Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
 

Описание угрозы

Тактика бокового движения (Lateral Movement) включает методы получения злоумышленником доступа и контроля над удаленными системами, подключенными к атакованной сети, а так же, в некоторых случаях, запуска вредоносных инструментов на удаленных системах, подключенных к атакованной сети. Боковое перемещение по сети позволяет злоумышленнику получать информацию из удаленных систем без использования дополнительных инструментов, таких как утилиты удаленного доступа (RAT).

Описание уязвимости

Передача билета (Pass the ticket, PtT) - это метод аутентификации в системе с использованием билетов Kerberos без доступа к паролю учетной записи. Аутентификацию Kerberos может быть использована в качестве первого шага для бокового перемещения в удаленную систему.
Действительные билеты Kerberos для действительных учетных записей могут быть скомпрометированы. В зависимости от уровня доступа злоумышленника могут быть получены билеты на обслуживание пользователя или билет на предоставление билетов (TGT). 
Серебряный билет (Silver Ticket) можно получить для служб, которые используют Kerberos в качестве механизма аутентификации и используются для создания билетов для доступа к этому конкретному ресурсу и системе, в которой размещен ресурс. 
Золотой билет (Golden Ticket) можно получить для домена с помощью хэша NTLM учетной записи службы распространения ключей KRBTGT, который позволяет генерировать TGTS для любой учетной записи в Active Directory.
Злоумышленник может “передать билет”, используя украденные билеты Kerberos, чтобы перемещаться в боковом направлении в среде, минуя обычный контроль доступа к системе.

Описание типа актива

Microsoft Windows любых версий
Объекты атаки Локальная сеть
Классификация
КЦД: Конфиденциальность ? Конфиденциальность / confidentiality Свойство информации быть недоступной или закрытой для неавторизованных лиц, сущностей или процессов. Целостность ? Целостность / integrity Свойство сохранения правильности и полноты активов.
Источники угрозы
Внешний нарушитель - Низкий потенциал ? Внешний нарушитель Находящийся вне информационной системы на момент начала реализации угрозы. Для реализации угроз в информационной системе внешний нарушитель...
Внутренний нарушитель - Низкий потенциал ? Внутренний нарушитель Находящийся внутри информационной системы на момент начала реализации угрозы. К внутренним нарушителям относят инсайдеров, несмотря на то...

Каталоги угроз

Техники ATT@CK:
T1550.003 Use Alternate Authentication Material: Pass the Ticket
Adversaries may “pass the ticket” using stolen Kerberos tickets to move laterally within an environment, bypassing normal system...

Связанные защитные меры

Название Дата Влияние
Community
9 25 / 34
Выделение ключевых систем в отдельную сеть (сегментация сети)
Разово Вручную Техническая Превентивная
03.05.2022
03.05.2022 9 25 / 34
Цель: защита ключевых активов от несанкционированного доступа на сетевом уровне.

Размещение ключевых систем в отдельных безопасных зонах / контурах безопасности и ограничение доступа в эти выделенные сегменты позволяет защитить наиболее критичные системы в случае компрометации основных сегментов сети компании.
В зависимости от особенностей компании в отдельные сегменты выделяют:
  • Технологические, производственные сети
  • Банковские системы
  • Инфраструктуру SWIFT
  • ПК руководства
  • Ключевые бизнес-системы
  • Системы персональных данных
Способы сегментации: 
  • Логический, с помощью технологий VLAN на сетевом оборудовании
  • Логический, на уровне управления виртуальной инфраструктурой
  • Физический, путем создания отдельных ЛВС для ключевых сегментов
Сегментирование предполагает ограничение/контроль доступа между сегментами на базовом уровне. Использование расширенного контроля средствами межсетевого экранирования выделено в отдельную защитную меру.

Рекомендации к заполнению карточки:
  • Указать перечень сегментов и их назначение 
  • Пояснить способы/технологии сегментации
  • Описать как настроено ограничение доступа (ACL)
  • Если сети учитываются в реестре активов - привязать их к карточке в качестве инструментов (тип актива Локальная сеть).
Community
2 7 / 31
Настройка безопасного канала для обмена данными в домене Active Directory
Постоянно Автоматически Техническая Превентивная
25.02.2022
25.02.2022 2 7 / 31
Цель: безопасность обмена данными между членами домена.
При присоединении компьютера к домену создается учетная запись компьютера. После этого при запуске системы для создания безопасного канала связи с контроллером домена используется пароль учетной записи компьютера.
Безопасный канал используется в доменной инфраструктуре для таких операций, как выполнение проверки подлинности NTLM, поиск имени или кода LSA и т. д.

1. Цифровая подпись или шифрование данных для организации безопасного канала
Весь трафик безопасного канала, инициированного членом домена, подписывается или шифруется. Безопасный канал не будет установлен до тех пор, пока не будет согласовано либо подписание, либо шифрование всего его трафика. Учетные данные, передаваемые по безопасному каналу, всегда шифруются, независимо от согласования шифрования остального трафика.

Настройка с помощью групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности. 
Параметр: Член домена: Всегда требуется цифровая подпись или шифрование потока данных безопасного канала. 
Значение: Включен
Подробнее на сайте Microsoft

2. Шифрование данных безопасного канала
Член домена пытается согласовать шифрование всего трафика безопасного канала, который он инициирует.

Настройка с помощью групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности. 
Параметр: Член домена: Шифрование данных безопасного канала, когда это возможно.
Значение: Включен
Подробнее на сайте Microsoft

3.Стойкий ключ сеанса для зашифрованных данных безопасного канала
Для зашифрованных данных безопасного канала устанавливается 128-разрядный ключ.
Чтобы использовать этот параметр на рабочих станциях и серверах, входящих в домен, все контроллеры, формирующие домен, должны работать под управлением операционной системы Windows 2000 или более поздней версии.

Настройка с помощью групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности. 
Параметр: Член домена: Требовать стойкий ключ сеанса (Windows 2000 или выше).
Значение: Включен
Подробнее на сайте Microsoft

Рекомендации к заполнению карточки: