您的位置:www.85058.com > 互联网资讯 > 卡巴斯基2017年企业信息系统的安全评估报告www

卡巴斯基2017年企业信息系统的安全评估报告www

发布时间:2019-11-17 10:48编辑:互联网资讯浏览(158)

    密码是用于授予用户访问关键业务资源的最流行的身份验证方法。根据2018年的身份验证报告,全球超过一半的公司仅使用密码来保护其知识产权和财务信息。这并不是有效可行的方法,因为许多专家不再将密码视为安全的身份验证形式。这并不是说使用密码本质上是错误的,但很多人在使用密码时往往表现得非常糟糕。

    原标题:卡巴斯基2017年企业信息系统的安全评估报告

    随着用户每天访问的网站和应用程序的数量,他们通常更喜欢创建常见的,易于记忆的密码。事实上,网络犯罪分子依赖于您和您的员工遵循这一坏习惯,因此他们可以使用字典攻击等复杂攻击轻松侵入您组织的网络。

    引言

    www.85058.com 1

    卡巴斯基实验室的安全服务部门每年都会为全球的企业开展数十个网络安全评估项目。在本文中,我们提供了卡巴斯基实验室2017年开展的企业信息系统网络安全评估的总体概述和统计数据。

    什么是字典攻击?

    本文的主要目的是为现代企业信息系统的漏洞和攻击向量领域的IT安全专家提供信息支持。

    在字典攻击中,网络犯罪分子试图使用由大量单词组成的字典文件来获取密码,包括常用字典单词,具有字符替换的密码(例如,p @ ssw0rd),以及来自数据泄露的泄漏密码。随着密码泄露的增加,攻击者现在拥有一组密码泄露的密码来有效地执行字典攻击。

    我们已经为多个行业的企业开展了数十个项目,包括政府机构、金融机构、电信和IT公司以及制造业和能源业公司。下图显示了这些企业的行业和地区分布情况。

    ManageEngine Active Directory的域密码策略是否足够抵御网络攻击?

    目标企业的行业和地区分布情况

    www.85058.com,考虑到密码的重要性,您希望Active Directory具有强大的机制来保护它们。很遗憾,该机制- 域密码策略设置- 充其量只是初步防御。即使启用了密码复杂性,域用户仍然可以使用常见的易受攻击的密码。即使在您阅读本文时,您的一些员工也很有可能使用的密码是您公司名称和创建密码的月份和年份的组合。

    www.85058.com 2

    美国国家标准与技术研究院在其数字身份指南中建议禁止已知常用,预期或受损的密码。但是,Active Directory没有内置机制来完成此任务。

    漏洞的概括和统计信息是根据我们提供的每种服务分别总结的:

    www.85058.com 3

    外部渗透测试是指针对只能访问公开信息的外部互联网入侵者的企业网络安全状况评估

    内部渗透测试是指针对位于企业网络内部的具有物理访问权限但没有特权的攻击者进行的企业网络安全状况评估。

    Web应用安全评估是指针对Web应用的设计、开发或运营过程中出现的错误导致的漏洞(安全漏洞)的评估。

    使用ADSelfService Plus将Active Directory中常见的易受攻击的密码列入黑名单

    本出版物包含卡巴斯基实验室专家检测到的最常见漏洞和安全缺陷的统计数据,未经授权的攻击者可能利用这些漏洞渗透公司的基础设施。

    ManageEngine ADSelfService Plus允许您阻止用户选择包含字典单词,模式,部分用户名或旧密码的常用密码。 ADSelfService Plus中的密码策略实施器功能支持Active Directory密码策略中不可用的高级密码策略设置。这些设置包括字典规则和模式检查器以及其他13个设置。通过强制执行这些设置,您可以确保用户选择攻击者无法破解的强密码。

    针对外部入侵者的安全评估

    ADSelfService Plus具有高级规则的密码策略实施准则,包括字典规则.

    我们将企业的安全等级划分为以下评级:

    ADSelfService Plus支持的密码策略设置

    非常低

    中等偏下

    中等偏上

    字典规则允许您导入包含密码列表和泄露密码的字典,并防止用户选择与该字典中的值匹配的密码。您还可以编辑字典以包含您想要限制的单词列表。

    我们通过卡巴斯基实验室的自有方法进行总体的安全等级评估,该方法考虑了测试期间获得的访问级别、信息资源的优先级、获取访问权限的难度以及花费的时间等因素。

    模式检查工具允许您限制用户在其密码中包含常见模式,例如qwer,asdf和12345。您还可以编辑模式列表包括公司名称,特定日期等模式。

    安全级别为非常低对应于我们能够穿透内网的边界并访问内网关键资源的情况(例如,获得内网的最高权限,获得关键业务系统的完全控制权限以及获得关键的信息)。此外,获得这种访问权限不需要特殊的技能或大量的时间。

    在您的组织的密码策略方面,没有设置并忘记它的规则。密码攻击技术在不断发展,根据用户行为和威胁,您需要定期检查密码策略并根据需要进行更新。 ADSelfService Plus可以帮助您在Active Directory中实施强密码策略控制,以便您可以保持所需的安全级别。

    安全级别为高对应于在客户的网络边界只能发现无关紧要的漏洞(不会对公司带来风险)的情况。

    目标企业的经济成分分布

    www.85058.com 4

    目标企业的安全等级分布

    www.85058.com 5

    根据测试期间获得的访问级别来划分目标企业

    www.85058.com 6

    用于穿透网络边界的攻击向量

    大多数攻击向量成功的原因在于不充分的内网过滤、管理接口可公开访问、弱密码以及Web应用中的漏洞等。

    尽管86%的目标企业使用了过时、易受攻击的软件,但只有10%的攻击向量利用了软件中的未经修复的漏洞来穿透内网边界(28%的目标企业)。这是因为对这些漏洞的利用可能导致拒绝服务。由于渗透测试的特殊性(保护客户的资源可运行是一个优先事项),这对于模拟攻击造成了一些限制。然而,现实中的犯罪分子在发起攻击时可能就不会考虑这么多了。

    建议:

    除了进行更新管理外,还要更加注重配置网络过滤规则、实施密码保护措施以及修复Web应用中的漏洞。

    www.85058.com 7

    利用 Web应用中的漏洞发起的攻击

    我们的2017年渗透测试结果明确表明,对Web应用安全性的关注仍然不够。Web应用漏洞在73%的攻击向量中被用于获取网络外围主机的访问权限。

    在渗透测试期间,任意文件上传漏洞是用于穿透网络边界的最广泛的Web应用漏洞。该漏洞可被用于上传命令行解释器并获得对操作系统的访问权限。SQL注入、任意文件读取、XML外部实体漏洞主要用于获取用户的敏感信息,例如密码及其哈希。账户密码被用于通过可公开访问的管理接口来发起的攻击。

    建议:

    应定期对所有的公开Web应用进行安全评估;应实施漏洞管理流程;在更改应用程序代码或Web服务器配置后,必须检查应用程序;必须及时更新第三方组件和库。

    用于穿透网络边界的Web应用漏洞

    www.85058.com 8

    利用Web应用漏洞和可公开访问的管理接口获取内网访问权限的示例

    www.85058.com 9

    第一步

    利用SQL注入漏洞绕过Web应用的身份验证

    第二步

    利用敏感信息泄露漏洞获取Web应用中的用户密码哈希

    第三步

    离线密码猜测攻击。可能利用的漏洞:弱密码

    第四步

    利用获取的凭据,通过XML外部实体漏洞(针对授权用户)读取文件

    第五步

    针对获取到的用户名发起在线密码猜测攻击。可能利用的漏洞:弱密码,可公开访问的远程管理接口

    第六步

    在系统中添加su命令的别名,以记录输入的密码。该命令要求用户输入特权账户的密码。这样,管理员在输入密码时就会被截获。

    第七步

    获取企业内网的访问权限。可能利用的漏洞:不安全的网络拓扑

    利用管理接口发起的攻击

    虽然“对管理接口的网络访问不受限制”不是一个漏洞,而是一个配置上的失误,但在2017年的渗透测试中它被一半的攻击向量所利用。57%的目标企业可以通过管理接口获取对信息资源的访问权限。

    通过管理接口获取访问权限通常利用了以下方式获得的密码:

    利用目标主机的其它漏洞(27.5%)。例如,攻击者可利用Web应用中的任意文件读取漏洞从Web应用的配置文件中获取明文密码。

    使用Web应用、CMS系统、网络设备等的默认凭据(27.5%)。攻击者可以在相应的文档中找到所需的默认账户凭据。

    发起在线密码猜测攻击(18%)。当没有针对此类攻击的防护措施/工具时,攻击者通过猜测来获得密码的机会将大大增加。

    从其它受感染的主机获取的凭据(18%)。在多个系统上使用相同的密码扩大了潜在的攻击面。

    在利用管理接口获取访问权限时利用过时软件中的已知漏洞是最不常见的情况。

    www.85058.com 10

    利用管理接口获取访问权限

    www.85058.com 11

    通过何种方式获取管理接口的访问权限

    www.85058.com 12

    管理接口类型

    www.85058.com 13

    建议:

    定期检查所有系统,包括Web应用、内容管理系统(CMS)和网络设备,以查看是否使用了任何默认凭据。为管理员帐户设置强密码。在不同的系统中使用不同的帐户。将软件升级至最新版本。

    大多数情况下,企业往往忘记禁用Web远程管理接口和SSH服务的网络访问。大多数Web管理接口是Web应用或CMS的管理控制面板。访问这些管理控制面板通常不仅可以获得对Web应用的完整控制权,还可以获得操作系统的访问权。获得对Web应用管理控制面板的访问权限后,可以通过任意文件上传功能或编辑Web应用的页面来获取执行操作系统命令的权限。在某些情况下,命令行解释程序是Web应用管理控制面板中的内置功能。

    建议:

    严格限制对所有管理接口(包括Web接口)的网络访问。只允许从有限数量的IP地址进行访问。在远程访问时使用VPN。

    利用管理接口发起攻击的示例

    第一步 检测到一个只读权限的默认社区字符串的SNMP服务

    第二步

    通过SNMP协议检测到一个过时的、易受攻击的思科IOS版本。漏洞:cisco-sa-20170629-snmp( https://tools.cisco. com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170629-snmp)。

    该漏洞允许攻击者通过只读的SNMP社区字符串进行提权,获取设备的完全访问权限。利用思科发布的公开漏洞信息,卡巴斯基专家Artem Kondratenko开发了一个用来演示攻击的漏洞利用程序( https://github.com/artkond/cisco-snmp-rce)。 第三步 利用ADSL-LINE-MIB中的一个漏洞以及路由器的完全访问权限,我们可以获得客户的内网资源的访问权限。完整的技术细节请参考 https://kas.pr/3whh 最常见漏洞和安全缺陷的统计信息

    最常见的漏洞和安全缺陷

    www.85058.com 14

    针对内部入侵者的安全评估

    我们将企业的安全等级划分为以下评级:

    非常低

    中等偏下

    中等偏上

    我们通过卡巴斯基实验室的自有方法进行总体的安全等级评估,该方法考虑了测试期间获得的访问级别、信息资源的优先级、获取访问权限的难度以及花费的时间等因素。安全级别为非常低对应于我们能够获得客户内网的完全控制权的情况(例如,获得内网的最高权限,获得关键业务系统的完全控制权限以及获取关键的信息)。此外,获得这种访问权限不需要特殊的技能或大量的时间。

    安全级别为高对应于在渗透测试中只能发现无关紧要的漏洞(不会对公司带来风险)的情况。

    在存在域基础设施的所有项目中,有86%可以获得活动目录域的最高权限(例如域管理员或企业管理员权限)。在64%的企业中,可以获得最高权限的攻击向量超过了一个。在每一个项目中,平均有2-3个可以获得最高权限的攻击向量。这里只统计了在内部渗透测试期间实践过的那些攻击向量。对于大多数项目,我们还通过bloodhound等专有工具发现了大量其它的潜在攻击向量。

    www.85058.com 15

    www.85058.com 16

    www.85058.com 17

    这些我们实践过的攻击向量在复杂性和实践步骤数(从2步到6步)方面各不相同。平均而言,在每个企业中获取域管理员权限需要3个步骤。

    获取域管理员权限的最简单攻击向量的示例:

    攻击者通过NBNS欺骗攻击和NTLM中继攻击拦截管理员的NetNTLM哈希,并利用该哈希在域控制器上进行身份验证;

    利用HP Data Protector中的漏洞CVE-2011-0923,然后从lsass.exe进程的内存中提取域管理员的密码

    获取域管理员权限的最小步骤数

    www.85058.com 18

    下图描述了利用以下漏洞获取域管理员权限的更复杂攻击向量的一个示例:

    使用包含已知漏洞的过时版本的网络设备固件

    使用弱密码

    在多个系统和用户中重复使用密码

    使用NBNS协议

    SPN账户的权限过多

    获取域管理员权限的示例

    www.85058.com 19

    第一步

    利用D-Link网络存储的Web服务中的漏洞。该漏洞允许以超级用户的权限执行任意代码。创建SSH隧道以访问管理网络(直接访问受到防火墙规则的限制)。

    漏洞:过时的软件(D-link)

    第二步

    检测到思科交换机和一个可用的SNMP服务以及默认的社区字符串“Public”。思科IOS的版本是通过SNMP协议识别的。

    漏洞:默认的SNMP社区字符串

    第三步

    利用思科IOS的版本信息来发现漏洞。利用漏洞CVE-2017-3881获取具有最高权限的命令解释器的访问权。

    漏洞:过时的软件(思科)

    第四步

    提取本地用户的哈希密码

    第五步

    离线密码猜测攻击。

    漏洞:特权用户弱密码

    第六步

    NBNS欺骗攻击。拦截NetNTLMv2哈希。

    漏洞:使用NBNS协议

    第七步

    对NetNTLMv2哈希进行离线密码猜测攻击。

    漏洞:弱密码

    第八步

    使用域帐户执行Kerberoasting攻击。获得SPN帐户的TGS票证

    第九步

    从思科交换机获取的本地用户帐户的密码与SPN帐户的密码相同。

    漏洞:密码重用,账户权限过多

    关于漏洞CVE-2017-3881(思科IOS中的远程代码执行漏洞)

    在CIA文件Vault 7:CIA中发现了对此漏洞的引用,该文档于2017年3月在维基解密上发布。该漏洞的代号为ROCEM,文档中几乎没有对其技术细节的描述。之后,该漏洞被分配编号CVE-2017-3881和cisco-sa-20170317-cmp。

    该漏洞允许未经授权的攻击者通过Telnet协议以最高权限在思科IOS中执行任意代码。在CIA文档中只描述了与开发漏洞利用程序所需的测试过程相关的一些细节; 但没有提供实际漏洞利用的源代码。尽管如此,卡巴斯基实验室的专家Artem Kondratenko利用现有的信息进行实验研究重现了这一高危漏洞的利用代码。

    关于此漏洞利用的开发过程的更多信息,请访问 https://kas.pr/fk8g, https://kas.pr/amv7。

    最常用的攻击技术

    通过分析用于在活动目录域中获取最高权限的攻击技术,我们发现:

    用于在活动目录域中获取最高权限的不同攻击技术在目标企业中的占比

    www.85058.com 20

    NBNS/LLMNR欺骗攻击

    www.85058.com 21

    我们发现87%的目标企业使用了NBNS和LLMNR协议。67%的目标企业可通过NBNS/LLMNR欺骗攻击获取活动目录域的最大权限。该攻击可拦截用户的数据,包括用户的NetNTLMv2哈希,并利用此哈希发起密码猜测攻击。

    安全建议:

    建议禁用NBNS和LLMNR协议

    检测建议:

    一种可能的解决方案是通过蜜罐以不存在的计算机名称来广播NBNS/LLMNR请求,如果收到了响应,则证明网络中存在攻击者。示例:https://blog.netspi.com/identifying-rogue-nbns-spoofers/,https://github.com/Kevin-Robertson/Conveigh

    如果可以访问整个网络流量的备份,则应该监测那些发出多个LLMNR/NBNS响应(针对不同的计算机名称发出响应)的单个IP地址。

    NTLM中继攻击

    www.85058.com 22

    在NBNS/LLMNR 欺骗攻击成功的情况下,一半的被截获的NetNTLMv2哈希被用于进行NTLM中继攻击。如果在NBNS/LLMNR 欺骗攻击期间拦截了域管理员帐户的NetNTLMv2哈希,则可通过NTLM中继攻击快速获得活动目录的最高权限。

    42%的目标企业可利用NTLM中继攻击(结合NBNS/LLMNR欺骗攻击)获取活动目录域的最高权限。47%的目标企业无法抵御此类攻击。

    安全建议:

    防护该攻击的最有效方法是阻止通过NTLM协议的身份验证。但该方法的缺点是难以实现。

    身份验证扩展协议(EPA)可用于防止NTLM中继攻击。

    另一种保护机制是在组策略设置中启用SMB协议签名。请注意,此方法仅可防止针对SMB协议的NTLM中继攻击。

    检测建议:

    此类攻击的典型踪迹是网络登录事件(事件ID4624,登录类型为3),其中“源网络地址”字段中的IP地址与源主机名称“工作站名称”不匹配。这种情况下,需要一个主机名与IP地址的映射表(可以使用DNS集成)。

    或者,可以通过监测来自非典型IP地址的网络登录来识别这种攻击。对于每一个网络主机,应收集最常执行系统登录的IP地址的统计信息。来自非典型IP地址的网络登录可能意味着攻击行为。这种方法的缺点是会产生大量误报。

    利用过时软件中的已知漏洞

    www.85058.com 23

    本文由www.85058.com发布于互联网资讯,转载请注明出处:卡巴斯基2017年企业信息系统的安全评估报告www

    关键词: