我们发现有这样一个问题可用来判断IT部门的安全能力。这个问题并不是有关他们的认证、预算、防火墙或者下一代行为分析工具,这些常见的信息安全做法都无法有效缓解简单安全配置错误带来的风险。这个问题是:是否所有用户都有对工作站的管理权限。那么,为什么这个问题可以判断他们的信息安全能力呢?
我们听到IT部门的借口通常包括这几样。他们解释说他们的软件需要管理访问权限,如果没有就无法运行。其他人则解释这样可让用户更容易地对应用进行软件更新,因为让用户可自己安装软件,IT部门就不会有太多工作要做。
放下借口
这些借口有一定的道理。有些应用确实需要对工作站的管理权限访问,这些应用通常需要直接访问硬件,它们不使用标准的Windows API。这些类型的应用示例包括集成自定义CD/DVD刻录工具或者硬件许可证加密狗。然而,这些应用例外并不足以让IT部门为所有用户提供管理访问权限;毕竟这样做的风险太高。
同时,大多数IT部门都缺乏人才资源,IT部门的员工都需要做各种各样的事情。检查每个应用并确定适当的安全权限已经成为IT遥远的记忆。
新应用经济和DevOps式管理让系统管理技能黯然失色。不仅没有人有时间来正确配置安全,当他们试图花时间来构建安全的系统时,实际上还会被视为障碍。没有人意识到花费在安全配置系统的时间可确保企业的安全投资获得最大的投资回报率。
那些允许所有用户对Windows计算机具有管理访问权限的企业更容易受到攻击。攻击者只需要让受害者访问带有恶意有效载荷的网页或者打开附件即可,随后该有效载荷可通过受害者的登录凭证安装在所有用户机器中。攻击者还可禁用防病毒软件允许他们使用更多工具进行进一步攻击。他们甚至可清除事件日志来掩盖攻击者的踪迹并防止被发现。
大多数企业没有意识到的最大问题是,在这样的攻击情况中,攻击者还可访问存在于被攻击机器中所有的凭证信息。Mimikatz等工具可用于直接从系统内存获取这些秘密。复杂的27个字符的密码都会失去作用,即使是上世纪90年代的旧工具Cain&Abel都可用于从Windows电脑提取凭证信息。
最初配置系统的电脑技术人员已经缓存本地存储的凭证信息,这些都可以被访问以及破解,电脑中运行的服务账号也容易受到攻击。通过利用这些凭证信息,攻击者可访问网络中所有计算机,并可通过有效的登录信息轻松地横向移动,让检测几乎变得不可能。他们可利用这些技术访问一台电脑,最终获取对网络的域管理员权限,这样的话,我们将看到严重的数据泄露事故。
保护您的企业
对于这种攻击,最佳防御是严格限制管理权限以减少曝光。这样,当攻击者试图在工作站升级其权限,这样您就有机会可抓到他们。
大多数需要管理权限的应用只需要访问“C:Program Files”目录或者“C:Windows”下的系统目录。它们还可能需要能够写入到用户配置文件外注册表区域,例如“HKLM”。微软Sysinternals中的Process Explorer和Process Monitor等免费工具可有效识别注册表及文件系统中的这些权限问题。
然而,如果没有投入所需的时间来配置,这些工具将无法发挥作用。IT人员可与管理层合作,向他们说明妥善管理的机器可减少支持技术基础设施的整体成本。这种成本降低而非风险降低技术会让大多数企业更好地理解以及作出响应。如果所有这些都失效,则应该考虑向管理层展示mimikatz或类似工具清除测试计算机中所有凭证的过程。如果这都不能吸引他们的注意力,那就没有其他了。