Redefinição de senha de rede segmentada em caso de invasão

4

Considerando a segmentação de rede, como defino o escopo de quais senhas serão redefinidas no caso de uma violação?

Change all your passwords for all accounts on all computers that are on the same network as the compromised systems. No really. All accounts. All computers. Yes, you're right, this might be overkill; on the other hand, it might not.

Histórico:

Enquanto trabalhava para escrever um plano de resposta a incidentes para o meu trabalho diário, consultei Como faço para lidar com um servidor comprometido? para algumas idéias sobre o que deve acontecer quando. Estou trabalhando com uma rede segmentada, conforme definido no PCI DSS Scoping Toolkit . Minha configuração envolve não-domínio e um domínio com segmentação interna aplicada.

    
por Tim Brigham 23.04.2013 / 19:30

2 respostas

1

Eu sugeriria duas áreas para olhar, dependendo do seu nível de sensibilidade (originalmente eu escrevi "paranoia" lá, mas acho que há um ponto válido a ser feito sobre escalar seu nível de resposta versus as conseqüências para não fazendo o suficiente).

Eu pessoalmente consideraria qualquer domínio do Windows AD (* outros serviços de gerenciamento centralizado de contas estão disponíveis, suponha que eu esteja falando sobre eles também ) que a vítima estava conectada como suspeita. Embora sejam menos prevalentes hoje em dia, houve ataques no passado usando a conta de 'usuário de domínio' capturada para autenticar no domínio e agir como um ponto de partida para comprometer as contas de administrador de domínio.

A outra área em que eu me preocupo é onde você pode ter um sistema fora do seu mecanismo de autenticação centralizado, mas onde um usuário reutilizou detalhes da conta. Uma vez que você tenha uma combinação de nome de usuário / senha reunida em uma fonte, é bastante trivial jogar essa combinação de volta em todos os outros sistemas que você pode encontrar para ver se funciona.

Por último, não se esqueça dos sistemas com os quais o servidor comprometido se conecta usando credenciais ocultas no próprio código (por exemplo, conexões de bancos de dados, etc.).

Se você está trabalhando para a definição de segmentação usada no kit de ferramentas de escopo, por exemplo, isolamento total , então você pode estar razoavelmente seguro de que o ataque não cruzou esses limites. Isso é realmente um bom lugar para começar. De muitas maneiras, trabalhando nisso antes de um problema, você já está muito muito à frente no jogo - escrevi a pergunta que você faz referência como guia para pessoas que não planejaram muito à frente.

    
por 23.04.2013 / 21:53
1

Eu interpretaria isso como todas as redes conectadas ao local onde a incursão ocorreu, estão sob seu controle administrativo e que estão conectadas por conectividade ip. Conectividade IP significa irrestrito ou permitido por uma regra de firewall. Essencialmente, qualquer rede possível em que o invasor possa girar de / para.

    
por 23.04.2013 / 21:50