güvenlik uyarılarını tetiklemediğinden, birçok kuruluş tehlikeye girdiklerinden habersizdi. Bu örnek, hizmet hesaplarını güvence altına almanın ve eski kimlik doğrulama mekanizmalarının ortadan kaldırılmasının önemini vurgulayan birçok kişiden sadece bir tanesidir.
Ayrıcalık sürünme sessiz yükselişe yol açar
Başlangıçta asgari izinlerle oluşturulan hizmet hesapları bile zamanla tehlikeli hale gelebilir. Ayrıcalık sürünmesi olarak bilinen bu senaryo, hesaplar sistem yükseltmeleri, rol değişiklikleri veya iç içe grup üyelikleri nedeniyle izin biriktirdiğinde ortaya çıkar. Düşük riskli bir kamu hizmeti hesabı olarak başlayan şey, kimsenin farkına varmadan kritik sistemlere erişebilen yüksek etkili bir tehdide sessizce gelişebilir.
Güvenlik ekipleri bu nedenle hizmet hesabı rollerini ve izinleri düzenli olarak gözden geçirmelidir; Erişim aktif olarak yönetilmezse, iyi niyetli yapılandırmalar bile riskli bölgeye sürüklenebilir.
Reklam hizmeti hesaplarını güvence altına almak için temel uygulamalar
Etkili reklam hizmeti hesabı yönetimi, kasıtlı, disiplinli bir yaklaşım gerektirir, çünkü bu girişler uygun kullanım gerektiren yüksek değerli hedeflerdir. İşte güçlü bir reklam hizmeti hesabı güvenlik stratejisinin omurgasını oluşturan bazı en iyi uygulamalar:
En az ayrıcalığı zorlamak
Yalnızca her hesabın işlev görmesi için kesinlikle gerekli izinleri verir. Hizmet hesaplarını Domain Adims gibi geniş veya güçlü gruplara yerleştirmekten kaçının.
Yönetilen Hizmet Hesaplarını ve Grup Yönetilen Hizmet Hesaplarını Kullanın
Yönetilen Hizmet Hesapları (MSAS) ve Grup Yönetilen Hizmet Hesapları (GMSA) otomatik şifre rotasyonu sağlar ve etkileşimli girişler için kullanılamaz – bu onları geleneksel kullanıcı hesaplarından daha güvenli hale getirir ve güvenli bir şekilde bakımı daha kolay hale getirir.
Düzenli olarak denetleyin
Hesap kullanımını, girişlerini ve izin değişikliklerini izlemek için yerleşik reklam denetimi veya üçüncü taraf araçlarını kullanın. Yanlış kullanım veya yanlış yapılandırma belirtileri izleyin.
Güçlü şifre politikalarını uygulamak
Uzun, karmaşık parolalar standart olmalıdır. Yeniden kullanılan veya sabit kodlu kimlik bilgilerinden kaçının. Parolalar düzenli olarak döndürülmeli veya otomatik takımlar yoluyla yönetilmelidir.
Kullanımı kısıtlamak
Servis hesapları etkileşimli girişlere izin vermemelidir. Herhangi bir potansiyel uzlaşma içerecek şekilde her hizmete veya uygulamaya benzersiz bir hesap atayın.
Kullanılmayan hesapları aktif olarak devre dışı bırakın
Bir hesap artık kullanılmıyorsa, hemen devre dışı bırakılmalıdır. Periyodik PowerShell sorguları bayat veya aktif olmayan hesapların belirlenmesine yardımcı olabilir.
Ayrı roller
Uygulama hizmetleri, veritabanı erişimi, ağ görevleri gibi farklı işlevler için farklı hizmet hesapları oluşturun. Bu bölümlendirme, herhangi bir uzlaşmanın etki yarıçapını azaltır.
Gerektiğinde MFA uygulayın
Hizmet hesapları interaktif girişleri desteklemese de, bazı örnekler istisnalar gerektirebilir. Bu kenar durumları için MFA’nın güvenliği artırmasını sağlayın.
Özel organizasyon birimlerini kullanın
Hizmet hesaplarının belirli kuruluş birimlerinde (OUS) gruplandırılması, politika uygulama ve denetimi kolaylaştırır. Ayrıca anormallikleri tespit etmeyi ve tutarlılığı korumayı kolaylaştırır.
Bağımlılıkları inceleyin ve erişimi
Ortamlar geliştikçe, her hizmet hesabının ne için kullanıldığını ve hala aynı erişim seviyesine ihtiyacı olup olmadığını tekrar ziyaret edin. Hesapları buna göre ayarlayın veya emekli olun.
Otomasyon ve Araçlar Reklam Servis Hesabı Güvenliği
SPECOPS Password Auditer, herhangi bir reklam ayarını değiştirmeden zayıf şifreleri, kullanılmayan hesapları ve diğer güvenlik açıklarını tanımlamak için Active Directory’nin okunur taramalarını gerçekleştirir. Yerleşik raporlar ve uyarılar ile güvenlik ekipleri, bir ihlalin gerçekleşmesini beklemek yerine proaktif olarak reklam hizmet hesabı risklerini ele alabilir. Şifre yönetimi, politika uygulama ve denetimin otomatikleştirilmesi hem güvenliği güçlendirir hem de idari ek yükü azaltır. Ücretsiz indirin.
Sorun bulmak bir şeydir, ancak önlemeye de odaklanmamız gerekir. Bu makalede listelenen diğer en iyi uygulamaların manuel olarak uygulanması küçük bir başarı değildir. Neyse ki, SpecOps parola politikası gibi araçlar, bu işlemlerin çoğunu otomatikleştirmeye yardımcı olabilir ve bu en iyi uygulamaları tüm Active Directory ortamınızda yönetilebilir ve ölçeklenebilir bir şekilde uygular. Bugün bir SpecOps şifre politikası demosu rezervasyonu yapın.