ADS 468x60

2011-12-11

Компрометация пароля 2

 Я обещал рассказать как можно определить скомпрометированный пароль без ошибочного ввода в поле имя учетной записи.
 Суть состоит в том, чтоб отслеживать авторизацию одной учетной записи с разных IP адресов за определенный промежуток времени или определять несовпадение имени пользователя ОС с именем пользователя при авторизации в приложениях.

Есть несколько вариантов решения данной задачи:

1. Автоматизировать с помощью системы мониторинга.
Подготовить соответствующие правило сравнения для системы мониторинга.
  Пример.
Успешная авторизация пользователя в AD - повторная успешная авторизация с IP не такого как в первом событии.
 Если определить большой интервал, может быть ложное срабатывание (это когда у пользователя нет постоянного рабочего места) к примеру сотрудники Колл-Центров.
Также необходимо исключить технологические УЗ, т.к. они очень часто используются модулями программного обеспечения.
 Повесив данную задачу на систему мониторинга, система будет под большой нагрузкой. В таком варианте для каждого события создается отдельная ячейка в буфере и пропускаются все вновь поступающие события через фильтр сравнения. Мы проводили данный эксперимент на нашей системе, в результате система не выдержала, и пришлось отключить это правило т.к. из за большой нагрузки не эффективно работают другие правила.

2. Ручная обработка.
 Данный метод заключается в том, что вам необходимо будет выгружать журналы событий в БД или файл с определенной периодичностью, и вручную осуществлять сравнение. Конечно можно частично автоматизировать данный процесс, но выявление в реальном времени можно достичь только с помощью системы мониторинга. При ручной обработке больших объемов данных рекомендую использовать разные парсеры к примеру grep или сводными таблицами Excel (новый Excel 2010 может обработать более чем один миллион строк - запаситесь оперативной памятью).

У обоих вариантов есть свои недостатки, вы сами должны определить наиболее приемлемый для себя метод.

Если вы знаете другие варианты, прошу в комментарий.

0 comments:

Post a Comment

Популярне за тиждень