Идём по киберследу: Анализ защищенности Active Directory c помощью утилиты BloodHound
Представьте, что вы можете видеть невидимые связи в вашей инфраструктуре Active Directory, выявлять сложные последовательности атак и устранять их до того, как они приведут к инцидентам. Утилита BloodHound делает это реальностью! В этой книге вы познакомитесь с мощным инструментом, который использует графовую базу данных Neo4j и язык запросов Cypher, чтобы дать вам полный контроль над вашей системой безопасности.
С помощью этой книги вы сможете освоить интерфейсы BloodHound и расширять его функционал для решения специфических задач вашей организации, научитесь писать эффективные запросы на языке Cypher для выявления скрытой опасности, визуализировать все опасные связи между объектами Active Directory и планировать действия по их устранению.
Не важно, специалист вы по безопасности, аудитор или участник Red Team, эта книга даст вам все необходимые знания для проведения глубокого анализа защищенности Active Directory и выявления потенциальных атак.
Необходимо помнить, что не только пользователи могут иметь права локального администратора на хосте, но и компьютеры.
Зачем читать
• Получите глубокое понимание того, что такое BloodHound, и возможность создать инструмент по своему желанию.
• Научитесь использовать SharpHound для сбора информации и анализировать результаты в Neo4j.
• Реальные примеры и практические сценарии анализа безопасности Active Directory.
Интересно, что при очистке базы данных в браузере neo4j остаются ссылки на свойства объектов и названия связей.
Вы узнаете
Научитесь эффективно использовать один из самых мощных инструментов для анализа и повышения безопасности Active Directory, получите практические знания и примеры, которые помогут выявлять и предотвращать сложные киберугрозы.
Cypher – достаточно свободный язык запросов, одинаковых результатов можно добиться разными путями.
Для кого
Книга предназначена для специалистов и аудиторов информационной безопасности, IT-специалистов и разработчиков.
| Жанры: | Программирование, Информационная безопасность |
| Цикл: | Не является частью цикла |
| Год публикации: | 2025 |
Читать онлайн Идём по киберследу: Анализ защищенности Active Directory c помощью утилиты BloodHound
Знак информационной продукции (Федеральный закон № 436-ФЗ от 29.12.2010 г.)
Редактор: Евгения Якимова
Руководитель проекта: Анна Туровская
Арт-директор: Татевик Саркисян
Корректоры: Наташа Казакова, Елена Сербина
Верстка: Белла Руссо
Все права защищены. Данная электронная книга предназначена исключительно для частного использования в личных (некоммерческих) целях. Электронная книга, ее части, фрагменты и элементы, включая текст, изображения и иное, не подлежат копированию и любому другому использованию без разрешения правообладателя. В частности, запрещено такое использование, в результате которого электронная книга, ее часть, фрагмент или элемент станут доступными ограниченному или неопределенному кругу лиц, в том числе посредством сети интернет, независимо от того, будет предоставляться доступ за плату или безвозмездно.
Копирование, воспроизведение и иное использование электронной книги, ее частей, фрагментов и элементов, выходящее за пределы частного использования в личных (некоммерческих) целях, без согласия правообладателя является незаконным и влечет уголовную, административную и гражданскую ответственность.
© Неверов Д., 2024
© Оформление. ООО «Альпина ПРО», 2025
Вступление
Утилита BloodHound – популярный инструмент для проведения оценки защищенности Active Directory. BloodHound использует графовую базу данных neo4j и язык запросов Cypher, что позволяет увидеть небезопасные связи между объектами, которые не очевидны при обычном линейном рассмотрении. В книге приводятся интерфейсы BloodHound и базы данных neo4j. Также мы знакомимся с языком запросов Cypher на реальных примерах, а в завершение рассматриваем, как можно расширить функционал BloodHound, чтобы повысить эффективность утилиты.
01. Общая информация и настройка лаборатории
Любой проект начинается со сбора и анализа информации, и проекты по наступательной безопасности не исключение. Можно сказать, что это один из самых важных этапов проекта: качество собранной информации позволит эффективно выполнить поставленные задачи и уменьшить количество потраченного времени.
В результате сбора информации мы получаем большой объем данных, который необходимо изучить и извлечь важное содержание. В линейных строковых данных не всегда можно эффективно определить связи между двумя объектами. Визуализация данных в виде графов помогает определить связь между двумя объектами и показать причину возникновения этой связи. Также графы помогают определить дальнейшие шаги при выполнении работ.
Графы можно рисовать на бумаге или в приложениях (например, visio), но при использовании этого метода могут быть упущены некоторые связи. Существуют инструменты, которые на основе полученных данных могут показать связи между объектами, даже если эти связи на первый взгляд неочевидны. Среди них Adelante[1], Ping Castle[2] и BloodHound[3]. Именно о BloodHound эта книга.
Что такое BloodHound
BloodHound состоит из трех элементов:
1. BloodHound – это одностраничное веб-приложение, написанное на Java Script; при создании приложения используется Linkurious. Для компиляции используется Electron.
2. Neo4j – база данных для хранения информации, в которой используется язык запросов Cypher.
3. SharpHound – сборщик информации из Active Directory.
BloodHound использует теорию графов, чтобы показать скрытые и часто непреднамеренные связи в среде Active Directory или Azure.
Область применения
Наступательная безопасность: специалисты по информационной безопасности могут использовать BloodHound для обнаружения очень сложных последовательностей атак, которые обычным способом невозможно быстро обнаружить.
Кроме наступательной безопасности этот инструмент может использоваться и в других областях для обеспечения безопасности, например:
