Sono a un fornitore PCI di livello 1. Abbiamo qualcosa di simile a posto, con alcune differenze.
I revisori stanno effettivamente cercando di descrivere un problema molto reale, ma stanno facendo un lavoro incredibilmente scarso spiegando le implicazioni e l'analisi dei bisogni.
Ora è più efficace compromettere un sistema usando un hash di una password o un token esistente. In parole povere, il tuo aggressore non ha più bisogno del tuo nome utente e password. Ora ci sono modi più semplici per attaccare un sistema. In nessuna circostanza dovresti assumere o concludere che questo tipo di attacco è improbabile. Gli attacchi di hash sono ora il vettore di attacco defacto .
Gli attacchi hash sono in realtà peggiori con gli account di smart card, il che è ironico, perché la maggior parte delle persone si aspetta che l'implementazione di smart card aumenti la sicurezza di un sistema.
Se un account viene compromesso a causa di un attacco "passa l'hash", la solita risposta è quella di cambiare la password dell'account. Ciò modifica l'hash utilizzato per l'autenticazione. Inoltre, una normale scadenza / modifica della password può far emergere un'incursione, poiché l'hash dell'attaccante potrebbe non riuscire. Tuttavia, con le smart card, la password è "gestita dal sistema" (l'utente non immette mai la password per l'autenticazione), quindi l'hash non cambia mai. Ciò significa che con gli account di smart card, un'incursione può passare inosservata per molto più tempo rispetto a un account che utilizza una password.
Ecco alcune mitigazioni che prenderei in considerazione:
Per gli account abilitati per smart card, utilizzati da molte grandi aziende per account con privilegi elevati, modificare la password dell'account a intervalli frequenti. Questo cambia l'hash. È inoltre possibile modificare l'hash abilitando l'account tramite una-smart card, quindi abilitandola nuovamente. Microsoft lo fa ogni 24 ore, ma è necessario valutare il potenziale impatto che ciò può causare nel proprio ambiente e stabilire una pianificazione sana in modo da non creare ulteriori problemi.
Per le stazioni di lavoro, non utilizzerei affatto gli account di dominio a fini di amministrazione, se possibile. Abbiamo un account locale che può essere utilizzato per elevare per operazioni di tipo UAC. Ciò soddisfa il 99,9% della maggior parte dei requisiti di elevazione. Le workstation tendono ad essere vettori di attacchi caldi, a causa della mancanza di un controllo delle modifiche irreversibile e dell'esistenza di Java JRE e Flash.
Questo approccio funziona per noi in quanto disponiamo di un meccanismo formale per la gestione e l'applicazione della password per gli account locali e che la password è univoca su ciascun sistema e che esiste un metodo sicuro per richiedere la password. Esistono anche applicazioni commerciali che possono eseguire questa funzione.
Se non è possibile fornire una soluzione di account locale per le workstation, sì, è necessario utilizzare un account di dominio separato per l'accesso amministrativo alle workstation e tale account non deve essere utilizzato per l'accesso amministrativo ai server. Un'altra opzione potrebbe essere quella di utilizzare strumenti di gestione del supporto remoti e non interattivi che utilizzano LocalSystem per eseguire attività e un meccanismo di autenticazione separato da Windows.
Per gli account con privilegi più alti (Enterprise Admin, Domain Admin, ecc.), Utilizzare solo un server jump. Questo server sarebbe soggetto alla sicurezza più restrittiva, controllo delle modifiche e controllo. Per tutti gli altri tipi di funzioni di tipo amministrativo, considerare di avere un account amministrativo separato. Il server di salto deve essere riavviato ogni giorno per riavviare i token di processo dal processo LSA.
Non eseguire attività amministrative dalla workstation. Utilizzare un server rinforzato o un server jump.
Prendi in considerazione l'idea di ripristinare facilmente le VM come jump box, che possono essere ripristinate per cancellare la memoria dopo ogni sessione.
Ulteriori letture:
https://blogs.technet.com/b/security/archive/2012/12/06/new-guidance-to-mitigate-determined-adversaries-favorite-attack-pass-the-hash.aspx
Rapporto Microsoft Security Intelligence, Volume 13, gennaio - giugno 2012
http://www.microsoft.com/security/sir/archive/default.aspx
Leggi la sezione: "Difesa dagli attacchi Pass-the-Hash".
Sconfiggi temuti attacchi pass-the-hash
https://www.infoworld.com/d/security/defeat-dreaded-pass-the-hash-attacks-179753