CyberArk DNA Scan aneb Co všechno nevíte o svých privilegovaných účtech



Útočníci v kyberprostoru jsou stále o krok napřed před obránci IT (správci, bezpečnostním oddělením, auditory). Snaží se infiltrovat do sítí podniků a organizací, pokoušejí se narušovat jejich činnost, vydírat je anebo krást osobní a jiná citlivá data. K tomu využívají privilegované účty, protože právě ty mají přístup k citlivým informacím (pozor, nemusí přitom jít nutně jen o správcovské účty!).

Privilegované účty existují v každém podniku nebo organizaci a ve většině případů nejsou spravovány adekvátně. Většina organizací neví, kolik a kde má privilegovaných a servisních účtů, jak a jestli vůbec jsou správně zabezpečeny proti krádeži, kdy jim byla naposledy změněna hesla a kolik zaměstnanců je zná.

Navíc, velmi málo organizací má definováno, co je normální, obvyklá uživatelská či správcovská aktivita, a co již ne. Jen velmi málo organizací tedy přistupuje ke správě privilegovaných účtů na základě rizika, které zneužití takových účtů představuje.

Víte…?

  • kolik privilegovaných účtů má přístup k dané aplikaci či systému?
  • na kolika serverech zůstala hesla správců?
  • kolik kritických serverů je tím ohroženo?
  • kdy si naposled správci měnili hesla?
  • kde jsou umístěny SSH klíče?
  • kolik je pevně vložených pověření ve webových aplikacích?
  • kdo všechno má přístupy do SQL databází?
  • jak stará mají hesla servisní účty?

Odpovědi na tyto otázky a mnohé další vám dá tento článek.

Jak a čím se bránit?

CyberArk Discovery and Audit (DNA) Scan je nástroj, který dává organizacím vhled do privilegovaných účtů a do rizik, která jejich zneužití představuje. Umožňuje stanovit naléhavost řízení a správy privilegovaných účtů (které z nich ochránit nejdříve) a definovat způsob, jak je systémově zabezpečit.

Samotný nástroj je zdarma, skenování ale vždy musí provádět CyberArk partner. První skenování je při plánované dlouhodobější spolupráci zpravidla zdarma. Detaily jsou uvedeny níže.

Jak může být CyberArk DNA Scan užitečný?

Když uvážíme, že počet privilegovaných účtů v jedné organizaci obvykle přesahuje (někdy i několikrát!) počet účtů zaměstnanců, nemá v dnešní době velký smysl snažit se udržovat si přehled o privilegovaných účtech ručně. Je to neefektivní, málo bezpečné, časově náročné, přehled se obtížně aktualizuje, pravděpodobně bude vždy nekompletní a bude skoro určitě obsahovat chyby.

CyberArk DNA Scan je schopen najít a prozkoumat:

  • Účty v systémech Windows, Linux, Unix, Mac OS
  • Účty v databázích Microsoft SQL
  • Účty s přístupem k desktopům a serverům
  • Windows účty používané pro služby, plánované úlohy, aplikační fondy a virtuální adresáře IIS
  • Jména a hesla vložená do kódu aplikací aplikačních serverů WebSphere, WebLogic a IIS
  • Jména a hesla vložená do Ansible Playbooks
  • SSH klíče
  • Účty a přístupové klíče AWS IAM
  • Účty a páry klíčů webových služeb AWS EC2
  • Potenciální zneužití jmen a hesel privilegovaných účtů

Jak se CyberArk DNA Scan použije?

CyberArk DNA Scan se neinstaluje – balíček ve formě ZIP souboru obsahující vše potřebné (spustitelný soubor, pomocné knihovny, uživatelskou příručku, odpovědi na často kladené otázky a anonymizační nástroj) stačí jednoduše rozbalit a skenování může začít.

Pro skenování se potřebuje CyberArk DNA Scan přihlásit do skenovaného systému pomocí správcovského účtu. Pro Windows prostředí se jedná o doménové anebo lokální správce. Pro Linux/UNIX počítače je třeba přihlášení jako root. Pro skenování AWS vyžaduje Access ID a Secret, aby mohl skenovat IAM uživatele a EC2 instance.

Při skenování Windows sítě dále potřebuje znát adresu doménového řadiče, což umožní načíst seznam existujících počítačů zařazených do domény Active Directory. Pro samostatné Windows i Linux/UNIX počítače vyžaduje jejich IP adresy, jež lze zadat pomocí CSV souboru nebo rozsahu.

Ve světě Windows jsou podporovány téměř všechny verze operačního systému: servery od Windows 2000, pracovní stanice od Windows XP. Autentizace do Active Directory je možná pomocí LDAP a LDAPS. Skenování probíhá prostřednictvím protokolů WMI, SMB a SSH (v případě instalovaného nástroje Cygwin for Windows).

Ve světě Linux/UNIX jsou podporovány nejrozšířenější klony: Red Hat, Solaris, SUSE, Fedora, Oracle, AIX a MacOS. Autentizace je možná pomocí jmen a hesel nebo SSH klíčů. Podporovány jsou sudoers soubory. Nástroj umožňuje také skenování Linux/UNIX počítačů integrovaných do Active Directory pomocí AD Bridge (Centrify, Quest). Dokonce lze skenovat i VMware ESXi hostitele, a to pomocí SSH relace.

Skenování AWS probíhá prostřednictvím AWS API. CyberArk DNA Scan lze integrovat s nástrojem AWS Inspector.

Průběh skenování je podrobně zachycen v lozích nástroje. Navíc na Linux/UNIX počítačích si lze po skenování prohlédnout rovněž soubory bash_history.

Co je výsledkem skenování?

Po skenování vytvoří nástroj obsáhlou zprávu rozdělenou na několik částí.

V Executive Summary jsou uvedena základní fakta o provedeném skenu, tedy:

  • kdy, pod jakým účtem a co bylo skenováno,
  • počty a typy skenovaných počítačů,
  • počty a typy skenovaných účtů,
  • počty účtů, které nejsou v souladu s nastavenou politikou pro stáří hesla,
  • počty účtů a počítačů dostupných pomocí SSH klíčů,
  • počty SSH klíčů, které nejsou v souladu s nastavenou politikou pro stáří klíče, délku klíče a použitý šifrovací algoritmus,
  • shrnutí zranitelností sítě pomocí krádeže hesel.

Taktéž jsou zde k dispozici přehledné mapy znázorňující možnosti útoku na síť prostřednictvím Pass-the-Hash, Golden Ticket a prostřednictvím zneužití SSH klíčů. Z map je zřetelně vidět, které počítače a účty mohou zapříčinit zmíněné útoky a které počítače jsou těmito útoky ohroženy.

Na stránce Windows Scan jsou uvedeny skenované počítače (jméno, typ, verze OS), účty (jméno, typ, kategorie, členství ve skupinách, stav, čas posledního přihlášení), zranitelnost útokem Pass-the-Hash, zda je účet účtem servisním a parametry hesla.

V části Unix Scan jsou vypsány skenované počítače (jméno, verze OS), účty (jméno, typ, kategorie, členství ve skupinách, stav, čas posledního přihlášení), zranitelnosti využitím Insecure Privilege Escalation, počty a parametry SSH klíčů.

Stránka SSH Key Trusts informuje o SSH klíčích (umístění, přiřazení k účtům, stav, vlastnosti, stáří, použití, umístění).

List Domain Scan uvádí nalezené servisní účty, jejich parametry a počítače, na kterých byly nalezeny.

Část Database Scan zachycuje skenované databázové servery Microsoft SQL (jméno, instance, verze) a privilegované účty (jméno, typ, kontext, přiřazení k databázi, kategorie, role, přístupová práva, stav).

Stránka Hard-Coded Credentials představuje nalezené webové aplikační servery (jméno, typ, verze aplikačního serveru, verze OS) a privilegované účty (jméno, výskyt pověření v kódu aplikace, délku hesla, cílový systém).

Pokud některý počítač není skenován, je uveden důvod na listu Scan Errors, a to včetně doporučení, jak chybu odstranit.

S nástrojem CyberArk DNA Scan snadno získáte odpovědi na otázky z úvodu a vytvoříte tak spolehlivé podklady pro nápravu zjištěných nedostatků.

Prvotní sken bývá zpravidla zdarma a získáte ho díky svému CyberArk partnerovi, s nímž spolupracujete, či plánujete dlouhodobě spolupracovat. Neznáte-li svého CyberArk partnera, požádejte o sken na stránce cyberark.com – SCAN YOUR NETWORK. CyberArk vás bude prostřednictvím svého partnera kontaktovat.

Richard Juřík, Senior Infrastructure Security Consultant, ANECT a.s., Jan Celba, Infrastructure Security Consultant, ANECT a.s.

Ukázka výstupu z nástroje CyberArk DNA ScanUkázka výstupu z nástroje CyberArk DNA Scan


(17. 9. 2019 | redakce2)

Facebook Twitter
Komentáře, názory a rady

Zatím sem nikdo nevložil žádný komentář. Buďte první...

>>> Číst a vkládat komentáře <<<

NOVINKA: Pozoruhodné IT produkty 2019 podruhé
Ani tentokrát si nenechte ujít produkty, které vám mohou pomoci ve vaší práci v IT.

Pozoruhodné IT produkty pro rok 2019
Náš první letošní seznam zajímavých produktů, které byste určitě neměli minout






Články čtenářů

Pomalý notebook HP s Windows 10 - a ...


Jestli máte trable s pomalým počítačem od HP (nebo i od jiné velké značky), tak jste na tom stejně, jako jsem ještě před pár hodinami byl já. Zkoušel jsem řadu osvěd...

Slow HP Windows 10 notebook - and wh...


If you have trouble with a slow computer from HP (or even another big brand), you've the same problem I had a few hours ago. I tried a number of proven recipes, but ...

Komentáře čtenářů

TBW
Dobrý den. Koukám že váš článek je z roku 2016. Dnes je rok 2019 a situace může být odlišná. Můj dotaz z...>>
Podnikání na youtube
Zdravím, měl bych pár dotazů týkajících se podnikání na youtube. Četl jsem na http://techhity.cz/media/j...>>
Zdá se mi to nebezpečné
Přijde mi to už docela nebezpečné, že půjde platit i prostřednictvím televize. Ale pokrok nezastavíme. C...>>


©2011-2019 BusinessIT.cz, ISSN 1805-0522 | Názvy použité v textech mohou být ochrannými známkami příslušných vlastníků.
Provozovatel: Bispiral, s.r.o., kontakt: BusinessIT(at)Bispiral.com | Inzerce: Best Online Media, s.r.o., zuzana@online-media.cz
Používáme účetní program Money S3
O vydavateli | Pravidla webu BusinessIT.cz a ochrana soukromí | pg(7255)