Protección contra el riesgo de los administradores en la sombra

Los administradores en la sombra son una de las superficies de ataque clave que los adversarios aprovechan habitualmente. El patrón de descubrir a un usuario al que se le han asignado inadvertidamente altos privilegios de acceso es muy común en las operaciones cibernéticas actuales. Esto hace que la capacidad de detectar y prevenir el abuso de estas cuentas sea una máxima prioridad tanto para los equipos de identidad como de SecOps. En este artículo explicaremos en detalle cómo SilverfortLas capacidades de detección y amenaza de identidad (ITDR) permiten el descubrimiento rápido de cuentas de administrador en la sombra existentes, la capacidad de monitorear nuevas a medida que aparecen y asegurar su acceso con MFA políticas.

Resumen de los administradores en la sombra: qué son y qué riesgos introducen

Los administradores en la sombra son cuentas de usuario que tienen acceso de administrador o tienen una manera de lograrlo sin ser parte de un grupo de administración documentado. Como tal, ni los equipos de Identidad ni de Seguridad son conscientes de su existencia y, por lo tanto, no les aplican el monitoreo y la protección estándar que todas las cuentas de administrador requieren.

El ejemplo más común de esto son las cuentas de usuario que tienen el privilegio de restablecer la contraseña de los usuarios administradores. Si el adversario obtiene el control de este tipo de cuenta, podrá usarla para restablecer las contraseñas de los administradores y abusar del alto nivel de privilegios que la acompaña para acceder a los recursos a voluntad.

Para obtener una explicación detallada de los administradores paralelos, lea este artículo.

Silverfort descripción general de la protección del administrador en la sombra

Silverfort permite a los equipos de Identidad y SecOps descubrir fácilmente administradores paralelos en sus entornos y eliminarlos o eliminar sus permisos redundantes. Además, los equipos tienen la capacidad de monitorear continuamente la aparición de nuevas cuentas de administrador en la sombra, así como tomar medidas de protección proactiva contra el intento de cualquier cuenta de administrador en la sombra de obtener acceso a un recurso específico, incluso ir tan granularmente como aplicar políticas de MFA en Intentos de restablecimiento de contraseña para administradores en la sombra.   

Estas protecciones son igualmente efectivas tanto para las cuentas a las que se les asignó inadvertidamente un acceso con privilegios más altos como contra cualquier manipulación de la cuenta que los adversarios puedan realizar y que incluya la modificación de los permisos y privilegios originales de la cuenta.

Veamos exactamente cómo se hace esto en Silverfortla consola de:

Descubrimiento y eliminación de administradores en la sombra

Propósito: eliminar a todos los administradores en la sombra presentes

In Silverfort, Detección de amenazas pantalla, debajo de Superficie de ataque Administración sección, buscar Administradores en la sombra. En este ejemplo hay dos de estos.

Al hacer clic en el Administradores en la sombra El espacio abre una ventana que muestra todos los detalles de estas cuentas.

Ahora que tenemos los nombres de estos administradores en la sombra, podemos ubicarlos en Active Directory y eliminar sus permisos adicionales o eliminarlos por completo.

Monitoreo continuo de administradores en la sombra

Propósito: detecta nuevos administradores en la sombra tan pronto como aparecen

On Silverfort, Registros de autenticación pantalla, agregue un Indicador de riesgo filtrar y comprobar Administradores en la sombra.

Haga Clic en Aplicá y luego ajuste el rango de tiempo para adaptarlo a su cadencia de monitoreo. Esto le mostrará todos los administradores paralelos que se han agregado al entorno dentro de este período de tiempo.

Después del descubrimiento, puede hacer clic en el ícono de investigación de cada cuenta para ver exactamente a qué recursos ha intentado acceder desde su creación.

A continuación, puede proceder a eliminar la cuenta o reducir sus permisos, similar a lo que se describe en la sección sobre descubrimiento y eliminación de administradores en la sombra. 

Prevención de riesgos n.º 1: MFA en todos los accesos de administrador paralelo

Propósito: evita que los administradores paralelos se conecten a recursos sin una verificación explícita del usuario

On Silverfort, Políticas internas pantalla, cree una nueva política. Controlar Active Directory como el Tipo de autenticación

y luego verifique Kerberos/NTLM or LDAP, según sus necesidades (o si ambas son necesarias, cree dos políticas). Elegir Basado en riesgos para el tipo de póliza y hacer que se active mediante Indicador de riesgo. En la Indicadores de riesgo casilla de verificación Administrador en la sombra.

Una vez habilitada, esta política impondrá la verificación MFA de cualquier cuenta que SilverfortEl motor de riesgos se identifica como un administrador en la sombra. Si esta cuenta se viera comprometida, esta política privará a un adversario de la capacidad de utilizar esta cuenta para acceso malicioso.

Silverfort es la única solución que puede extender la protección MFA a este tipo de autenticación.

Prevención de riesgos n.º 2: MFA en el intento de restablecer la contraseña del administrador paralelo

Propósito: Evite que los adversarios utilicen administradores en la sombra para restablecer la contraseña de otras cuentas.

Como se mencionó anteriormente, el uso de un administrador paralelo para restablecer la contraseña de cuentas de administrador adicionales con mayores privilegios de acceso es una táctica común de los actores de amenazas. 

Silverfort permite a los usuarios mitigar este riesgo de la siguiente manera:

In Silverfort, Políticas internas pantalla, cree una nueva política. Controlar Active Directory como el Tipo de autenticación,

Entonces revisa kerberos/NTLM,elegir Basado en riesgos como tipo de póliza, luego verifique el Administrador en la sombra indicador de riesgo.

En Destino campo, en lugar de colocar nombres o grupos de máquinas como en la política anterior, elija krbtgt. Esto aplicará la política a cualquier intento de acceso a la cuenta krbtgt dentro de los controladores de dominio en el entorno.

Después de elegir krbtgt como destino, haga clic en él para mostrar la lista de servicios. Comprobar el kadmin/cambiopw y deja los demás en blanco. (Este es el servicio que realiza el restablecimiento de contraseña).

Habilitar la política ahora activará una MFA cada vez que cualquier cuenta Silverfort ha marcado como un administrador en la sombra intenta restablecer la contraseña de otra cuenta, mitigando completamente este riesgo.

Silverfort es la única solución que puede extender la protección MFA a este tipo de autenticación.

El descubrimiento automatizado y la protección en tiempo real son las claves para mitigar el riesgo de los administradores en la sombra

SilverfortLa protección de contra el uso malicioso de los administradores en la sombra es parte de su visión de cómo  Protección de identidad deben diseñarse y practicarse. Silverfort es la primera solución que proporciona de extremo a extremo ITDR capacidades a través de Active Directory ambientes. Al aplicar monitoreo continuo, análisis de riesgos y aplicación activa de políticas en cada intento de autenticación y acceso, Silverfort puede automatizar el descubrimiento de administradores en la sombra y ofrecer protección en tiempo real contra su abuso.

¿Busca resolver los desafíos de la administración paralela en su entorno? Comuníquese con uno de nuestros expertos esta página.