Attacker sker dagligen och det är de attacker som ingen märkt av, eller känner till, som verkligen skadar verksamheten.
76% av alla attacker börjar med ett stulet konto/identitet, identiteter som idag finns på alla möjliga enheter och tjänster. I snitt tar en attack runt 8 månader och utan din vetskap kanske din miljö just nu är under attack. Det finns nu ett verktyg från Microsoft som kan identifiera detta! Innan vi går in på detta verktyg börjar vi med och tittar hur en attack ofta går till, enkelt förklarat, i tre olika steg:
Steg 1, stjäl någons identitet (lösenord)
I många fall skickas ett massutskick (SPAM) ut för att få användarna att uppge sina inloggningsuppgifter och/eller så väljer man ut helt vanliga användare. Oftast de där användarna som säger ”det är ingen som vill mig något, jag har inget hemligt” och som även har samma lösenord på den där matbloggen som det dom har till sitt konto i Active Directory. Alternativt någon form av ”brute force attack” eller keylogger för att få tag i ett lösenord och efter det har attackeraren kommit in på användaren dator.
Steg 2, identifiera en identitet med högre behörighet
Från användarens dator söker man sedan efter andra cachade identiteter med högre behörighet inom Active Directoryt, antingen på datorn i sig eller närliggande system som den specifika användaren har tillgång till. I många fall har någon på IT loggat in med ett konto medlem av ”Domain Admin”-gruppen för att installera en viss applikation eller vid installation/konfiguration av den aktuella datorn eller servern.
Steg 3, ta över kontrollen
När man väl identifierat detta konto och dess lösenord som är sparat i form av en lösenords-hash används detta och tekniken pass-the-hash eller pass-the-ticket (som vi sett ”hacker-demon” i 10 års tid demonstrera) för att logga in på en domän kontrollant.
När attackeraren väl kommit in på en domän kontrollant med full behörighet är spelet över. Attackeraren har full kontroll över allt inom verksamheten och kan göra precis vad den vill, inklusive att sopa igen sina spår.
Detta här är verkligheten! Attacker sker dagligen och det är de attacker som ingen märkt av eller känner till som verkligen skadar verksamheten.
Hur skyddar man sig?
Det finns flera sätt att minska risken för det här och skydda sig. Bara genom att få sig en tankeställare om tillvägagångssättet ovan brukar få de flesta att själv identifiera vad de behöver utföra för ändringar i sin infrastruktur.
Det intressanta är också att det finns något som har koll på allt ovanstående i form av försök till inloggningar, lyckade inloggningar och annan typ av access till olika tjänster och system inom din infrastruktur, nämligen ditt Active Directory!
Microsoft Advanced Threat Analytics (ATA)
Nu finns ett verktyg för att kunna identifiera den här typen av attacker och i god tid larma om att något suspekt pågår.
Microsoft Advanced Threat Analytics (ATA)! Verktyget är än så länge i Preview men kommer inom kort ut på marknaden.
Precis som namnet antyder är det dels ett analysverktyg som analyserar ditt Active Directory och gör följande:
- Identifierar risker i ditt AD – Allt i form av svaga protokoll, läsbara lösenord till kända sårbarheter
- Detekterar attacker mot system – Pass-the-Ticket, Pass-the-Hash till Bruteforce attacker med mera
- Upptäcker onormala beteenden – suspekt aktivitet eller helt enkelt inloggningar mot system som frångår vanligheten
ATA installeras i din lokala miljö och beroende på infrastruktur konfigureras en eller flera ATA Gateways med portspegling av dina domänkontrollanter. All information samlas sedan upp i ett ATA Center som även det konfigureras lokalt. Ingenting installerad på befintliga servrar eller domänkontrollanter och vid rätt konfiguration är ATA helt dolt även för någon som angriper miljön.
Efter implementation behöver ATA 2-3 veckor på sig för att bygga upp en baseline och därefter kommer den känna av ovanligheter och suspekta beteenden bland användarna. Vid incidenter kommer larm redovisas och det finns även möjligheter att konfigurera så det skickas ut ett mail när detta inträffas.
Enkelt test i Onevinns demomiljö där ATA larmar när vi skickar en osignerad LDAP förfrågan med ett domänadminkonto (vilket exponerar inloggningsuppgifterna):
Vi kan även göra sökningar och för att se över en viss användare och dess aktivitet.
Om vi kombinerar den här typen av teknik i vårat lokala Aktive Directory och sedan använder Azure Active Directory för extern access skulle vi enkelt kunna få rapporter vid suspekta beteenden av en identitet externt och då använda det interna ATA verktyget för att se all intern aktivitet med samma konto. Bästa av alla världar i det moderna samhället med dess enheter och tjänster som finns och används överallt av våra användare.
(Läs även https://itsakerhetsguiden.se/autentisering-i-azure/ )
Kort film om ATA
Läs mer här:
http://www.microsoft.com/en-ca/server-cloud/products/advanced-threat-analytics/
IT-Säkerhetsguiden 
Vad kostar det här och när kommer det i skarp version?
Det är fortfarande inte beslutat än. Jag återkommer så fort jag vet något om offentlig skarp release och prisuppgifter.
Skarp version av ATA släpptes i måndags och prismodellen är baserat per användare där där följande licenser innehåller även ATA:
Enterprise Mobility Suite (EMS)
Enterprise CAL (eCAL)
Enterprise Cloud Suite (ECS)
För övriga klienter finns även en ren ATA Licens som går att köpa separat.
Detaljerad info finns här: http://www.microsoft.com/en-us/server-cloud/products/advanced-threat-analytics/Purchasing.aspx
Pingback: Azure Advanced Threat Protection | IT-Säkerhetsguiden