+

WO2024117925A1 - Preventing unauthorized access to a corporate network - Google Patents

Preventing unauthorized access to a corporate network Download PDF

Info

Publication number
WO2024117925A1
WO2024117925A1 PCT/RU2022/000352 RU2022000352W WO2024117925A1 WO 2024117925 A1 WO2024117925 A1 WO 2024117925A1 RU 2022000352 W RU2022000352 W RU 2022000352W WO 2024117925 A1 WO2024117925 A1 WO 2024117925A1
Authority
WO
WIPO (PCT)
Prior art keywords
objects
access
privileges
hva
corporate network
Prior art date
Application number
PCT/RU2022/000352
Other languages
French (fr)
Russian (ru)
Inventor
Александр Викторович БАЛАШОВ
Павел ЧЕРЕПАНОВ
Иван Григорьевич НАГОРНОВ
Никита Сергеевич ГЛАЗУНОВ
Александр Игоревич СОЛОМАТИН
Original Assignee
Публичное Акционерное Общество "Сбербанк России"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Публичное Акционерное Общество "Сбербанк России" filed Critical Публичное Акционерное Общество "Сбербанк России"
Priority claimed from RU2022131236A external-priority patent/RU2799117C1/en
Publication of WO2024117925A1 publication Critical patent/WO2024117925A1/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems

Definitions

  • HVA The concept of HVA refers to network objects that store critical information for the full functioning of the network infrastructure and the compromise of which can lead to critical or irreversible consequences in its operation. Examples of this type of asset include:
  • - Groups such as: Enterprise Admins; Domain Admins, Backup Operators, Server Operators;
  • ACL - Access control list and ACE - Access control entries that are located in the Microsoft Active Directory (MS AD) directory service to manage the granting of access to each of the objects, managing such permissions is extremely difficult. Also, the ability to manage is complicated due to the lack of a graphical representation of control objects and the connections between them. Failure to configure access control lists and entries (ACLs and ACEs) is a common security configuration flaw.
  • a solution is known from the prior art for generating a representation of the network structure in the form of a graph for subsequent modeling of the attack vector on network nodes (US 20170032130 A1, 02/02/2017).
  • the solution describes an event information and response system (SIEM), into which data is transmitted to simulate attack vectors that may indicate anomalous activity on the network.
  • SIEM event information and response system
  • the technical result is to increase the efficiency of protecting the corporate network from compromising objects and gaining access to highly privileged assets.
  • the claimed technical result is achieved through a method for preventing compromise of directory service objects (MS AD) in a corporate network, performed using a computing device and containing the steps of:
  • HVA highly privileged objects
  • MS AD objects associated with the HVA, which allow access to them through current access privileges, or their change, or through horizontal movement through the network;
  • access parameters between MS AD objects represent at least one of: privilege relationships between objects to which these privileges apply, permissions between objects, trust parameters between domains.
  • MS AD object privileges are access tokens with associated user privileges.
  • access token privileges are a way to change the level of access to an MS AD object on a corporate network.
  • each MS AD object represents at least one of: users, computers, security groups, group policies (Group Policy Object), organizational units (Organizational Unit), trust relationships between domains.
  • errors in the MS AD security configuration are monitored on the identified subgraph, based on error checking rules in the configuration of MS AD objects.
  • adjustments are made to access privilege configurations on MS AD objects.
  • the claimed solution is also implemented using a system for preventing compromise of directory service objects (MS AD) in a corporate network, wherein the system contains at least one processor and memory storing machine-readable instructions, which, when executed by the processor, implement the above method.
  • MS AD directory service objects
  • FIG. 1 illustrates a block diagram of the claimed method.
  • FIG. Figure 2 illustrates an example of an MS AD object graph.
  • FIG. Figure 3 illustrates an example of a subgraph of MS AD objects.
  • FIG. 4 illustrates an example of a computing system.
  • FIG. 1 shows a flowchart of the stages of the claimed method (100) for preventing the compromise of MS AD objects in the corporate network.
  • a call is made to MS AD to obtain information on objects.
  • Data collection can be performed by an automated data collection module.
  • Data collection is performed using the Windows API and the LDAP namespace function to collect data from domain controllers and Windows-based systems joined to the domain.
  • Windows API and the LDAP namespace function to collect data from domain controllers and Windows-based systems joined to the domain.
  • a text file can be generated in one of the formats: .json, .csv, .html or data can be transferred via one of the well-known transmission protocols (syslog, smtp, etc.) to the database.
  • transmission protocols simple mail transfer protocols
  • MS AD objects are parsed, which are, for example, Security Descriptors, presented in SDDL (Security Descriptor Definition Language) format. -3anncefi.
  • the security descriptor in turn contains the owner SID, the object's primary group SID and two lists (AC) - SACL (system access control list), DACL (discretionary access control list).
  • ACL is a list of entries (ACE) that identifies objects trusted for management and defines access rights - allowing, denying or auditing for these objects.
  • ACE includes a list of records with the fields: SID of the object for which access rights are determined, access mask, ACE type, sign of inheritance of access rights to the object.
  • MS AD high privileged objects (HVA) in the corporate network are determined based on the rules and ACL and ACE parsing.
  • the specified rules represent, for example, an analysis of the number of connections of an HVA object with other MS AD objects (for example, a connection with five or more objects).
  • HVAs can also be technical or service accounts with more connections or enhanced access privileges.
  • data collection occurs in stages for each object class. For example, changes to HVA are collected first, and information on related objects is also updated first and in the shortest possible time. Collection is carried out using multi-threaded technologies, which in turn allows for the fastest possible receipt of data and updates on this data. The collection is carried out within the framework of a special LDAP connection between the data collection module and the domain controller. The connection is protected by additional organizational methods of information protection (strict firewall rules, specific permissions of security devices (SD), and so on), as well as monitoring tools. Data transfer is carried out using SSL for the LDAP protocol.
  • step (103) determines the objects associated with the HVA, which can, subject to the use of current access privileges, or their change, or by moving horizontally through the network, gain access over the HVA.
  • Table 1 below provides several examples of these types of access privileges.
  • Identifying all MS AD objects associated with the HVA is necessary for link analysis for subsequent graph construction in step (104) to find short routes to the HVA.
  • the nodes are MS AD objects
  • the edges are access parameters between MS AD objects.
  • the graph node can be: group policy, computer, user, OU tree structure or group.
  • the connections (edges) are access parameters, in particular, the privileges of one object over another, user sessions, group membership, access with the local administrator level, etc.
  • An example of a relationship would be the following entities: the object is a member of a group, the user has administrative privileges on the computer, the object is subject to group policy, the user has an active session on the computer, and other types of entities.
  • FIG. 2 shows an example of a graph (200) generated at step (104), displaying current connections between MS AD objects.
  • an automated modeling of an attack path against the HVA is performed based on the obtained graph at step (104).
  • a subgraph (300) is determined, shown in FIG. 3.
  • nodes are defined that allow you to gain control over the HVA or associated MS AD objects using at least one of: transferring current access rights, changing current access rights, adding new access rights, or using current access rights .
  • graph and “subgraph” should be understood as modeling the display of MS AD objects for which automated information processing is performed using an automated analytical algorithm aimed at monitoring the state of domain zones of the corporate network and responding to changes in its objects.
  • the user group USER-ADM and all its members (participants) have ForceChangePassword privileges over the Exchange Admin user.
  • the Exchange Admin user has GenericAll privileges (this privilege allows you to perform any action, such as adding new users to this group) over the ADMSYSTEMS group.
  • the ADMSYSTEMS group has WriteDacl privileges (a privilege that allows you to change the ACL of the Domain Admins object, for example, adding full rights (GenericAll) over the Domain Admins group) over the Domain Admins group, which is the HVA in this case.
  • an attacker having compromised an account, for example - User 1, can gain domain administrator privileges by becoming a member of the Domain Admins group.
  • the attack vector could be: User 1 is a member of the User-ADM group. User 1 changes the password for the Exchange Admin user, using this user's Account adds his Account User 1 to the ADMSYSTEMS group, then for the ADMSYSTEMS group he gives full privileges to Domain Admins and makes his Account User 1 a member of the Domain Admins group.
  • Starter a node can be any object, or a group of objects that by default do not have critical privileges, but have the ability to expand their rights, or objects that initially have critical rights that affect access to the HVA. For example, some objects may have the "WriteDACL” permission, which allows you to change the access control entry (ACE) of the object and give the attacker full control over the object - effectively gaining "Generic AP" privileges over the target object.
  • ACE access control entry
  • Attack paths can be built in the opposite direction - from HVA to objects with critical privileges or other connections that allow privileges to be expanded horizontally.
  • ACEs access control entries
  • a real-time analysis of the graph display of the MS AD structure is performed.
  • the analysis can be performed using a special automated analytics module, which monitors the current state of access rights of MS AD objects and responds to changes in permissions regarding HVA.
  • information security threats are assessed in real time for timely response and signaling of changes regarding security trends.
  • An example of a sharp change in the security trend could be adding a new user to the domain administrators group, granting rights to manage any HVA, etc.
  • One of the particular examples of rules for responding to MS AD objects may be the following situations:
  • the claimed solution can additionally detect errors in the MS AD security configuration, based on the rules for checking errors in the configuration of MS AD objects. To do this, users are checked for certain privileges in their Access Tokens, which allow them to perform actions that bypass the ACLs of objects. This check can also be performed using an automated module that provides functionality to search for typical configuration errors in a domain controller. Configuration error analysis is performed using a verification mechanism (checker) to verify known domain controller vulnerabilities.
  • One option for checking privileges in access tokens is to run the "whoami /priv" command in a command shell, parsing and analyzing the received results, the analysis takes into account the name of the privilege in the access token and the status (enabled/disabled).
  • Table 2 below provides some examples of privileges in access tokens that are identified during configuration error detection. Table 2. Examples of privileges in access tokens
  • This configuration error check looks for common domain controller configuration errors and vulnerabilities.
  • One example of such errors is when Kerberos pre-authentication is disabled for a user (opening up the possibility of an ASREPRoast attack).
  • One option to check is to run the command "Get-DomainUser -PreauthNotRequired - verbose" through a command shell extension. The result of the command is a list of vulnerable accounts.
  • Another example of a typical error can be the presence of domain users in default MS AD groups with elevated privileges that do not contain any users.
  • groups are Account Operators, Backup Operators, Server Operators and others.
  • One option to verify the users of these groups is to run the command "Get-DomainGroupMember - Identity 'group name'" using the PowerShell command line extension and the PowerView library of additional functions and methods. The result of the work is a list of users with extended privileges.
  • the proposed solution may also use a recommendation mechanism.
  • Recommendations are a sequence of system PowerShell commands on Windows OS and comments. This mechanism can be implemented using an automated module that provides the output of contextual information to the user for the purpose of their execution and compensation of emerging security risks.
  • Recommendations have connections with attributes of MS AD objects, thus a certain set of attribute values is characterized by a recommendation for the system user.
  • recommendations can be presented in json format and displayed in the user interface for certain objects/relationships.
  • To remove permissions from an MS AD PowerShell directory service object use the “Remove-ADPermission” cmdlet.
  • a reporting generator can also be used, made in the form of an automated module that implements the functionality of generating reports.
  • the input data for the reporting module are objects and their attributes from the database.
  • the result of generating reports is a text file in one of the formats: pdf, html, xlsx.
  • One particular example of a report could be a statistical report with analytical elements, containing information on the following objects:
  • the infrastructure of almost all companies includes domains built on the basis of MS AD.
  • the claimed solution makes it possible to achieve the above technical result through constant monitoring of directory service object permissions and MS AD configuration errors, which significantly increases the effectiveness of security to prevent compromise of network objects.
  • An attacker getting into the network and attempting to lateralize and escalate privileges in order to compromise the HVA, is forced to change object permissions or exploit errors in the directory service configuration.
  • Constant monitoring of object permissions allows you to quickly identify such attempts and immediately respond to them, isolating the attacker from further progress, and in some cases, disconnecting him from the network.
  • the advantage of this solution is analysis of ACLs and ACEs of network objects, as well as MS AD configuration errors. Other solutions do not provide this kind of functionality, which leads to the fact that this type of security system is not able to notice and respond to such incidents.
  • FIG. 4 shows a general view of a computing system implemented on the basis of a computing device (300).
  • a computing device (300) contains one or more processors (301), memory devices such as RAM (302) and ROM (303), input/output interfaces (304), and input/output devices connected by a common data exchange bus. (305), and a networking device (306).
  • the processor (301) may be selected from a variety of devices commonly used today, such as those from IntelTM, AMDTM, AppleTM, Samsung ExynosTM, MediaTEKTM, Qualcomm SnapdragonTM and etc.
  • processor it is also necessary to take into account a graphics processor, for example an NVIDIA or ATI GPU, which is also suitable for carrying out the method (100) in whole or in part.
  • the memory means can be the available memory capacity of the graphics card or graphics processor.
  • RAM (302) is a random access memory and is designed to store machine-readable instructions executable by the processor (301) for performing the necessary logical data processing operations.
  • the RAM (302) typically contains executable operating system instructions and associated software components (applications, program modules, etc.).
  • the ROM (303) is one or more permanent storage devices, such as a hard disk drive (HDD), a solid state drive (SSD), flash memory (EEPROM, NAND, etc.), optical storage media ( CD-R/RW, DVD-R/RW, BlueRay Disc, MD), etc.
  • I/O interfaces To organize the operation of device components (300) and organize the operation of external connected devices, various types of I/O interfaces (304) are used. The choice of appropriate interfaces depends on the specific design of the computing device, which can be, but is not limited to: PCI, AGP, PS/2, IrDa, FireWire, LPT, COM, SATA, IDE, Lightning, USB (2.0, 3.0, 3.1, micro, mini, type C), TRS/Audio jack (2.5, 3.5, 6.35), HDMI, DVI, VGA, Display Port, RJ45, RS232, etc.
  • various means (305) of I/O information are used, for example, a keyboard, a display (monitor), a touch display, a touch pad, a joystick, a mouse, a light pen, a stylus, touchpad, trackball, speakers, microphone, augmented reality, optical sensors, tablet, light indicators, projector, camera, biometric identification tools (retina scanner, fingerprint scanner, voice recognition module), etc.
  • the network communication facility (306) enables the device (300) to transmit data via an internal or external computer network, such as an Intranet, Internet, LAN, or the like.
  • One or more means (306) may be used, but not limited to: Ethernet card, GSM modem, GPRS modem, LTE modem, 5G modem, satellite communication module, NFC module, Bluetooth and/or BLE module, Wi-Fi module and etc.
  • satellite navigation tools can also be used as part of the device (300), for example, GPS, GLONASS, BeiDou, Galileo.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

A method for preventing the compromise of directory service (MS AD) objects in a corporate network includes the steps of: acquiring, from an MS AD repository of a corporate network, data characterizing network objects and attributes thereof (101); identifying high-privilege objects (HVAs) in the MS AD and objects in the MS AD that are related to said HVAs and allow access thereto (102, 103); generating a graph, wherein the vertices represent MS AD objects and the edges represent the access parameters between said objects; modelling, with the aid of said graph, paths of attack on an HVA, and determining a subgraph containing vertices that allow control over an HVA or over MS AD objects related thereto (104); monitoring the MS AD objects to determine changes in the access privilege parameters on the vertices of the subgraph (105); transmitting data regarding objects identified on the subgraph to a control system if there is a change in the access privileges of said objects (106); managing the access privileges to the identified MS AD objects (107). The invention is directed toward providing more effective protection of a corporate network against the compromise of objects and against access to high-privilege objects.

Description

ПРЕДОТВРАЩЕНИЕ ПОЛУЧЕНИЯ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К КОРПОРАТИВНОЙ СЕТИ PREVENTING UNAUTHORIZED ACCESS TO THE CORPORATE NETWORK
ОБЛАСТЬ ТЕХНИКИ TECHNICAL FIELD
[ООО 1 ] Настоящее техническое решение относится к области обеспечения безопасности корпоративной сети, в частности, с помощью предотвращения получения несанкционированного доступа к объектам корпоративной сети, являющимися высокопривилегированными активами (англ. High Value Asset или HVA). [OOO 1] This technical solution relates to the field of corporate network security, in particular, by preventing unauthorized access to corporate network objects that are highly privileged assets (High Value Asset or HVA).
УРОВЕНЬ ТЕХНИКИ BACKGROUND OF THE ART
[0002] Понятие HVA относится к объектам сети, которые хранят критичную информацию для полноценного функционирования сетевой инфраструктуры и компрометация которых, может привести к критическим или необратимым последствиям в ее работе. К примерам такого рода активов можно отнести: [0002] The concept of HVA refers to network objects that store critical information for the full functioning of the network infrastructure and the compromise of which can lead to critical or irreversible consequences in its operation. Examples of this type of asset include:
- Контроллеры домена; - Domain controllers;
- Список администраторов домена; - List of domain administrators;
- Группы, такие как: Enterprise Admins; Domain Admins, Backup Operators, Server Operators; - Groups such as: Enterprise Admins; Domain Admins, Backup Operators, Server Operators;
- Сервера баз данных; - Database servers;
- AD CS (сервера центров сертификации) и др. - AD CS (certificate authority servers), etc.
[0003] Другим примером определения HVA в корпоративной сети может являться подход, предложенный компанией Microsoft® (https://docs.microsoft.com/ru- ru/security/compass/privileged-access-access-model). [0003] Another example of defining HVA in a corporate network can be the approach proposed by Microsoft® (https://docs.microsoft.com/ru-ru/security/compass/privileged-access-access-model).
[0004] Из-за огромного количества объектов, их списков и записей контроля доступа (ACL - Access control list и АСЕ - Access control entries), которые находятся в службе каталогов Microsoft Active Directory (MS AD) для управления предоставлением доступа каждому из объектов, управлять такими разрешениями чрезвычайно трудно. Также возможность управления усложняется ввиду отсутствия графического представления объектов управления и связей между ними. Ошибка настройки списков и записей контроля доступа (ACL и АСЕ) представляет собой типовой недостаток настройки безопасности. [0004] Due to the huge number of objects, their lists and access control entries (ACL - Access control list and ACE - Access control entries) that are located in the Microsoft Active Directory (MS AD) directory service to manage the granting of access to each of the objects, managing such permissions is extremely difficult. Also, the ability to manage is complicated due to the lack of a graphical representation of control objects and the connections between them. Failure to configure access control lists and entries (ACLs and ACEs) is a common security configuration flaw.
[0005] Находясь внутри корпоративной сети и имея сетевой доступ к службе каталогов, домену или даже в группе доменов (лес), злоумышленник будет анализировать полномочия и привилегии всех объектов относительно скомпрометированной учетной записи или хоста, к которому он имеет доступ и, возможно, контроль. Предметом анализа будет являться поиск короткого маршрута до высокопривилегированного актива, коим может являться хост или учетная запись разного типа (как администратора, так и сервисная или учетная запись компьютера). Реализуя набор действий по повышению привилегий и горизонтальному продвижению, злоумышленник будет производить эксплуатацию недостатков настройки безопасности списков и записей контроля доступа (ACL и АСЕ) контролируемого объекта, пока не получит контроль над необходимым высокопривилегированным активом . [0005] While inside a corporate network and having network access to a directory service, domain, or even a group of domains (forest), the attacker will analyze the powers and privileges of all objects relative to the compromised account or host, which he has access to and possibly control. The subject of the analysis will be the search for a short route to a highly privileged asset, which can be a host or an account of various types (both an administrator and a service or computer account). By implementing a set of privilege escalation and lateral promotion actions, the attacker will exploit the security configuration flaws of the access control lists and entries (ACLs and ACEs) of the controlled object until he gains control of the desired highly privileged asset.
Из уровня техники известно решение при формировании представления структуры сети в виде графа для последующего моделирования вектора атаки на узлы сети (US 20170032130 А1, 02.02.2017). Решение описывает систему событийного информирования и реагирования (SIEM), в которую передаются данные моделирования векторов атак, которые могут свидетельствовать об аномальной активности в сети. Формируется список рангов и критерий сложности доступа к тому или иному активу внутри сети, который может стать целью злоумышленников. A solution is known from the prior art for generating a representation of the network structure in the form of a graph for subsequent modeling of the attack vector on network nodes (US 20170032130 A1, 02/02/2017). The solution describes an event information and response system (SIEM), into which data is transmitted to simulate attack vectors that may indicate anomalous activity on the network. A list of ranks and a criterion for the difficulty of accessing a particular asset within the network, which may become a target for attackers, is generated.
[0006] Непокрытой областью вышеупомянутого SIEM решения является отсутствие анализа непосредственно службы каталогов и анализа существующих ACL и АСЕ объектов, что не позволяет определять существующие пути атак на HVA внутри корпоративной сети. [0006] An uncovered area of the above SIEM solution is the lack of analysis of the directory service itself and the analysis of existing ACLs and ACE objects, which does not allow identifying existing attack paths against HVA within the corporate network.
СУЩНОСТЬ ИЗОБРЕТЕНИЯ SUMMARY OF THE INVENTION
[0007] Решаемой технической проблемой в рамках заявленного решения является создание нового эффективного подхода для предотвращения компрометации объектов, позволяющих получить доступ к HVA. [0007] The technical problem solved within the framework of the claimed solution is the creation of a new effective approach to prevent the compromise of objects that allow access to the HVA.
[0008] Техническим результатом является повышение эффективности защиты корпоративной сети от компрометации объектов и получения доступа к высокопривилегированными активам . [0008] The technical result is to increase the efficiency of protecting the corporate network from compromising objects and gaining access to highly privileged assets.
[0009] Заявленный технический результат достигается за счет способа предотвращения компрометации объектов службы каталогов (MS AD) в корпоративной сети, выполняемый с помощью вычислительного устройства и содержащий этапы, на которых: [0009] The claimed technical result is achieved through a method for preventing compromise of directory service objects (MS AD) in a corporate network, performed using a computing device and containing the steps of:
- получают данные из хранилища MS AD корпоративной сети, характеризующие объекты сети и их атрибуты, включающие в себя по меньшей мере дескриптор безопасности, содержащий списки (ACL) и записи (АСЕ) контроля доступа объектов; - выполняют парсинг атрибутов объектов MS AD; - receive data from the MS AD storage of the corporate network, characterizing network objects and their attributes, including at least a security descriptor containing lists (ACLs) and records (ACEs) of object access control; - parsing attributes of MS AD objects;
- определяют высокопривилегированные объекты (HVA) MS AD в корпоративной сети на основании правил и парсинга ACL и АСЕ, причем правила представляют собой по меньшей мере количество связей HVA объекта с другими объектами MS AD; - determine MS AD highly privileged objects (HVA) in the corporate network based on rules and ACL and ACE parsing, the rules representing at least the number of connections of an HVA object with other MS AD objects;
- определяют объекты MS AD, связанные с HVA, которые позволяют получить к ним доступ посредством текущих привилегий доступа, или их изменения или посредством горизонтального продвижения по сети; - define MS AD objects associated with the HVA, which allow access to them through current access privileges, or their change, or through horizontal movement through the network;
- формируют граф на основе собранных данных, где узлами являются объекты MS AD, а ребрами - параметры доступа между объектами MS AD; - form a graph based on the collected data, where the nodes are MS AD objects, and the edges are access parameters between MS AD objects;
- выполняют моделирование пути атаки на HVA на основе полученного графа, на котором определяют по меньшей мере один подграф с объектами MS AD, содержащий узлы, позволяющие получить управление над HVA или связанными с ним объектами MS AD с помощью по меньшей мере одного из: передачи текущих прав доступа, изменения текущих прав доступа, добавления новых прав доступа, или использования текущих прав доступа;- perform modeling of the attack path on the HVA based on the resulting graph, on which at least one subgraph with MS AD objects is determined, containing nodes that allow you to gain control over the HVA or associated MS AD objects using at least one of: transfer of current access rights, changing current access rights, adding new access rights, or using current access rights;
- осуществляют мониторинг объектов MS AD для определения изменений параметров привилегий доступа на узлах, выявленных на подграфе; - monitor MS AD objects to determine changes in access privilege parameters on nodes identified in the subgraph;
- передают данные по выявленным на подграфе объектам в систему контроля при изменении их привилегий доступа; - transmit data on objects identified on the subgraph to the control system when their access privileges change;
- выполняют управление привилегиями доступа на выявленных объектах MS AD в части их изолирования от других объектов MS AD и/или понижения их привилегий доступа. - manage access privileges on identified MS AD objects in terms of isolating them from other MS AD objects and/or lowering their access privileges.
[0010] В одном из частных примеров осуществления параметры доступа между объектами MS AD представляют собой по меньшей мере одно из: связи привилегий между объектами, на которые эти привилегии распространяются, разрешения между объектами, параметры доверия между доменами. [0010] In one particular example implementation, access parameters between MS AD objects represent at least one of: privilege relationships between objects to which these privileges apply, permissions between objects, trust parameters between domains.
[ООН] В другом частном примере осуществления привилегии объектов MS AD представляют собой токены доступа с ассоциированными привилегиями пользователя. [UN] In another particular implementation, MS AD object privileges are access tokens with associated user privileges.
[0012] В другом частном примере осуществления привилегии токена доступа являются способом изменения уровня доступа к объекту MS AD корпоративной сети. [0012] In another particular embodiment, access token privileges are a way to change the level of access to an MS AD object on a corporate network.
[0013] В другом частном примере осуществления каждый объект MS AD представляет собой по меньшей мере одно из: пользователи, компьютеры, группы безопасности, групповые политики (Group Policy Object), организационные подразделения (Organizational Unit), доверительные отношения между доменами. [0013] In another particular embodiment, each MS AD object represents at least one of: users, computers, security groups, group policies (Group Policy Object), organizational units (Organizational Unit), trust relationships between domains.
[0014] В другом частном примере осуществления на выявленном подграфе осуществляют мониторинг ошибок в конфигурации безопасности MS AD, на основании правил проверки ошибок в конфигурации объектов MS AD. [0014] In another particular embodiment, errors in the MS AD security configuration are monitored on the identified subgraph, based on error checking rules in the configuration of MS AD objects.
[0015] В другом частном примере осуществления выполняют корректировку конфигураций привилегий доступа на объектах MS AD. [0015] In another particular embodiment, adjustments are made to access privilege configurations on MS AD objects.
[0016] Заявленное решение также осуществляется с помощью системы предотвращения компрометации объектов службы каталогов (MS AD) в корпоративной сети, при этом система содержит по меньшей мере один процессор и память, хранящую машиночитаемые инструкции, которые при их выполнении процессором реализуют вышеуказанный способ. [0016] The claimed solution is also implemented using a system for preventing compromise of directory service objects (MS AD) in a corporate network, wherein the system contains at least one processor and memory storing machine-readable instructions, which, when executed by the processor, implement the above method.
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ BRIEF DESCRIPTION OF THE DRAWINGS
[0017] Фиг. 1 иллюстрирует блок-схему выполнения заявленного способа. [0017] FIG. 1 illustrates a block diagram of the claimed method.
[0018] Фиг. 2 иллюстрирует пример графа объектов MS AD. [0018] FIG. Figure 2 illustrates an example of an MS AD object graph.
[0019] Фиг. 3 иллюстрирует пример подграфа объектов MS AD. [0019] FIG. Figure 3 illustrates an example of a subgraph of MS AD objects.
[0020] Фиг. 4 иллюстрирует пример вычислительной системы. [0020] FIG. 4 illustrates an example of a computing system.
ОСУЩЕСТВЛЕНИЕ ИЗОБРЕТЕНИЯ IMPLEMENTATION OF THE INVENTION
[0021] На Фиг. 1 представлена блок-схема выполнения этапов заявленного способа (100) предотвращения компрометации объектов MS AD в корпоративной сети. На первом этапе (101) выполняется обращение к MS AD для получения информации по объектам. Сбор данных может выполняться автоматизированным модулем сбора данных. Сбор данных выполняется с помощью Windows API и функции пространства имен LDAP для сбора данных с контроллеров домена и систем на базе ОС Windows, присоединенных к домену. При сборе информации автоматически определяется к какому домену принадлежит хост и осуществляется сбор основных данных об объекте, например, следующего вида: [0021] In FIG. 1 shows a flowchart of the stages of the claimed method (100) for preventing the compromise of MS AD objects in the corporate network. At the first stage (101), a call is made to MS AD to obtain information on objects. Data collection can be performed by an automated data collection module. Data collection is performed using the Windows API and the LDAP namespace function to collect data from domain controllers and Windows-based systems joined to the domain. When collecting information, it is automatically determined which domain the host belongs to and basic data about the object is collected, for example, the following type:
- Членство в группе безопасности; - Membership in the security group;
- Доверие домена; - Domain trust;
- Права на объекты Active Directory; - Rights to Active Directory objects;
- Ссылки на групповую политику; - Links to group policy;
- Структура дерева OU; - OU tree structure;
- Свойства объектов компьютера, группы и пользователя; - Права администратора SQL; - Properties of computer, group and user objects; - SQL administrator rights;
- И другие - And others
[0022] Дополнительно с каждого компьютера может собираться дополнительный набор данных: [0022] Additionally, an additional set of data can be collected from each computer:
- Члены группы локальных администраторов, удаленных рабочих столов, распределенных СОМ и групп удаленного управления; - Members of the local administrators group, remote desktops, distributed COM and remote control groups;
- Активные сеансы, соотнесенные с системами и хостами, в которых пользователи в интерактивном режиме вошли в систему. - Active sessions associated with systems and hosts where users are interactively logged on.
[0023] По итогам сбора данных может формироваться текстовый файл в одном из форматов: .json, .csv, .html или передача данных по одному из известных протоколов передачи (syslog, smtp и др.) в базу данных. Перед тем, как сохранить данные в любом из форматов (либо в БД, либо в текстовом файле), происходит парсинг атрибутов объектов MS AD, представляющих собой, например, дескрипторы безопасности (Security Descriptor), представленных в формате SDDL (Security Descriptor Definition Language)-3anncefi. [0023] Based on the results of data collection, a text file can be generated in one of the formats: .json, .csv, .html or data can be transferred via one of the well-known transmission protocols (syslog, smtp, etc.) to the database. Before saving data in any of the formats (either in a database or in a text file), the attributes of MS AD objects are parsed, which are, for example, Security Descriptors, presented in SDDL (Security Descriptor Definition Language) format. -3anncefi.
[0024] Дескриптор безопасности в свою очередь содержит SID владельца, SID основной группы объекта и два списка(АС ) - SACL (системный список управления доступом), DACL (дискреционный список управления доступом). ACL - представляет собой список записей (АСЕ), который идентифицирует доверенные для управления объекты и определяет права доступа - разрешающие, запрещающие или аудирующие для этих объектов. АСЕ включает список записей с полями: SID объекта, для которого определяются права доступа, маска доступа, тип АСЕ, признак наследования прав доступа к объекту. [0024] The security descriptor in turn contains the owner SID, the object's primary group SID and two lists (AC) - SACL (system access control list), DACL (discretionary access control list). ACL is a list of entries (ACE) that identifies objects trusted for management and defines access rights - allowing, denying or auditing for these objects. ACE includes a list of records with the fields: SID of the object for which access rights are determined, access mask, ACE type, sign of inheritance of access rights to the object.
[0025] При сборе данных могут использоваться также систему фильтров, позволяющих собирать только нужный набор данных в зависимости от настроек. Сбор данных осуществляется по планировщику или циклично. [0025] When collecting data, a system of filters can also be used, allowing you to collect only the desired set of data, depending on the settings. Data collection is carried out according to a scheduler or cyclically.
[0026] На этапе (102) определяют высокопривилегированные объекты (HVA) MS AD в корпоративной сети на основании правил и парсинга ACL и АСЕ. Указанные правила представляют собой, например, анализ количества связей HVA объекта с другими объектами MS AD (например, связь с пятью и более объектами). HVA также могут быть технические или сервисные учетные записи с большим количеством связей или расширенными привилегиями доступа. [0026] At step (102), MS AD high privileged objects (HVA) in the corporate network are determined based on the rules and ACL and ACE parsing. The specified rules represent, for example, an analysis of the number of connections of an HVA object with other MS AD objects (for example, a connection with five or more objects). HVAs can also be technical or service accounts with more connections or enhanced access privileges.
[0027] В зависимости от объекта контроллера домена и выделенных HVA, сбор данных происходит поэтапно для каждого класса объектов. Например, изменения по HVA собираются в первую очередь, и информация по связанным с ним объектами обновляются тоже в первую очередь и в максимально короткое время. Сбор ведется с использованием многопоточных технологий, что в свою очередь позволяет обеспечить максимально быстрое получение данных и обновлений по этим данным. Сбор осуществляется в рамках специального LDAP - подключения между модулем сбора данных и контроллером домена. Подключение защищенно дополнительными организационными методами защиты информации (жесткие правила межсетевого экрана, специфические разрешения устройств защиты (УЗ) и так далее), а также средствами мониторинга. Передача данных осуществляется с использованием SSL для протокола LDAP. [0027] Depending on the domain controller object and allocated HVA, data collection occurs in stages for each object class. For example, changes to HVA are collected first, and information on related objects is also updated first and in the shortest possible time. Collection is carried out using multi-threaded technologies, which in turn allows for the fastest possible receipt of data and updates on this data. The collection is carried out within the framework of a special LDAP connection between the data collection module and the domain controller. The connection is protected by additional organizational methods of information protection (strict firewall rules, specific permissions of security devices (SD), and so on), as well as monitoring tools. Data transfer is carried out using SSL for the LDAP protocol.
[0028] После сбора данных объектов MS AD на этапе (103) определяются объекты, связанные с HVA, которые могут при условии использования текущих привилегий доступа, или их изменения, либо с помощью горизонтального продвижения по сети, получить доступ над HVA. В Таблице 1 ниже приведены несколько примеров такого рода привилегий доступа. [0028] After collecting the MS AD object data, step (103) determines the objects associated with the HVA, which can, subject to the use of current access privileges, or their change, or by moving horizontally through the network, gain access over the HVA. Table 1 below provides several examples of these types of access privileges.
Таблица 1. Примеры привилегий доступа
Figure imgf000008_0001
Table 1. Examples of access privileges
Figure imgf000008_0001
[0029] Выявление всех объектов MS AD, связанных с HVA, необходимо для анализа связей в целях последующего построения графа на этапе (104) для поиска коротких маршрутов до HVA. На формируемом графе узлами являются объекты MS AD, а ребрами - параметры доступа между объектами MS AD. [0029] Identifying all MS AD objects associated with the HVA is necessary for link analysis for subsequent graph construction in step (104) to find short routes to the HVA. In the generated graph, the nodes are MS AD objects, and the edges are access parameters between MS AD objects.
[0030] В качестве узла графа может выступать: групповая политика, компьютер, пользователь, структура дерева OU или группа. В качестве связей (ребер) выступают параметры доступа, в частности, привилегии одного объекта над другим, пользовательские сессии, членство в группах, доступ с уровнем локального администратора, и т.п. Например, примером связи будут являться следующие сущности: объект является членом группы, пользователь имеет административные привилегии на компьютере, на объект распространяется групповая политика, активная сессия пользователя на компьютере и другие типы сущностей. На Фиг. 2 представлен пример графа (200), сформированного на этапе (104), отображающего текущие связи между объектами MS AD. [0030] The graph node can be: group policy, computer, user, OU tree structure or group. The connections (edges) are access parameters, in particular, the privileges of one object over another, user sessions, group membership, access with the local administrator level, etc. For example, An example of a relationship would be the following entities: the object is a member of a group, the user has administrative privileges on the computer, the object is subject to group policy, the user has an active session on the computer, and other types of entities. In FIG. 2 shows an example of a graph (200) generated at step (104), displaying current connections between MS AD objects.
[0031] На этапе (105) выполняется автоматизированное моделирование пути атаки на HVA на основе полученного графа на этапе (104). В ходе моделирования путей атак определяется подграф (300), представленный на Фиг. 3. На подграфе (300) определяют узлы, позволяющие получить управление над HVA или связанными с ним объектами MS AD с помощью по меньшей мере одного из: передачи текущих прав доступа, изменения текущих прав доступа, добавления новых прав доступа, или использования текущих прав доступа. [0031] At step (105), an automated modeling of an attack path against the HVA is performed based on the obtained graph at step (104). During attack path modeling, a subgraph (300) is determined, shown in FIG. 3. On the subgraph (300), nodes are defined that allow you to gain control over the HVA or associated MS AD objects using at least one of: transferring current access rights, changing current access rights, adding new access rights, or using current access rights .
[0032] Под терминами «граф» и «подграф» стоит понимать моделирование отображение объектов MS AD, по которым выполняется автоматизированная обработка сведений с помощью автоматизированного аналитического алгоритма, направленного на мониторинг состояния доменных зон корпоративной сети и реагирование на изменения в ее объектах. [0032] The terms “graph” and “subgraph” should be understood as modeling the display of MS AD objects for which automated information processing is performed using an automated analytical algorithm aimed at monitoring the state of domain zones of the corporate network and responding to changes in its objects.
[0033] Как показано на примере на Фиг.З группа пользователей USER-ADM и все ее члены (участники) имеет привилегии ForceChangePassword (есть возможность смены пароля без запроса старого) над пользователем Exchange Admin. Пользователь Exchange Admin имеет привилегии GenericAll (эта привилегия позволяет выполнять любые действия, например, добавлять новых пользователей в эту группу) над группой ADMSYSTEMS. Группа ADMSYSTEMS имеет привилегии WriteDacl (привилегия, позволяющая изменить ACL объекта Domain Admins, например, добавить полные права (GenericAll) над группой Domain Admins) над группой администраторов домена - Domain Admins, который является в данном случае HVA. [0033] As shown in the example in FIG. 3, the user group USER-ADM and all its members (participants) have ForceChangePassword privileges over the Exchange Admin user. The Exchange Admin user has GenericAll privileges (this privilege allows you to perform any action, such as adding new users to this group) over the ADMSYSTEMS group. The ADMSYSTEMS group has WriteDacl privileges (a privilege that allows you to change the ACL of the Domain Admins object, for example, adding full rights (GenericAll) over the Domain Admins group) over the Domain Admins group, which is the HVA in this case.
[0034] Таким образом, злоумышленник, скомпрометировав учетную запись, например - Пользователя 1 , может получить привилегии администратора домена, став членом группы Domain Admins. Вектор атаки может быть такой: Пользователь 1 является членом группы User-ADM. Пользователь 1 меняет пароль пользователю Exchange Admin, используя УЗ этого пользователя добавляет свою УЗ Пользователь 1 в группу ADMSYSTEMS, затем для группы ADMSYSTEMS дает полные привилегии на Domain Admins и делает свою УЗ Пользователь 1 членом группы Domain Admins. [0034] Thus, an attacker, having compromised an account, for example - User 1, can gain domain administrator privileges by becoming a member of the Domain Admins group. The attack vector could be: User 1 is a member of the User-ADM group. User 1 changes the password for the Exchange Admin user, using this user's Account adds his Account User 1 to the ADMSYSTEMS group, then for the ADMSYSTEMS group he gives full privileges to Domain Admins and makes his Account User 1 a member of the Domain Admins group.
[0035] При анализе объектов MS AD, определенных на подграфе (300), выделяется стартовый узел или группа объектов, от которых будет строиться путь атаки. Стартовым узлом может выступать любой объект, либо группа объектов, по умолчанию не обладающих критичными привилегиями, но имеющими возможность расширить свои права, либо объекты исходно имеющие критичные права, влияющие на доступ к HVA. Например, некоторые объекты могут иметь разрешение «WriteDACL», которое позволяет изменить запись контроля доступа (АСЕ) объекта и дать злоумышленнику полный контроль над объектом - фактически получить привилегии «Generic АП» над целевым объектом. При моделировании вектора атаки будет предполагаться, что стартовым узлом будет хост или УЗ скомпрометированная злоумышленником. [0035] When analyzing MS AD objects defined on the subgraph (300), a starting node or group of objects is selected from which the attack path will be built. Starter a node can be any object, or a group of objects that by default do not have critical privileges, but have the ability to expand their rights, or objects that initially have critical rights that affect access to the HVA. For example, some objects may have the "WriteDACL" permission, which allows you to change the access control entry (ACE) of the object and give the attacker full control over the object - effectively gaining "Generic AP" privileges over the target object. When modeling the attack vector, it will be assumed that the starting node will be a host or information system compromised by the attacker.
[0036] Пути атак (вектора) могут строиться в противоположном направлении - от HVA до объектов с критичными привилегиями или другими связями, позволяющими расширить привилегии горизонтально. При построении путей всех возможных атак на HVA для объектов учитываются наследования и приоритет записей контроля доступа (АСЕ) в следующем порядке: [0036] Attack paths (vectors) can be built in the opposite direction - from HVA to objects with critical privileges or other connections that allow privileges to be expanded horizontally. When constructing the paths of all possible attacks on HVA for objects, inheritance and priority of access control entries (ACEs) are taken into account in the following order:
- Явный запрет; - Explicit prohibition;
- Явное разрешение; - Explicit permission;
- Унаследованный запрет; - Inherited ban;
- Унаследованное разрешение. - Inherited permission.
[0037] Таким образом, если объект будет иметь две конфликтующие записи контроля доступа (АСЕ) на явное разрешение и явный запрет (например, пользователь входит в две группы, у одной из которых есть разрешение на доступ к папке, а у второй явный запрет, то сработает запрет и пользователю будет отказано в доступе), то приоритет будет у второго, так как запрещающие правила всегда имеют приоритет над разрешающими. [0037] Thus, if an object has two conflicting access control entries (ACE) for an explicit permission and an explicit denial (for example, the user is a member of two groups, one of which has permission to access a folder, and the second has an explicit denial, then the ban will work and the user will be denied access), then the second one will have priority, since prohibiting rules always take precedence over allowing ones.
[0038] На этапе (105) выполняется в режиме реального времени анализ графового отображения структуры MS AD. Анализ может выполняться с помощью специального автоматизированного модуля аналитики, который обеспечивает выполнение мониторинга текущего состояния прав доступа объектов MS AD и реагирует на изменения полномочий относительно HVA. При анализе состояния прав доступа в MS AD производится оценка угроз информационной безопасности в режиме реального времени для своевременного реагирования и сигнализации об изменениях относительно трендов безопасности. Примером резкого изменением тренда безопасности может быть добавление нового пользователя в группу администраторы домена, предоставление прав на управление каким- либо HVA и др. [0038] At step (105), a real-time analysis of the graph display of the MS AD structure is performed. The analysis can be performed using a special automated analytics module, which monitors the current state of access rights of MS AD objects and responds to changes in permissions regarding HVA. When analyzing the status of access rights in MS AD, information security threats are assessed in real time for timely response and signaling of changes regarding security trends. An example of a sharp change in the security trend could be adding a new user to the domain administrators group, granting rights to manage any HVA, etc.
[0039] Анализ изменений привилегий доступа на формируемых подграфах (300) позволяет генерировать уведомления и выполнять автоматизированное реагирование по заданным правилам, разработанным с помощью логических операторов, объектов, атрибутов и их значений. Такая проверка итеративно осуществляется на этапе (106) для всех формируемых подграфов (300) общего графа MS AD (200). При определении объектов MS AD, для которых на подграфе (300) происходит изменение привилегий их доступа и которые могут получить доступ над HVA, выполняется применение одной из выбранных политик реагирования на этапе (107), в частности, информация по такого рода узлам (объектам) передается в систему контроля для последующего реагирования. С помощью системы контроля выполняется управление привилегиями доступа на выявленных объектах MS AD в части их изолирования от других объектов MS AD и/или понижения их привилегий доступа. Данная реакция системы контроля выполняется на основании установленных правил и политик безопасности в части реагирование на конкретный тип изменения привилегий доступа на объектах MS AD. [0039] Analysis of changes in access privileges on the generated subgraphs (300) allows you to generate notifications and perform automated responses according to specified rules developed using logical operators, objects, attributes and their meanings. Such a check is iteratively carried out at stage (106) for all generated subgraphs (300) of the general graph MS AD (200). When determining MS AD objects for which a change in their access privileges occurs in the subgraph (300) and which can gain access over the HVA, one of the selected response policies is applied at stage (107), in particular, information on such nodes (objects) transmitted to the control system for subsequent response. Using the control system, access privileges are managed on identified MS AD objects in terms of isolating them from other MS AD objects and/or lowering their access privileges. This reaction of the control system is carried out on the basis of established rules and security policies in terms of responding to a specific type of change in access privileges on MS AD objects.
[0040] Одним из частных примеров правил реагирования на объекты MS AD могут быть следующие ситуации: [0040] One of the particular examples of rules for responding to MS AD objects may be the following situations:
- Если после обновления информации у какого-либо объекта появляются привилегии «DS-Replication-Get-Changes»/«DS-Replication-Get-Changes-All»(DCSync), то в качестве реакции системы контроля происходит понижение привилегий объекта до исходного значения. Система информирует об устраненной угрозе; - If, after updating information, an object has the “DS-Replication-Get-Changes”/”DS-Replication-Get-Changes-All” (DCSync) privileges, then the control system reacts by lowering the object’s privileges to the original value . The system informs about the eliminated threat;
- Если в группе администраторов появляется новая учетная запись и данная учетная запись не добавлена в соответствующий лист значений, то в качестве реакции системы происходит ее удаление из группы, таким образом понижаются привилегии учетной записи до исходных. Команды по удалению исполняются от привилегированных учетных записей в качестве переменных передаются учетные записи и имена групп. Система информирует об устраненной угрозе. - If a new account appears in the administrators group and this account is not added to the corresponding value sheet, then the system reacts by removing it from the group, thus lowering the account privileges to the original ones. Removal commands are executed from privileged accounts, with account and group names passed as variables. The system informs you that the threat has been eliminated.
[0041] Также заявленное решение может дополнительно осуществлять выявление ошибок в конфигурации безопасности MS AD, на основании правил проверки ошибок в конфигурации объектов MS AD. Для этого реализуется проверка пользователей на наличие определенных привилегий в токенах доступа (Access Tokens), которые позволяют ему выполнять действия в обход ACL объектов. Данная проверка может также выполняться с помощью автоматизированного модуля, обеспечивающего функционал по осуществлению поиска типовых ошибок конфигурации в контроллере домена. Анализ ошибок конфигурации выполняется с помощью механизма проверки (чекер) для верификации известных уязвимостей контроллера домена. [0041] Also, the claimed solution can additionally detect errors in the MS AD security configuration, based on the rules for checking errors in the configuration of MS AD objects. To do this, users are checked for certain privileges in their Access Tokens, which allow them to perform actions that bypass the ACLs of objects. This check can also be performed using an automated module that provides functionality to search for typical configuration errors in a domain controller. Configuration error analysis is performed using a verification mechanism (checker) to verify known domain controller vulnerabilities.
[0042] Одним из вариантов проверки привилегий в токенах доступа является выполнение команды «whoami /priv» в командной оболочке, парсинг и анализ полученных результатов, при анализе учитывается наименование привилегии в токене доступа и статус (включена/ отключена) . [0042] One option for checking privileges in access tokens is to run the "whoami /priv" command in a command shell, parsing and analyzing the received results, the analysis takes into account the name of the privilege in the access token and the status (enabled/disabled).
[0043] Ниже в Таблице 2 приведены некоторые примеры привилегий в токенах доступа, выявляемых в ходе выявления ошибок конфигурации. Таблица 2. Примеры привилегий в токенах доступа
Figure imgf000012_0001
[0043] Table 2 below provides some examples of privileges in access tokens that are identified during configuration error detection. Table 2. Examples of privileges in access tokens
Figure imgf000012_0001
[0044] В рамках данной проверки ошибок конфигурации выполняется поиск типовых ошибок конфигурации и уязвимостей контроллера домена. Одним из примеров таких ошибок может служить отключенная предварительная аутентификация Kerberos для пользователя (появляется возможность проведения атаки ASREPRoast). Одним из вариантов проверки является выполнение команды «Get-DomainUser -PreauthNotRequired - verbose» через расширение командной оболочки. Результатом выполнения команды является список уязвимых учетных записей. [0044] This configuration error check looks for common domain controller configuration errors and vulnerabilities. One example of such errors is when Kerberos pre-authentication is disabled for a user (opening up the possibility of an ASREPRoast attack). One option to check is to run the command "Get-DomainUser -PreauthNotRequired - verbose" through a command shell extension. The result of the command is a list of vulnerable accounts.
[0045] Другим примером ошибки может выступать наличие доменных пользователей, имеющих права локального администратора на компьютерах (атака на Local Administrator Password Solution (LAPS)). Одним из вариантов проверки является выполнение команды «Get-LAPSComputers» с помощь расширения командной строки PowerShell и библиотеки дополнительных функций и методов LAPSToolkit. Результатом работы команды является список компьютеров с включенным механизмом LAPS. Как правило разрешение на чтение паролей LAPS назначается на группу пользователей. Для поиска таких групп используется метод «Find-LAPSDelegatedGroups», для поиска членов этих групп(пользователей) используется метод «Get-NetGroupMember -GroupName “group name”» библиотеки LAPSToolkit. [0045] Another example of an error could be the presence of domain users who have local administrator rights on computers (attack on Local Administrator Password Solution (LAPS)). One test option is to run the “Get-LAPSComputers” command using the PowerShell command line extension and the LAPSToolkit library of additional functions and methods. The result of the command is a list of computers with the LAPS mechanism enabled. Typically, permission to read LAPS passwords is assigned to a user group. To search for such groups, the “Find-LAPSDelegatedGroups” method is used; to search for members of these groups (users), the “Get-NetGroupMember -GroupName “group name”” method of the LAPSToolkit library is used.
[0046] Еще одним примеров типовой ошибки может выступать присутствие доменных пользователей в группах MS AD по умолчанию с повышенными привилегиями, не содержащих никаких пользователей. Например, такими группами являются Account Operators, Backup Operators, Server Operators и другие. Одним из вариантов проверки пользователей этих групп является выполнение команды «Get-DomainGroupMember - Identity ‘group name’» с помощью расширения командной строки PowerShell и библиотеки дополнительных функций и методов PowerView. Результатом работы является список пользователей с расширенными привилегиями. [0046] Another example of a typical error can be the presence of domain users in default MS AD groups with elevated privileges that do not contain any users. For example, such groups are Account Operators, Backup Operators, Server Operators and others. One option to verify the users of these groups is to run the command "Get-DomainGroupMember - Identity 'group name'" using the PowerShell command line extension and the PowerView library of additional functions and methods. The result of the work is a list of users with extended privileges.
[0047] Заявленное решение может также использовать механизм рекомендаций. Рекомендации представляют собой последовательность системных команд PowerShell на ОС Windows и комментариев. Данный механизм может быть реализован с помощью автоматизированного модуля, который обеспечивает вывод контекстной информации для пользователя с целью их исполнения и компенсирования возникающих рисков безопасности. Рекомендации имеют связи с атрибутами объектов MS AD, таким образом определённый набор значений атрибутов характеризуется рекомендацией для пользователя системы. В частном случае рекомендации могут быть представлены в json формате и выводиться в интерфейс пользователя для определённых объектов/связей. Для удаления разрешений у объекта службы каталогов MS AD PowerShell используется командлет «Remove- ADPermission». [0047] The proposed solution may also use a recommendation mechanism. Recommendations are a sequence of system PowerShell commands on Windows OS and comments. This mechanism can be implemented using an automated module that provides the output of contextual information to the user for the purpose of their execution and compensation of emerging security risks. Recommendations have connections with attributes of MS AD objects, thus a certain set of attribute values is characterized by a recommendation for the system user. In a particular case, recommendations can be presented in json format and displayed in the user interface for certain objects/relationships. To remove permissions from an MS AD PowerShell directory service object, use the “Remove-ADPermission” cmdlet.
[0048] Примером является выполнение следующей команды: Remove-ADPermission - identity "Replication Database"-User "domain/ivanpetrov" -AccessRights "WriteDacl". [0048] An example is executing the following command: Remove-ADPermission - identity "Replication Database" -User "domain/ivanpetrov" -AccessRights "WriteDacl".
[0049] Синтаксис использования командлета «Remove-ADPermission»: [0049] The syntax for using the Remove-ADPermission cmdlet is:
Remove-ADPermission -Identity <ADRawEntryIdParameter> -UserRemove-ADPermission -Identity <ADRawEntryIdParameter> -User
<SecurityPrincipalIdParameter> [-AccessRights <ActiveDirectoryRights[]>] [-ChildObj ectTypes <ADSchemaObjectIdParameter[]>] [-Deny <SwitchParameter>] [-DomainController <Fqdn>] [- ExtendedRights <ExtendedRightIdParameter[]>] [-InheritanceType <None | All | Descendents | SelfAndChildren | Children>] [JnheritedObj ectType <ADSchemaObjectIdParameter>] [- Properties <ADSchemaObjectIdParameter[]>] <SecurityPrincipalIdParameter> [-AccessRights <ActiveDirectoryRights[]>] [-ChildObj ectTypes <ADSchemaObjectIdParameter[]>] [-Deny <SwitchParameter>] [-DomainController <Fqdn>] [- ExtendedRights <ExtendedRightIdParameter[]>] [-InheritanceType <None | All | Descendents | SelfAndChildren | Children>] [JnheritedObj ectType <ADSchemaObjectIdParameter>] [- Properties <ADSchemaObjectIdParameter[]>]
Remove-ADPermission [-Identity <ADRawEntryIdParameter>] -Instance <ADAcePresentationObject> [-AccessRights <ActiveDirectoryRights[]>] [-ChildObjectTypes <ADSchemaObjectIdParameter[]>] [-Deny <SwitchParameter>] [-DomainController <Fqdn>] [- ExtendedRights <ExtendedRightIdParameter[]>] [-InheritanceType <None | All | Descendents | SelfAndChildren | Children>] [-InheritedObjectType <ADSchemaObjectIdParameter>] [- Properties <ADSchemaObjectIdParameter[]>] [-User <SecurityPrincipalIdParameter>]Remove-ADPermission [-Identity <ADRawEntryIdParameter>] -Instance <ADAcePresentationObject> [-AccessRights <ActiveDirectoryRights[]>] [-ChildObjectTypes <ADSchemaObjectIdParameter[]>] [-Deny <SwitchParameter>] [-DomainController <Fqdn>] [- ExtendedRights <ExtendedRightIdParameter[]>] [-InheritanceType <None | All | Descendents | SelfAndChildren | Children>] [-InheritedObjectType <ADSchemaObjectIdParameter>] [- Properties <ADSchemaObjectIdParameter[]>] [-User <SecurityPrincipalIdParameter>]
Remove-ADPermission -Identity <ADRawEntryIdParameter> [-DomainController <Fqdn>]Remove-ADPermission -Identity <ADRawEntryIdParameter> [-DomainController <Fqdn>]
[0050] Дополнительно может использоваться также генератор отчетности, выполненный в виде автоматизированного модуля, который реализует функционал формирование отчетов. Входными данными для модуля отчетности являются объекты и их атрибуты из БД. Результатом формирования отчетности является текстовый файл в одном из форматов: pdf, html, xlsx. Одним из частных примеров отчета может быть статистический отчет с элементами аналитики, содержащий информацию по следующим объектам: [0050] Additionally, a reporting generator can also be used, made in the form of an automated module that implements the functionality of generating reports. The input data for the reporting module are objects and their attributes from the database. The result of generating reports is a text file in one of the formats: pdf, html, xlsx. One particular example of a report could be a statistical report with analytical elements, containing information on the following objects:
- Общее количество администраторов. Изменения в количестве за определенный промежуток времени; - Total number of administrators. Changes in quantity over a period of time;
- Наименование групп администраторов и количество участников в каждой из групп. Также возможно включить необходимые группы, если они являются высокопривилегированными активами; - The name of the administrator groups and the number of participants in each group. It is also possible to include required groups if they are highly privileged assets;
- Список пользователей без предварительной аутентификации (ASREPRoast); - List of users without prior authentication (ASREPRoast);
- Список объектов с ограниченным делегированием. - List of objects with limited delegation.
[0051 ] Инфраструктура практически всех компаний включает домены, построенные на базе MS AD. Заявленное решение позволяет достичь вышеуказанный технический результат за счет постоянного мониторинга разрешений объектов службы каталогов и ошибок конфигурации MS AD, что значительно повышает эффективность обеспечения безопасности для предотвращения компрометации объектов сети. Злоумышленник, попадая в сеть и предпринимая попытки горизонтального продвижения и повышения привилегий с целью компрометации HVA, вынужден изменять разрешения объектов, либо использовать ошибки в конфигурации службы каталогов. Постоянный мониторинг разрешений объектов позволяет оперативно выявлять такие попытки и незамедлительно реагировать на них, изолируя злоумышленника от дальнейшего продвижения, а в некоторых случая отключая его от сети. Преимуществом настоящего решения является анализ ACL и АСЕ объектов сети, а также ошибок конфигурации MS AD. Другие решения не предполагают такого рода функционал, что приводит к тому, что такого рода системы безопасности не в состоянии замечать и реагировать на такие инциденты. [0051 ] The infrastructure of almost all companies includes domains built on the basis of MS AD. The claimed solution makes it possible to achieve the above technical result through constant monitoring of directory service object permissions and MS AD configuration errors, which significantly increases the effectiveness of security to prevent compromise of network objects. An attacker, getting into the network and attempting to lateralize and escalate privileges in order to compromise the HVA, is forced to change object permissions or exploit errors in the directory service configuration. Constant monitoring of object permissions allows you to quickly identify such attempts and immediately respond to them, isolating the attacker from further progress, and in some cases, disconnecting him from the network. The advantage of this solution is analysis of ACLs and ACEs of network objects, as well as MS AD configuration errors. Other solutions do not provide this kind of functionality, which leads to the fact that this type of security system is not able to notice and respond to such incidents.
[0052] На Фиг. 4 представлен общий вид вычислительной системы, реализованной на базе вычислительного устройства (300). В общем случае, вычислительное устройство (300) содержит объединенные общей шиной информационного обмена один или несколько процессоров (301), средства памяти, такие как ОЗУ (302) и ПЗУ (303), интерфейсы ввода/вывода (304), устройства ввода/вывода (305), и устройство для сетевого взаимодействия (306). [0052] In FIG. 4 shows a general view of a computing system implemented on the basis of a computing device (300). In general, a computing device (300) contains one or more processors (301), memory devices such as RAM (302) and ROM (303), input/output interfaces (304), and input/output devices connected by a common data exchange bus. (305), and a networking device (306).
[0053] Процессор (301) (или несколько процессоров, многоядерный процессор) могут выбираться из ассортимента устройств, широко применяемых в текущее время, например, компаний Intel™, AMD™, Apple™, Samsung Exynos™, MediaTEK™, Qualcomm Snapdragon™ и т.п. Под процессором также необходимо учитывать графический процессор, например, GPU NVIDIA или ATI, который также является пригодным для полного или частичного выполнения способа (100). При этом, средством памяти может выступать доступный объем памяти графической карты или графического процессора. [0053] The processor (301) (or multiple processors, multi-core processor) may be selected from a variety of devices commonly used today, such as those from Intel™, AMD™, Apple™, Samsung Exynos™, MediaTEK™, Qualcomm Snapdragon™ and etc. By processor it is also necessary to take into account a graphics processor, for example an NVIDIA or ATI GPU, which is also suitable for carrying out the method (100) in whole or in part. In this case, the memory means can be the available memory capacity of the graphics card or graphics processor.
[0054] ОЗУ (302) представляет собой оперативную память и предназначено для хранения исполняемых процессором (301) машиночитаемых инструкций для выполнение необходимых операций по логической обработке данных. ОЗУ (302), как правило, содержит исполняемые инструкции операционной системы и соответствующих программных компонент (приложения, программные модули и т.п.). [0054] RAM (302) is a random access memory and is designed to store machine-readable instructions executable by the processor (301) for performing the necessary logical data processing operations. The RAM (302) typically contains executable operating system instructions and associated software components (applications, program modules, etc.).
[0055] ПЗУ (303) представляет собой одно или более устройств постоянного хранения данных, например, жесткий диск (HDD), твердотельный накопитель данных (SSD), флэш- память (EEPROM, NAND и т.п.), оптические носители информации (CD-R/RW, DVD- R/RW, BlueRay Disc, MD) и др. [0055] The ROM (303) is one or more permanent storage devices, such as a hard disk drive (HDD), a solid state drive (SSD), flash memory (EEPROM, NAND, etc.), optical storage media ( CD-R/RW, DVD-R/RW, BlueRay Disc, MD), etc.
[0056] Для организации работы компонентов устройства (300) и организации работы внешних подключаемых устройств применяются различные виды интерфейсов В/В (304). Выбор соответствующих интерфейсов зависит от конкретного исполнения вычислительного устройства, которые могут представлять собой, не ограничиваясь: PCI, AGP, PS/2, IrDa, FireWire, LPT, COM, SATA, IDE, Lightning, USB (2.0, 3.0, 3.1, micro, mini, type C), TRS/Audio jack (2.5, 3.5, 6.35), HDMI, DVI, VGA, Display Port, RJ45, RS232 и т.п. [0056] To organize the operation of device components (300) and organize the operation of external connected devices, various types of I/O interfaces (304) are used. The choice of appropriate interfaces depends on the specific design of the computing device, which can be, but is not limited to: PCI, AGP, PS/2, IrDa, FireWire, LPT, COM, SATA, IDE, Lightning, USB (2.0, 3.0, 3.1, micro, mini, type C), TRS/Audio jack (2.5, 3.5, 6.35), HDMI, DVI, VGA, Display Port, RJ45, RS232, etc.
[0057] Для обеспечения взаимодействия пользователя с вычислительным устройством (300) применяются различные средства (305) В/В информации, например, клавиатура, дисплей (монитор), сенсорный дисплей, тач-пад, джойстик, манипулятор мышь, световое перо, стилус, сенсорная панель, трекбол, динамики, микрофон, средства дополненной реальности, оптические сенсоры, планшет, световые индикаторы, проектор, камера, средства биометрической идентификации (сканер сетчатки глаза, сканер отпечатков пальцев, модуль распознавания голоса) и т.п. [0057] To ensure user interaction with the computing device (300), various means (305) of I/O information are used, for example, a keyboard, a display (monitor), a touch display, a touch pad, a joystick, a mouse, a light pen, a stylus, touchpad, trackball, speakers, microphone, augmented reality, optical sensors, tablet, light indicators, projector, camera, biometric identification tools (retina scanner, fingerprint scanner, voice recognition module), etc.
[0058] Средство сетевого взаимодействия (306) обеспечивает передачу данных устройством (300) посредством внутренней или внешней вычислительной сети, например, Интранет, Интернет, ЛВС и т.п. В качестве одного или более средств (306) может использоваться, но не ограничиваться: Ethernet карта, GSM модем, GPRS модем, LTE модем, 5G модем, модуль спутниковой связи, NFC модуль, Bluetooth и/или BLE модуль, Wi-Fi модуль и др. [0059] Дополнительно могут применяться также средства спутниковой навигации в составе устройства (300), например, GPS, ГЛОНАСС, BeiDou, Galileo. [0058] The network communication facility (306) enables the device (300) to transmit data via an internal or external computer network, such as an Intranet, Internet, LAN, or the like. One or more means (306) may be used, but not limited to: Ethernet card, GSM modem, GPRS modem, LTE modem, 5G modem, satellite communication module, NFC module, Bluetooth and/or BLE module, Wi-Fi module and etc. [0059] Additionally, satellite navigation tools can also be used as part of the device (300), for example, GPS, GLONASS, BeiDou, Galileo.
[0060] Представленные материалы заявки раскрывают предпочтительные примеры реализации технического решения и не должны трактоваться как ограничивающие иные, частные примеры его воплощения, не выходящие за пределы испрашиваемой правовой охраны, которые являются очевидными для специалистов соответствующей области техники. [0060] The submitted application materials disclose preferred examples of implementation of a technical solution and should not be interpreted as limiting other, particular examples of its implementation that do not go beyond the scope of the requested legal protection, which are obvious to specialists in the relevant field of technology.

Claims

ФОРМУЛА FORMULA
1. Способ предотвращения компрометации объектов службы каталогов (MS AD) в корпоративной сети, выполняемый с помощью вычислительного устройства и содержащий этапы, на которых: 1. A method of preventing compromise of directory service objects (MS AD) on a corporate network, performed using a computing device and containing the steps of:
- получают данные из хранилища MS AD корпоративной сети, характеризующие объекты сети и их атрибуты, включающие в себя по меньшей мере дескриптор безопасности, содержащий списки (ACL) и записи (АСЕ) контроля доступа объектов; - receive data from the MS AD storage of the corporate network, characterizing network objects and their attributes, including at least a security descriptor containing lists (ACLs) and records (ACEs) of object access control;
- выполняют парсинг атрибутов объектов MS AD; - parsing attributes of MS AD objects;
- определяют высокопривилегированные объекты (HVA) MS AD в корпоративной сети на основании правил и парсинга ACL и АСЕ, причем правила представляют собой по меньшей мере количество связей HVA объекта с другими объектами MS AD; - determine MS AD highly privileged objects (HVA) in the corporate network based on rules and ACL and ACE parsing, the rules representing at least the number of connections of an HVA object with other MS AD objects;
- определяют объекты MS AD, связанные с HVA, которые позволяют получить к ним доступ посредством текущих привилегий доступа, или их изменения или посредством горизонтального продвижения по сети; - define MS AD objects associated with the HVA, which allow access to them through current access privileges, or their change, or through horizontal movement through the network;
- формируют граф на основе собранных данных, где узлами являются объекты MS AD, а ребрами - параметры доступа между объектами MS AD; - form a graph based on the collected data, where the nodes are MS AD objects, and the edges are access parameters between MS AD objects;
- выполняют моделирование пути атаки на HVA на основе полученного графа, на котором определяют по меньшей мере один подграф с объектами MS AD, содержащий узлы, позволяющие получить управление над HVA или связанными с ним объектами MS AD с помощью по меньшей мере одного из: передачи текущих прав доступа, изменения текущих прав доступа, добавления новых прав доступа, или использования текущих прав доступа;- perform modeling of the attack path on the HVA based on the resulting graph, on which at least one subgraph with MS AD objects is determined, containing nodes that allow you to gain control over the HVA or associated MS AD objects using at least one of: transfer of current access rights, changing current access rights, adding new access rights, or using current access rights;
- осуществляют мониторинг объектов MS AD для определения изменений параметров привилегий доступа на узлах, выявленных на подграфе; - monitor MS AD objects to determine changes in access privilege parameters on nodes identified in the subgraph;
- передают данные по выявленным на подграфе объектам в систему контроля при изменении их привилегий доступа; - transmit data on objects identified on the subgraph to the control system when their access privileges change;
- выполняют управление привилегиями доступа на выявленных объектах MS AD в части их изолирования от других объектов MS AD и/или понижения их привилегий доступа. - manage access privileges on identified MS AD objects in terms of isolating them from other MS AD objects and/or lowering their access privileges.
2. Способ по п. 1, в котором параметры доступа между объектами представляют собой по меньшей мере одно из: связи привилегий между объектами, на которые эти привилегии распространяются, разрешения между объектами, параметры доверия между доменами. 2. The method according to claim 1, in which the access parameters between objects represent at least one of: privilege associations between objects to which these privileges apply, permissions between objects, trust parameters between domains.
3. Способ по п. 1, в котором привилегии объектов службы каталогов представляют собой токены доступа с ассоциированными привилегиями пользователя. 3. The method of claim 1, wherein the privileges of the directory service objects are access tokens with associated user privileges.
4. Способ по п. 3, в котором привилегии токена доступа являются способом изменения уровня доступа к объекту службы каталогов корпоративной сети. 4. The method of claim 3, wherein the privileges of the access token are a method for changing the level of access to a directory service object on the corporate network.
5. Способ по п. 1, в котором каждый объект сети представляет собой по меньшей мере одно из: пользователи, компьютеры, группы безопасности, групповые политики (Group Policy Object), организационные подразделения (Organizational Unit), доверительные отношения между доменами. 5. The method according to claim 1, in which each network object represents at least one of: users, computers, security groups, group policies (Group Policy Object), organizational units (Organizational Unit), trust relationships between domains.
6. Способ по п. 1, в котором на выявленном подграфе осуществляют мониторинг ошибок в конфигурации безопасности MS AD, на основании правил проверки ошибок в конфигурации объектов MS AD. 6. The method according to claim 1, in which, on the identified subgraph, errors in the MS AD security configuration are monitored, based on the rules for checking errors in the configuration of MS AD objects.
7. Способ по п. 6, в котором осуществляют корректировку конфигураций привилегий доступа на объектах MS AD. 7. The method according to claim 6, in which the configuration of access privileges on MS AD objects is adjusted.
8. Система предотвращения компрометации объектов службы каталогов (MS AD) в корпоративной сети, содержащая по меньшей мере один процессор и память, хранящую машиночитаемые инструкции, которые при их выполнении процессором реализуют способ по любому из пп. 1-7. 8. A system for preventing compromise of directory service objects (MS AD) in a corporate network, containing at least one processor and memory storing machine-readable instructions, which, when executed by the processor, implement the method according to any one of paragraphs. 1-7.
PCT/RU2022/000352 2022-11-30 2022-11-30 Preventing unauthorized access to a corporate network WO2024117925A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
RU2022131236 2022-11-30
RU2022131236A RU2799117C1 (en) 2022-11-30 Method and system for preventing unauthorized access to corporate network objects

Publications (1)

Publication Number Publication Date
WO2024117925A1 true WO2024117925A1 (en) 2024-06-06

Family

ID=91324477

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/RU2022/000352 WO2024117925A1 (en) 2022-11-30 2022-11-30 Preventing unauthorized access to a corporate network

Country Status (1)

Country Link
WO (1) WO2024117925A1 (en)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8881288B1 (en) * 2008-10-28 2014-11-04 Intelligent Automation, Inc. Graphical models for cyber security analysis in enterprise networks
RU2628913C1 (en) * 2016-04-18 2017-08-22 Вадим Геннадиевич Фёдоров Method of detecting remote attacks on automated control systems
RU2697958C1 (en) * 2018-06-29 2019-08-21 Акционерное общество "Лаборатория Касперского" System and method for detecting malicious activity on a computer system
US11032298B1 (en) * 2020-04-23 2021-06-08 Specter Ops, Inc. System and method for continuous collection, analysis and reporting of attack paths in a directory services environment
US20210392142A1 (en) * 2020-06-11 2021-12-16 Microsoft Technology Licensing, Llc Cloud-based privileged access management
WO2022046366A1 (en) * 2020-08-31 2022-03-03 Qomplx, Inc. Privilege assurance of enterprise computer network environments

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8881288B1 (en) * 2008-10-28 2014-11-04 Intelligent Automation, Inc. Graphical models for cyber security analysis in enterprise networks
RU2628913C1 (en) * 2016-04-18 2017-08-22 Вадим Геннадиевич Фёдоров Method of detecting remote attacks on automated control systems
RU2697958C1 (en) * 2018-06-29 2019-08-21 Акционерное общество "Лаборатория Касперского" System and method for detecting malicious activity on a computer system
US11032298B1 (en) * 2020-04-23 2021-06-08 Specter Ops, Inc. System and method for continuous collection, analysis and reporting of attack paths in a directory services environment
US20210392142A1 (en) * 2020-06-11 2021-12-16 Microsoft Technology Licensing, Llc Cloud-based privileged access management
WO2022046366A1 (en) * 2020-08-31 2022-03-03 Qomplx, Inc. Privilege assurance of enterprise computer network environments

Similar Documents

Publication Publication Date Title
US10650156B2 (en) Environmental security controls to prevent unauthorized access to files, programs, and objects
WO2023216641A1 (en) Security protection method and system for power terminal
US20210160249A1 (en) Systems and methods for role-based computer security configurations
RU2714726C2 (en) Automation architecture of automated systems
CN107563203B (en) Integrated security policy and event management
US8136147B2 (en) Privilege management
RU2618946C1 (en) Method to lock access to data on mobile device with api for users with disabilities
US20090282457A1 (en) Common representation for different protection architectures (crpa)
US20160036841A1 (en) Database Queries Integrity and External Security Mechanisms in Database Forensic Examinations
CN114003943B (en) Safe double-control management platform for computer room trusteeship management
US11693981B2 (en) Methods and systems for data self-protection
US10848491B2 (en) Automatically detecting a violation in a privileged access session
US11777978B2 (en) Methods and systems for accurately assessing application access risk
US10320829B1 (en) Comprehensive modeling and mitigation of security risk vulnerabilities in an enterprise network
US20080184368A1 (en) Preventing False Positive Detections in an Intrusion Detection System
US10313384B1 (en) Mitigation of security risk vulnerabilities in an enterprise network
US20230334150A1 (en) Restricted execution mode for network-accessible devices
RU2799117C1 (en) Method and system for preventing unauthorized access to corporate network objects
WO2024117925A1 (en) Preventing unauthorized access to a corporate network
US20230283633A1 (en) Credential input detection and threat analysis
US12058163B2 (en) Systems, media, and methods for utilizing a crosswalk algorithm to identify controls across frameworks, and for utilizing identified controls to generate cybersecurity risk assessments
EA044131B1 (en) METHOD AND SYSTEM FOR PREVENTING UNAUTHORIZED ACCESS TO CORPORATE NETWORK OBJECTS
Ramirez A framework to build secure microservice architecture
RU2826430C1 (en) Method and system for preventing compromise of network infrastructure objects in freeipa directory service
Tai Ramirez A Framework To Build Secure Microservice Architecture

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 22967352

Country of ref document: EP

Kind code of ref document: A1

点击 这是indexloc提供的php浏览器服务,不要输入任何密码和下载