Czym jest atak z wykorzystaniem srebrnego biletu?

Bilet w cyberbezpieczeństwie to zestaw danych uwierzytelniających używanych do uwierzytelniania użytkowników. Srebrny bilet to sfałszowany bilet utworzony przez nieautoryzowanego użytkownika. Sfałszowany srebrny bilet umożliwia atakującym przeprowadzenie cyberataku, który wykorzystuje słabości systemu uwierzytelniania Kerberos. W tym systemie usługa przyznawania biletów (TGS) służy jako token uwierzytelniający, zapewniając upoważnionym użytkownikom dostęp do określonych usług. Po udanym ataku sfałszowany srebrny bilet umożliwia atakującemu podszywanie się pod konto usługi i uzyskanie dostępu do zasobów sieciowych.

Atak z wykorzystaniem srebrnego i złotego biletu: czym się różnią?

Złoty bilet jest również wykorzystywany w cyberataku, w którym podszywający się atakujący uzyskują dostęp za pomocą fałszywych biletów uwierzytelniających. Jednak, zamiast podszywać się pod określoną usługę, jak w przypadku srebrnego biletu, złoty bilet podszywa się pod cały kontroler domeny. Oznacza to, że jeśli nieautoryzowany użytkownik ma złoty bilet, ma szerszy dostęp do wszelkich usług w domenie.

Srebrne i złote bilety to rodzaje sfałszowanych biletów, które wykorzystują protokół uwierzytelniania Kerberos. Główna różnica między tymi dwoma rodzajami ataku polega na poziomie dostępu uzyskiwanego przez nieautoryzowanych użytkowników.

Jak działają ataki z wykorzystaniem srebrnego biletu?

Oto pięć kroków podejmowanych przez atakującego w celu przeprowadzenia ataku z wykorzystaniem srebrnego biletu.

1. Atakujący narusza konto: w celu przeprowadzenia ataku z wykorzystaniem srebrnego biletu atakujący musi uzyskać dostęp do konta upoważnionego użytkownika. Atakujący może naruszyć konto, łamiąc słabe hasła w wyniku ataków siłowych, wyłudzania informacji lub złośliwego oprogramowania.

2. Atakujący wyodrębnia informacje o usłudze: po wejściu do sieci atakujący szuka cennych informacji o usługach, takich jak identyfikator zabezpieczeń (SID) i system nazw domen (DNS).

3. Atakujący uzyskuje hash NTLM: hash NTLM wywodzi się z hasła podszywającego się użytkownika i jest kluczem do szyfrowania i odszyfrowania sfałszowanych biletów usługi. Atakujący może uzyskać hasha NTLM za pomocą złamania w trybie offline, znanego również jako kerberoasting.

4. Atakujący fałszuje bilet: przy użyciu hasha NTLM atakujący fałszuje poprawną usługę przyznawania biletów w celu uwierzytelnienia w określonej usłudze.

5. Atakujący uzyskuje i wykorzystuje dostęp: po udanym sfałszowaniu biletu uzyskuje pełny dostęp do usługi. W większości przypadków atakujący nie zatrzymują się na tym etapie ataku i zaczynają poruszać się równolegle w atakowanej sieci.

Jak zapobiegać atakom z wykorzystaniem srebrnego biletu?

Oto cztery wskazówki ułatwiające zapobieganie atakom z użyciem srebrnego biletu.

Zasada niezbędnych minimalnych uprawnień (PoLP)

Zasada niezbędnych minimalnych uprawnień to podstawowa zasada w cyberbezpieczeństwie, która zaleca przyznawanie użytkownikom i systemom dostępu tylko do zasobów niezbędnych do wykonywania zadań służbowych. Stosowanie zasady PoLP i ograniczenie praw dostępu przez organizację ogranicza szanse cyberprzestępców na zwiększenie uprawnień w przypadku naruszenia sieci.

Używaj silnych haseł

Atak z wykorzystaniem srebrnego biletu nie wydarzy się, jeśli atakujący nie naruszy wcześniej autoryzowanego konta powiązanego z organizacją. Każde konto pracownika powinno być zabezpieczone silnym i niepowtarzalnym hasłem, trudnym do odgadnięcia lub złamania. Najlepszym sposobem na nadzorowanie praktyk pracowników w zakresie haseł jest korzystanie z menedżera haseł dla firm. Menedżery haseł zapewniają administratorom IT wgląd w nawyki pracowników w zakresie haseł oraz kontrolę nad nimi, zapewniając lepszą ochronę organizacji przed atakami związanymi z hasłami.

Włącz uwierzytelnianie wieloskładnikowe (MFA)

Uwierzytelnianie wieloskładnikowe dodaje dodatkową warstwę zabezpieczeń do kont, wymagając od użytkowników weryfikacji tożsamości za pomocą innych metod uwierzytelniania oprócz nazwy użytkownika i hasła. Organizacje muszą egzekwować stosowanie MFA, ponieważ ten środek bezpieczeństwa utrudnia naruszenie kont. Jedno z badań przeprowadzonych przez firmę Microsoft wykazało, że włączenie MFA może zablokować ponad 99,9% ataków związanych z naruszeniem konta.

Monitoruj ruch związany z uwierzytelnianiem

Regularne monitorowanie i nadzorowanie ruchu związanego z uwierzytelnianiem w sieci organizacji jest działaniem proaktywnym. Ta praktyka umożliwia organizacji wczesne wykrywanie i ograniczenie skutków nietypowej aktywności, zanim dojdzie do większych szkód.

Chroń organizację przed atakami z wykorzystaniem srebrnego biletu za pomocą rozwiązania KeeperPAM™

Rozwiązanie do zarządzania uprzywilejowanym dostępem (PAM) może pomóc w ochronie organizacji przed atakami z wykorzystaniem srebrnego biletu poprzez zarządzanie kontami uprzywilejowanymi i kontrolowanie ich. PAM zmniejsza prawdopodobieństwo uzyskania przez atakujących dostępu do kont uprzywilejowanych, ponieważ zapewnia administratorom solidne narzędzia do ich ochrony.

KeeperPAM to rozwiązanie, które wdraża dostęp na zasadzie niezbędnych minimalnych uprawnień oraz solidne zabezpieczenia za pomocą architektury zero-knowledge i zero-trust. KeeperPAM to połączenie trzech niezbędnych rozwiązań do zarządzania tożsamością i dostępem (IAM): Enterprise Password Manager (EPM), Keeper Secrets Manager (KSM) i Keeper Connection Manager (KCM). Razem zmniejszają one powierzchnię ataku w organizacji, zapewniając widoczność i bezpieczeństwo w odniesieniu do kont uprzywilejowanych.

Chcesz rozpocząć korzystanie z rozwiązania KeeperPAM? Już dziś poproś o demo.