Cómo Silverfort Le permite detectar y resolver riesgos de identidad sin esfuerzo

Cuando se trata de proteger a las organizaciones contra riesgos, ¿qué significa visibilidad? Es una palabra que se utiliza a menudo en la industria de la seguridad, aunque rara vez se define completamente.

En el contexto de los Protección de la identidad, la visibilidad es la capacidad de ver y gestionar todos los datos y riesgos de seguridad asociados con una cuenta de usuario – y obtener conocimientos prácticos a partir de esa información. Esto es importante porque, sin una visibilidad completa de elementos como la actividad del usuario y de autenticación, los permisos de acceso, las identidades de riesgo, las aplicaciones autorizadas, etc., se podrían estar dejando brechas críticas de seguridad de identidad sin siquiera saberlo.

En esta publicación, destacaremos los diferentes desafíos que experimentan las organizaciones cuando no tienen visibilidad completa de la actividad de sus usuarios y las solicitudes de autenticación. Después, mostraremos cómo Silverfort permite a los clientes obtener una visibilidad completa en sus entornos, lo que permite la detección en tiempo real y conocimientos prácticos para resolver riesgos de identidad con casi ningún esfuerzo.

La gestión de usuarios conlleva una falta de contexto y visibilidad

En la mayoría de los casos, un usuario típico está asociado con varias identidades diferentes en servicios locales o en la nube en el entorno híbrido de su organización.

Además, la mayoría de los directorios de usuarios carecen de herramientas para informar sobre los datos y los riesgos asociados con una identidad particular. La gran cantidad de datos de usuario que residen en sistemas como Active Directory o el SIEM de una organización puede hacer que sea difícil rastrear, administrar y monitorear las identidades de los usuarios, los permisos de acceso y ver las actividades de manera efectiva.

Lamentablemente, muy pocas soluciones pueden agregar todos los datos de inventario y de identidad. Esto da como resultado información fragmentada e incompleta sobre quién tiene acceso a qué recursos y cómo los utilizan. Como resultado, incluso si los administradores de seguridad conocen algunas o todas las identidades y actividades asociadas con un usuario, es posible que no comprendan claramente qué permisos se han asignado, heredado o compartido. Este es un serio desafío para la protección de la identidad.

Debido a esta falta de visibilidad, pueden surgir posibles riesgos relacionados con la identidad, como acceso no autorizado o uso indebido de privilegios. Sin una visibilidad completa de sus usuarios y sus capacidades de acceso, resulta cada vez más difícil proteger datos confidenciales y activos críticos. Por eso es imperativo reconocer que la seguridad realmente comienza con la visibilidad.

Silverfort Proporciona visibilidad completa a todos los usuarios

Silverfort descubre y protege automáticamente todos cuentas de usuario en un entorno híbrido contra amenazas basadas en identidad y proporciona visibilidad centralizada de cada solicitud de autenticación y acceso. Como resultado de Silverfortintegraciones nativas con todos los proveedores de identidad, incluidos Active Directory, puede registrar cada solicitud de autenticación. Esto proporciona una vista unificada de toda la actividad de la red en cada usuario y cualquier recurso en el entorno híbrido.

Con visibilidad completa de toda la actividad del usuario, SilverfortEl motor de riesgos de puede determinar la legitimidad de cada autenticación, de modo que las organizaciones puedan detectar y responder a posibles amenazas de seguridad en tiempo real, incluido el bloqueo del acceso de cualquier cuenta que muestre un comportamiento anómalo.

Esto es sólo un vistazo de cómo SilverfortLas capacidades de visibilidad de pueden ayudarle a fortalecer su gestión de la postura de seguridad de la identidad. Ahora, veamos cómo puede obtener visibilidad de todos los usuarios en el Silverfort consola.

Visibilidad de la actividad y autenticación del usuario

Contexto de usuario completo

La Silverfort La pantalla de registros proporciona visibilidad completa de todos los registros de usuarios, actividad de autenticación e indicadores de riesgo. El momento Silverfort está integrado con su IDP, se detectan todas las cuentas de usuario, lo que le permite monitorear su actividad y los riesgos asociados. A medida que se detecta a cada usuario, se muestran sus detalles, incluido el nombre de usuario, el nivel de riesgo asignado por Silverfort, tipo de autenticación, SilverfortLa acción y el resultado del IdP.

Filtrado por indicadores de riesgo

En la pantalla Registros, los usuarios pueden filtrar sus registros según el tipo de cuenta o el indicador de riesgo. Esto permite al usuario ver a sus usuarios según los diferentes indicadores de riesgo que han sido detectados y asignados por SilverfortEl motor de riesgo. Silverfort admite indicadores de riesgo de muchos usuarios diferentes, como NTLMv1, kerberoasting, fuerza bruta, MFA bombardeos, actividad anormal de MFA, autenticaciones fallidas y muchos más. Al filtrar por indicador de riesgo, obtiene visibilidad e información completa sobre sus usuarios riesgosos, y ahora puede remediar los diferentes riesgos que presenta cada usuario.

Aquí hay dos indicadores de riesgo destacados que muchos de nuestros clientes tienden a filtrar dentro de sus Silverfort Pantalla de registros de la consola:

NTLMv1

¿Qué es? NTLMv1 es la versión heredada del protocolo NTLMv2 que se utiliza hoy en día en Active Directory . 

¿Qué lo hace riesgoso?? NTLMv1 utiliza algoritmos de cifrado relativamente débiles, que los atacantes pueden descifrar fácilmente al interceptar su tráfico de autenticación. Esto hace que los entornos que utilizan NTLMv1 estén críticamente expuestos a riesgos.

¿Cómo le puedo Silverfort ¿Los usuarios aplican esta característica? Silverfort descubre todas las autenticaciones NTLMv1 dentro de un entorno. SilverfortEl motor de riesgo detecta autenticaciones NTLMv1 y las marca como un indicador de riesgo, que puede usarse como filtro para descubrir máquinas que realizan autenticaciones similares y también como activador de política de acceso.

Dentro de la pantalla Registros de autenticación, marque la casilla Autenticación NTLMv1. Una vez marcada, todas las autenticaciones coincidentes se muestran con todos los campos estándar de autenticación (origen, destino, etc.) que se pueden mejorar aún más con filtros adicionales. 

Además de proporcionar visibilidad sobre cuándo se utilizan las autenticaciones NTLMv1, Silverfort También puede protegerlo a usted y a su organización al impedir el uso de NTLMV1. nuestra entrada de blog Silverfort Permite a las organizaciones resolver los riesgos de NTLMv1 detalla cómo puede protegerse contra el uso de autenticaciones NTLMv1.

Administradores en la sombra

¿Qué es? Administradores en la sombra son cuentas de usuario que poseen acceso de administrador o son capaces de obtenerlo, a pesar de no ser miembros de un grupo de administración documentado. Los equipos de TI generalmente desconocen estas cuentas porque no hay documentación sobre los privilegios excesivos que poseen.

¿Qué los hace riesgosos? Dado que el equipo de TI no considera estas cuentas como cuentas de administrador, no están sujetas a controles de seguridad de cuentas de administrador comunes (PAM, Ministerio de Asuntos Exteriores, etc.). Esto convierte a estas cuentas en un objetivo lucrativo para adversarios que pueden comprometerlas fácilmente y abusar de sus privilegios para acceso malicioso.

¿Cómo puedo detectar administradores en la sombra con Silverfort?  In SilverfortEn la pantalla Registros de autenticación, agregue el Indicador de riesgo filtrar y comprobar Administradores en la sombra. Hacer clic Aplicá y ajuste el rango de tiempo para adaptarlo a su programa de monitoreo. Esto mostrará todos los administradores paralelos que se agregaron al entorno durante este período.

Al descubrir una cuenta, puede hacer clic en el ícono de investigación para ver exactamente a qué recursos ha intentado acceder desde que se creó. Luego puede decidir si eliminarlos por completo o eliminar sus permisos redundantes.

Gestión de la postura de seguridad de la identidad

Las organizaciones pueden ver el inventario de identidad de su entorno en la pantalla de información de la Silverfort consola, incluidos usuarios, recursos, usuarios de riesgo y más.

Esta pantalla muestra los tipos de usuarios y recursos en su entorno, así como las debilidades en su seguridad que los adversarios pueden aprovechar para lanzar amenazas a la identidad. Entre ellos se encuentran los administradores paralelos, los usuarios administradores con SPN, las cuentas con contraseñas que no caducan y muchos más.

Esta pantalla le permite recopilar información útil sobre la situación de seguridad de su entorno y tomar medidas para resolverla, lo que hace que sea mucho más difícil para los actores de amenazas atacar su empresa.

La visibilidad en tiempo real es la base de la protección de la identidad

La visibilidad completa de los recursos y usuarios en entornos híbridos se está convirtiendo en una prioridad para las organizaciones que buscan adoptar un enfoque proactivo para la protección de la identidad. La buena noticia es que con Silverfort, pueden obtener una visibilidad integral de toda su identidad. superficie de ataque de forma sencilla y totalmente automatizada. Este es el primer paso para proteger su entorno contra amenazas de identidad y reducir la probabilidad de un ataque exitoso.

¿Busca obtener visibilidad completa en todo su entorno? Comuníquese con uno de nuestros expertos esta página.