Konfiguracje i wartości domyślne w środowiskach IT mogą narażać sieć i użytkowników na niebezpieczeństwo. Nie jest to popularne zagadnienie, a przez to także rzadko omawiane w dziedzinie bezpieczeństwa informatycznego. W bieżącym artykule opiszę zagrożenia, jakie mogą wystąpić, jeśli nie zwrócimy uwagi na ustawienia atrybutów początkowych podczas instalacji aplikacji czy też konfiguracji sieci.
Dlaczego domyślna konfiguracja nie jest najbezpieczniejsza?
Najszybszym i najłatwiejszym sposobem uruchomienia urządzenia lub oprogramowania jest zaakceptowanie ustawień wyjściowych. Aprobując wszystkie sugerowane nastawy unikamy kłopotów związanych z konfiguracją. To, że schemat został zaproponowany przez producenta, nie oznacza, że jest zalecany i bezpieczny – przynajmniej nie w dłuższej perspektywie.
Dostawcy definiują ustawienia wstępne stawiając na pierwszym miejscu pozytywne wrażenia klientów i użyteczność. Konfigurując nowy smartfon zawsze istnieje możliwość pominięcia funkcji bezpieczeństwa. Może to być np. identyfikacja twarzy czy zabezpieczenie odcisków palców. Wstępnie przygotowany draft ma jednak tylko charakter tymczasowy, aby umożliwić szybkie rozpoczęcie korzystania z produktu. Struktura nastaw musi zostać zaktualizowana lub zmieniona, w przeciwnym razie ryzyku podlega bezpieczeństwo sieci i prywatność użytkowników.
Dobrym podejściem jest wykorzystanie narzędzia, które pozwoli na zarządzanie zmianami konfiguracji urządzeń sieciowych w czasie rzeczywistym. Sprosta temu z pewnością Network Configuration Manager, czyli system do zarządzania konfiguracją urządzeń. Za jego pomocą możemy zdefiniować standardowe praktyki i zasady, jak również przeprowadzić audyt pod kątem naruszeń. Dodatkowo, zyskamy opcję porównania bieżących ustawień sprzętu ze szkicem, który został utworzony i chcemy go zaimplementować.
Profile nastaw dla urządzeń działających pod systemem Windows, Mac, Linux wykonamy przy użyciu oprogramowania do zarządzania IT Desktop Central. Jest to system z obszaru ITSM, który zautomatyzuje wdrażanie poprawek, wspomoże w zarządzaniu paczkami aktualizacyjnymi czy też udostępni wstępnie zdefiniowane schematy ustawień w aspekcie zasad zabezpieczeń.
Przyjrzyjmy się teraz różnym obszarom sieci, które zawierają niepokojące ustawienia wstępne, a także sposobom ich poprawy:
1. Niebezpieczne hasła domyślne
Omawianie prawidłowego używania i rotacji haseł w kontekście domyślnych ustawień zabezpieczeń, można określić już jako standard. Ważne jest jednak, aby zdać sobie również sprawę, że hasła nie są tylko dla użytkowników. Przykładowe typy haseł:
- administratora – często zdarza się, że potężne konta mają słabe hasła. Na przykład lokalne konta administratora służące do konfigurowania serwerów w sieci, jednak w większości przypadków na tym kończy się ich rola. Konta te pozostają z niezmienionymi domyślnymi lub przewidywalnymi hasłami, co czyni je głównym celem ataków. W środowiskach, takich jak Active Directory, Azure lub Amazon Web Services poświadczenia kont zarządzających mogłyby być bezpieczne. Niestety, przez ich ponowne wykorzystywanie i udostępnianie innym osobom w sieci, stają się zagrożeniem.
- routera – te urządzenia działają głównie jak brama. Osoba, która ma klucz do tego elementu sieci może w łatwy sposób zmienić ustawienia i przejąć nad nią kontrolę. Każdy, kto ma odpowiednią wiedzę będzie w stanie uzyskać dostęp do urządzeń podłączonych do Wi-Fi i wykraść poufne informacje.
- użytkowników lokalnych – hasła do kont lokalnych urządzeń (podobnie jak w przypadku lokalnych administratorów) są często takie same na różnych serwerach. Producent dostarcza je jako domyślne, ale pozostają niezmienione po początkowej konfiguracji.
- baz danych – są to na przykład poświadczenia kont, które były używane do konfigurowania lub zarządzania wewnętrznymi serwerami baz danych typu MSSQL lub Oracle, ale nigdy nie zostały zmienione.
Dostępy do zasobów sieciowych i aplikacji możemy sprawnie skontrolować używając managera haseł uprzywilejowanych Password Manager Pro lub systemu do zarządzania dostępem uprzywilejowanym PAM360. Dzięki wykorzystaniu programu, automatycznie zresetujemy poświadczenia do serwerów, baz danych, urządzeń sieciowych oraz innych źródeł. Natomiast, tworząc rolę na bazie obowiązków zawodowych danego pracownika, ograniczymy jego uprawnienia do niezbędnego minimum. Co więcej, odpowiednio definiując parametry, użytkownik końcowy może logować się do określonego zasobu nie znając nawet hasła.
2. Niebezpieczne predefiniowane zasady
Zasady bezpieczeństwa w sieci mają kluczowe znaczenie dla kontrolowania dostępu pracowników i decydowania o tym, co użytkownik może zrobić. Przyjmując lokalną infrastrukturę usługi AD, istnieje kilka norm zabezpieczeń w obiektach zasad grupy. Warto je skonfigurować.
Gdy powyższa opcja jest włączona, skróty haseł są przechowywane w lokalnej bazie Security Account Manager systemu Windows lub AD. Mogą być wyodrębnione z pamięci i złamane przez atakujących w celu uzyskania poświadczeń w postaci zwykłego tekstu.
Oto kilka dodatkowych domyślnych reguł ochrony, których błędna konfiguracja może narażać organizację na znaczne ryzyko:
Do not allow storage of password and credentials for network authentication.
Należy włączyć tę zasadę, ponieważ gdy użytkownik uwierzytelnia się w udziale sieciowym, serwerze Proxy albo używa oprogramowania klienckiego i zaznacza pole „Remember my password”, poświadczenie jest zwykle przechowywane w skarbcu, a zapisane hasła można zobaczyć za pośrednictwem menedżera poświadczeń, do którego istnieje ryzyko włamania.
User Account Control: Only elevate executable files that are signed and validated.
Gdy to ustawienie jest włączone, administratorzy mogą kontrolować i zezwalać na uruchamianie tylko legalnych i autoryzowanych aplikacji z uprawnieniami administratora.
Control access to CMD (wiersz polecenia).
Jeśli ta zasada jest włączona, pozwala zapobiec atakom z wiersza polecenia i próbom zbierania informacji sieciowych.
All removable storage classes: Deny all access.
Ustawienie to uniemożliwi użytkownikom podłączenie dysków USB do stacji roboczych.
W przypadku infrastruktur chmurowych, takich jak Azure AD, jest podobnie. Każdy dzierżawca ma przygotowaną wstępną strukturę zabezpieczeń. Należy jednak pamiętać, że reguły na platformie Azure zapewniają organizacji tylko podstawowy poziom bezpieczeństwa, nie stanowią one pełnej strategii ochrony.
Wspomniana platforma oferuje bardziej szczegółowe i bezpieczne normy dostępu warunkowego w celu rozwiązania powyższego problemu, ale należy zakupić licencję Premium. Zyskamy wtedy silniejszą kontrolę nad zabezpieczeniami. Warto też zwrócić uwagę, że użytkownicy w dzierżawie platformy Azure mają możliwość zapraszania użytkowników-gości, a oni mogą zapraszać kolejnych.
Mamy tutaj do czynienia z konfiguracją domyślną. Choć goście nie posiadają uprawnień równych uprawnieniom użytkownika będącego członkiem organizacji, nadal mają dostęp do odczytu poufnych zasobów platformy Azure – takich jak dane użytkownika, członkowie grup administratorów i aplikacje dla przedsiębiorstw.
ManageEngine przygotowało system, który pomaga w administrowaniu platformą Azure AD. Wdrażając oprogramowanie do zarządzania Office 365, M365 Manager Plus, będziemy mieć możliwość efektywnego kontrolowania całego środowiska. Także raportowania i monitorowania wielu jego elementów. Możemy przejrzeć zdarzenia dotyczące akcji użytkowników, grup, ale też prześledzić raporty odnoszące się do sfery zarządczej aplikacji, jak ostatnio dodane lub usunięte uprawnienia OAuth 2.0, zmodyfikowane role administracyjne czy uprawnienia do uwierzytelniania aplikacji.
3. Niebezpieczne „publiczne” ustawienia domyślne w sieci
Każde środowisko IT obejmuje kilka części sieci, do których użytkownicy mają dostęp i są w stanie je modyfikować – przykładowo udziały na serwerach plików. Te publiczne miejsca można określić również jako niebezpieczne domyślne. Po utworzeniu udziałów, dane w nich są rzadko monitorowane pod kątem zmian. Biorąc pod uwagę, że akcje są możliwe nawet dla użytkowników bez uprawnień, jest to idealne miejsce do ataków. Atakujący może umieścić złośliwe oprogramowanie z nazwą pliku-przynęty w udziale. Następnie, posługując się użytkownikami końcowymi, rozprzestrzeni złośliwe oprogramowanie w środowisku.
Istnieje ryzyko, że pliki i foldery systemowe odpowiedzialne za konfigurację sieci mogą zostać usunięte lub uprawnienia mogą być zmodyfikowane przez podmioty stwarzające zagrożenie. Nie jest to ustawienie domyślne i w większości przypadków tylko administratorzy, lub upoważnieni użytkownicy, uzyskują dostęp do tych plików systemowych (domyślnie). Pliki są rzadko monitorowane pod kątem zmian – klasyczny przykład nienadzorowanego ustawienia wyjściowego, które może stać się zagrożeniem dla bezpieczeństwa.
Dobrą praktyką jest także monitorowanie środowisk chmurowych, które mają publiczne lokalizacje magazynów, takie jak AWS i Azure AD.
Konfiguracja zasobnika AWS S3 może być ustawiona jako publiczna, jak na ekranie powyżej. Niezależnie od tego czy została ona autoryzowana, czy też nie, ważne jest, aby kontrolować obiekty wewnątrz zasobu pod kątem zmian oraz utrzymywać listę weryfikującą wszystkie ogólnodostępne. Na platformie Azure, wszyscy użytkownicy domyślnie mogą rejestrować aplikacje i ustawić uprawnienia do wyrażenia zgody w swoim imieniu.
Atakujący często oszukują użytkowników końcowych, aby wyrazili zgodę na nielegalne aplikacje za pomocą ataków phishingowych.
Po uzyskaniu odpowiedniej aprobaty, agresor otrzymuje dostęp na poziomie konta bez kradzieży poświadczeń, ani infekowania urządzenia. Następuje atak bez ujawniania hasła. Należy wyłączyć zasady, które umożliwiają użytkownikom rejestrowanie się i wyrażanie zgody na aplikacje. Jeśli nie jest to możliwe, trzeba monitorować przyzwolenia udzielone nowym użytkownikom.
Niebezpieczne ustawienia początkowe mogą przybierać wiele form w różnych lokalizacjach w sieci i należy być na to przygotowanym. Trzeba je aktualizować lub przynajmniej nadzorować pod kątem zmian.
Solidnym narzędziem do zbierania, weryfikacji i korelacji logów jest system SIEM do zarządzania środowiskiem IT Log360. Produkt ten wykona audyt serwerów w chmurze, takich jak AWS i Azure, platformy Office 365, środowiska Exchange oraz domen. Aplikację zintegrujemy z zewnętrznymi skanerami podatności i systemami badania zagrożeń. Analiza danych w czasie rzeczywistym pozwoli natomiast wygenerować alerty, dzięki którym zostaniemy powiadomieni, gdy tylko wystąpi niepokojące zdarzenie.
Inne niebezpieczne wartości domyślne:
- nieużywanych (nieaktywnych) użytkowników z nieaktualnymi uprawnieniami,
- polecenia Sudo wykonywane w systemach Linux lub nieplanowane zadania cron (skrypty planujące zadania),
- zmiany w domyślnych kluczach rejestru, takich jak HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run, które powinny być modyfikowane tylko przez administratora lub autoryzowanego użytkownika,
- niezmienione reguły ruchu przychodzącego i wychodzącego zapory lub nieautoryzowane zmiany reguł,
- zmiany stanu komputera (wymuszone ponowne uruchomienie), co może wskazywać na atak brute-force,
- zatrzymanie usługi systemowej (takiej jak usługi tworzenia kopii zapasowych lub usługi dziennika zdarzeń), które może sygnalizować atak ransomware,
- domyślne partycje dysków zmodyfikowane na maszynach wirtualnych, a także podłączanie albo odłączanie sieciowego systemu plików,
- nieautoryzowana sieć podłączona poza sieciami domyślnymi.
Opisałem różne zagrożenia wynikające z użycia domyślnych profili nastaw, a także zwróciłem uwagę na konieczność ich poprawy. W czasach, gdy aktualizacja konfiguracji nie jest rozwiązaniem, należy wdrożyć strategię monitorowania i nadzorować ustawienia odnoszące się do nieautoryzowanych modyfikacji. Opisane w tekście systemy z portfolio ManageEngine są zdolne w wielu aspektach wspomagać bezpieczeństwo sieciowe i niwelować możliwe ryzyka. Kompleksowym narzędziem jest Log360, który rozwiąże wszelkie trudności na tle zarządzania dziennikami i ochrony sieci. Zachęcam do przyjrzenia się innym produktom, jak Password Manager Pro czy Network Configuration Manager, który podejdzie do środowiska pod kątem sprzętowym.
09.06.2021
Autor: marketing@mwtsolutions.eu
Kategorie: Aktualności Artykuł