Die zunehmenden Risiken nicht-menschlicher Identitäten ins Rampenlicht rücken

Startseite » Blog » Die zunehmenden Risiken nicht-menschlicher Identitäten ins Rampenlicht rücken

Active Directory Servicekonten: Ein genauerer Blick auf eine der häufigsten NHIs und ihre Rolle bei der lateralen Bewegung

Die Sicherheit von nicht-menschlichen Identitäten (Non-Human Identities, NHIs) ist für Sicherheitsbeteiligte derzeit ein wichtiges Thema. Aber was genau ist eine nichtmenschliche Identitätund wie wirken sie sich auf die Cybersicherheitslage eines Unternehmens aus? NHI ist ein weit gefasster Begriff, der beschreibt, wenn einer Maschine, Anwendung oder einem Dienst Anmeldeinformationen gegeben werden, um eine automatisierte Aufgabe oder Aktion auszuführen. Es gibt viele Arten von NHIs, darunter API-Schlüssel, Dienstkonten, Systemkonten, OAuth-Token und andere. Nehmen wir an, IT-Manager Bob schreibt ein Skript, in dem er eine Maschine auffordert, täglich ein Backup auf einem Server durchzuführen. Bob gibt der Maschine Anmeldeinformationen und Zugriff, um das automatisierte Backup durchzuführen. Dies ist ein NHI.

In der heutigen Untersuchung konzentrieren wir uns auf die am weitesten verbreitete und am häufigsten gefährdete Art von NHI: Active Directory Dienstkonten. Innerhalb des großen Pools von NHI-Typen sind Dienstkonten – die für die Maschine-zu-Maschine-Kommunikation innerhalb von Microsofts Active Directory(AD)-Umgebungen – sind am besorgniserregendsten. Diese Identitäten sind genauso anfällig für potenzielle Kompromittierungen und Missbrauch wie menschliche Identitäten. Tatsächlich könnten sie aufgrund mangelnder Transparenz und Schutzes in der Vergangenheit sogar noch stärker gefährdet sein. Normalerweise haben sie privilegierten Zugriff auf sensible Rechner, was sie praktisch zu Administratorkonten macht.

Wir haben Daten aus den letzten 12 Monaten aufgedeckt, die uns helfen, diese Fragen zu beantworten. In unserer Untersuchung untersuchen wir den Umfang von AD-Dienstkonten, ihre Gefährdung durch Kompromittierungen und das Vertrauen von Identitätssicherheit Teams in ihrer Fähigkeit, sie zu entdecken und zu schützen.

Warum NHIs (AD-Dienstkonten) die besten Freunde eines Angreifers sind

Angreifer zielen standardmäßig auf Dienstkonten ab für seitliche Bewegung aufgrund ihrer hohen Zugriffsrechte, geringen Sichtbarkeit und Schutzprobleme. Und in vielen Fällen bleiben Servicekonten unter dem Radar der Sicherheits- und Identitätsteams, weil diese nicht einmal wissen, dass sie existieren. Um das gleiche Beispiel wie oben zu verwenden: Wenn IT-Manager Bob die Sicherung eines Servers automatisiert, dann aber das Unternehmen verlässt, läuft diese automatisierte Machine-to-Machine-Aufgabe unbemerkt und unüberwacht weiter. Das Servicekonto hat weiterhin Zugriff auf den Server und den Backup-Server und ist damit ein verlockendes Ziel für einen böswilligen Akteur.

Die Risiken, die mit einem gehackten Servicekonto verbunden sind, sind enorm, da dies auch zur Gefährdung der gesamten SaaS-Umgebung des Unternehmens führen kann. Obwohl Servicekonten nicht von AD mit dem Cloud-Identitätsanbieter (IdP) synchronisiert werden sollen, kommt es äußerst häufig vor, dass Identitätsteams sie versehentlich synchronisieren. Obwohl diese Konten standardmäßig nicht für den Zugriff auf SaaS-Ressourcen verwendet werden können, kann ein Angreifer, der über Administratorzugriffsrechte für den Cloud-IdP verfügt, sie aktivieren und ihnen Zugriffsrechte zuweisen.

Beispiel eines Angriffsablaufs:

  1. Der Angreifer erhält Administratorzugriffsrechte für die Cloud-IdP-Verwaltungskonsole.
  2. Sobald der Angreifer sich im System befindet, sucht er nach synchronisierten Dienstkonten (Namenskonventionen sind dabei eine nützliche Orientierungshilfe), bis er eines findet.
  3. Der Angreifer konfiguriert eine Zugriffsrichtlinie für das ausgewählte Dienstkonto und weist ihm Zugriffsrechte für SaaS-Apps zu.
  4. Der Angreifer verwendet dann das Dienstkonto, um auf die SaaS-Umgebung zuzugreifen und dort zu agieren.

Die schiere Menge an AD-Dienstkonten ist alarmierend

Servicekonten machen einen großen Teil der Gesamtnutzer im AD eines Unternehmens aus.

Im Durchschnitt sind etwa ein Drittel der Benutzer in AD Dienstkonten. Das Verhältnis von Dienstkonten zu den gesamten Identitäten ist in größeren Unternehmen kleiner, aber das bedeutet nicht, dass sie in absoluten Zahlen weniger Dienstkonten haben. Um das in einen Kontext zu setzen: Ein großes Unternehmen mit 100,000 Benutzern in AD hätte wahrscheinlich etwa 23,000 aktive Dienstkonten.

In kleineren Organisationen sind fast die Hälfte aller AD-Benutzer Dienstkonten mit umfassenden Berechtigungen und Zugriffsrechten.

Gefährdungspotenzial von Servicekonten

Schwache Authentifizierungsprotokolle machen Dienstkonten angreifbar

NTLM existiert noch immer in vielen Windows-Domänen, obwohl es ein sehr schwaches Beglaubigung Protokoll, das anfällig für den Zugriff auf Anmeldeinformationen und die laterale Bewegung ist. Tatsächlich 46 % der Servicekonten authentifizieren sich regelmäßig über dieses veraltete Protokoll und sind dadurch einem höheren Risiko von Kompromittierungen ausgesetzt. 

Die Sichtbarkeit von Servicekonten ist bestenfalls unklar

Die Teams sind sich nicht sicher, ob sie über eine genaue Bestandsaufnahme der Servicekonten verfügen.

Vollständige Transparenz über alle Ihre menschlichen und nichtmenschliche Identitäten ist grundlegend für eine gute Identitätssicherheit. Ein aktuelles Whitepaper von Osterman Research ergab jedoch, dass nur 5.7 % der Organisationen haben vollständige Transparenz über ihre Servicekonten, während 62 % nur eine teilweise Transparenz haben. 

Die meisten NHIs, einschließlich Servicekonten, können nicht mit MFA geschützt werden, und der Mangel an Transparenz in ihre Aktivitäten schließt die Möglichkeit aus, sie in einem Privileged Access Management (PAM)-Tresor mit Kennwortrotation.

Das Vertrauen in den Schutz von Dienstkonten ist minimal

Der Schutz von Dienstkonten stellt für Unternehmen eine große Herausforderung dar

Nur eine von fünf Organisationen ist zuversichtlich, dass sie Angreifer daran hindern kann, ein Servicekonto für böswillige Zugriffe zu verwenden. Das bedeutet, dass 1 % der Organisationen den Missbrauch von Servicekonten aufgrund sporadischer oder fehlender Transparenz und Sicherheit nicht in Echtzeit verhindern können. 

Seitliche Bewegungen sind dem Verteidiger weiterhin ein Dorn im Auge

Sich lateral durch eine Organisation zu bewegen, ist für einen Angreifer ein absolutes Muss, und Service-Konten sind eines ihrer Hauptziele. Beunruhigenderweise sind nur 22.4 % der Organisationen zuversichtlich, dass sie laterale Bewegungen mit kompromittierte Zugangsdaten in ihren Umgebungen.

Blick in die Zukunft: NHIs stellen eine Herausforderung dar, aber es gibt Lösungen 

NHIs machen einen erheblichen Teil der gesamten Identitäten einer Organisation aus. Das Volumen der NHIs wird weiter steigen, da wir das Tempo der Automatisierung, Innovation und des großen Verstärkers – der künstlichen Intelligenz – beschleunigen. Heute haben wir einen einzigen Typ von NHI analysiert, der in einer typischen Organisation verwendet wird, aber es ist nicht schwer, sich eine Menge ähnlicher Ergebnisse vorzustellen, wenn wir unseren Umfang erweitern und die Analyse auf andere Typen von NHIs anwenden, die regelmäßig in Organisationen weltweit verwendet werden. Der Angriff auf ein einzelnes NHI-Dienstkonto könnte Angreifern Zugriff auf mehrere Ressourcen verschaffen, was es zu einem idealen Ziel für Angreifer macht – ob raffiniert oder nicht. Und sie werden selten auf großen Widerstand stoßen, da Standardsicherheitskontrollen wie herkömmliche MFA kann normalerweise nur die menschliche Identität schützen. 

Zusammen mit der Tatsache, dass nur eine von fünf Organisationen ist sehr zuversichtlich, Identitätsbedrohungen verhindern zu können, doch dies zeichnet ein alarmierendes Bild.

Schritte zum Schutz Ihrer nicht-menschlichen Identitäten

1. Anstreben geringstes Privileg: Beschränken Sie den Zugriff auf kleinster Ebene, insbesondere bei privilegierten, nicht-menschlichen Konten, basierend auf Quelle, Ziel, Protokoll, Zeit und anderen Faktoren. Übermäßige Berechtigungen können in einer Organisation zu unbeabsichtigten Risiken wie Datenverlust oder -diebstahl führen und mehr und unnötige Ziele für Phishing-Angriffe schaffen.

2. Definieren Sie Ihr „Normal“: Um ein Risiko oder eine als anormal geltende Aktivität in einem Netzwerk zu ermitteln, müssen Sie eine klare Basis dafür festlegen, wie „normales“ Verhalten für alle Identitäten aussieht, sowohl für Menschen als auch für Nicht-Menschen. Dies sollte besonders einfach für Servicekonten sein, deren Verhalten sehr vorhersehbar und repetitiv ist – vorausgesetzt natürlich, Sie haben bereits Einblick in Ihre NHIs.

3. Ungewöhnliche Aktivitäten schnell erkennen:  Mit der die richtigen Tools zur proaktiven Überwachung und Warnung Auf diese anormalen Aktivitäten können die Teams dann schnell reagieren. Dies hilft, weitere Abweichungen zu identifizieren und zu verhindern, und wenn Angreifer sind Wenn ein Angreifer versucht, in das Netzwerk einzudringen, kann das Sicherheitsteam den Umfang seines Angriffs wirksam eindämmen und begrenzen.

4. Zugriffsversuche atypischer Dienstkonten automatisch blockieren: Die bloße Erkennung reicht nicht aus. Sie sollten auch in der Lage sein, einem mutmaßlich kompromittierten Dienstkonto aktiv den Zugriff auf die Zielressource zu verweigern.

5. Suchen Sie nach einem Tool, das MFA über menschliche Identitäten hinaus erweitert. MFA ist eine bewährte Sicherheitskontrolle, die immer wieder bewiesen hat, dass sie Angreifer abwehrt. Indem Sie MFA auf Ressourcen ausweiten, die früher nicht geschützt werden konnten, führen Sie endlich eine „Doppelprüfung“ bei jeder Authentifizierungsanfrage durch – sogar bei NHIs. Erfahren Sie mehr darüber, wie Silverfort kann helfen, Ihre NHIs zu schützen.

Berichtsmethodik

In Silverfort's Identity Underground-Bericht, Wir haben uns Hunderttausende von Datenpunkten bei Hunderten von Kunden unterschiedlicher Größe und Branchen angesehen, um das Ausmaß des Problems der nicht-menschlichen Identität zu bestimmen, mit einem Schwerpunkt auf hochprivilegierten und weit verbreiteten Active Directory Dienstkonten.

Wir haben außerdem eine Studie mit Osterman Research durchgeführt, die Antworten von 637 Personen in Identitätsrollen im Zeitraum Mai-Juni 2023 umfasste. Um sich zu qualifizieren, mussten die Befragten in Organisationen mit mindestens 1,000 Mitarbeitern arbeiten. Die Umfragen wurden in sechs Ländern durchgeführt, wobei die Umfragen in Frankreich und Deutschland auf Französisch bzw. Deutsch durchgeführt wurden. Die Umfrage war branchenübergreifend und es wurden keine Branchen ausgeschlossen oder eingeschränkt.

Stoppen Sie Identitätsbedrohungen jetzt