网络攻击者可以使用你的特权用户凭证的3种隐藏方式

防止攻击者在您的网络中执行横向移动的能力不仅是威胁检测功能。我们将讨论下一些在企业网络中获得特权的用户凭证的最常见且最不可见的方式。

众所周知，域名管理员或其他高性能凭据是网络攻击者的黄金。通过“钥匙”，他们可以轻松地、无声地从一个系统移动到另一个系统，更改域属性，添加权限，更改密码以及连接到域中的任何计算机。大多数企业将大量资源用于仔细管理域服务器，并使用各种技术和实践来控制访问权限。但我们的经验表明，即使在最勤奋的组织中，攻击者也比您想象的更容易获得特权用户凭证。

1. “孤立的”证书

通过日常的IT支持活动，强大的凭证可能会在不经意间落在后面。假设财务部门的员工打电话给内部服务台，询问连接或应用程序问题。服务台人员使用域管理员凭据远程访问系统，进行故障排除并解决问题，但会在没有正确注销的情况下结束会话。这些域管理员凭据可能会保留在最终用户的系统上，直到他或她注销网络或重新启动系统。虽然这种情况并非恶意的，并且这种情况最终会自行纠正，但它会创建一个无形的漏洞窗口，如果在正确的时间，正确的位置。在金融、人力资源和其他领域，系统可能特别容易受到攻击，因为在这些领域，用户对安全性的认识较低，并且更经常成为网络钓鱼和恶意软件运动的目标。

2. 糟糕的本地管理实践

IT操作和安全性之间长期存在的问题或缺乏协调可能会在危险的系统部署实践中表现出来。从安全性角度来看，企业通常不应允许创建本地管理员，因为它们可以在服务器域的控制之外运行，使系统更容易受到恶意软件的攻击，并为各种安全违规行为打开大门。但是，为了提高效率，通常使用包含默认本地管理员用户的系统映像(黄金映像)和相同的默认密码构建标准端点。虽然这可能使IT管理员更方便，但攻击者现在有机会使用一个密码访问多台计算机。有了本地管理员权限，雇员或攻击者也更容易创建未授权的本地用户，通常只能通过查询每台机器来发现这些用户。

3. “影子”管理员

有充分的理由，分层防御体系结构包括某种形式的特权用户监控(PUM)或特权访问管理(PAM)，以便通过适当程度的风险缓解来处理这些凭证。但是，如果没有适当的注意，这可能会导致一种虚假的安全感。通过操作访问控制列表(ACL)，网络攻击者可以提升用户权限，从而创建具有域管理员访问但不属于域管理员组的“影子管理员”。一个客户，刚刚接过新工作的安全专员，故意分配给普通用户提升了相当于域管理员的权限。

当然，恶意IT人员或其他内部人员也可以故意创建影子管理员，也可能会意外创建影子管理员。鉴于服务器权限结构和组织要求，可能变得多么复杂，很容易出错，最终授予超出用户功能要求的权限。

通过可见性控制

随着探查和其他有助于自动横向移动的攻击 工具 的出现，防止滥用特权凭证的必要性变得更加迫切。强制执行特权访问策略不仅仅是正确配置服务器的问题。凭证冲突可能非常难以管理。这有两个主要原因：

• 这是典型的“大海捞针”问题。有如此多的安全数据可以轻易忽视严重问题。
• 凭证格局，我们称之为“访问足迹” 。即使在运营最好的企业中也在不断变化。在用户功能发生变化时，很难对身份和访问管理变更进行检测，因此与访问相关的安全漏洞很常见，但即使通过正常的业务运营，凭证也会存储并隐藏在不同地方。

即使在相对较小的企业中，也会消耗整个安全团队，以便不断识别和纠正凭据违规行为。从实际角度来看，自动化是必需的。这是所面临的挑战之一。它识别域管理凭据的位置，不断发现凭据违规行为，并提供自动化以帮助纠正它们，以便您可以发现并快速解决助长恶意横向移动的情况。

攻击者偶尔会突破你的防御是不可避免的，但是如果你不断地减少你的内部攻击面，你可以降低你企业的权限落入他们手中的风险，并且极大地阻碍他们到达目标的能力。