Seguridad de identidad en fusiones y adquisiciones: obtenga visibilidad en entornos consolidados con Silverfort 

Índice del Contenido

Comparte este artículo:

Cuando una empresa pretende adquirir otra organización mediante una fusión o compra, es importante saber qué riesgos de seguridad podrían acompañar la adquisición. Sin esto, las organizaciones podrían exponerse a riesgos de seguridad significativos. financiero y desafíos legales. 

Después de una fusión y adquisición, los equipos de TI deben fusionar diferentes tecnologías y recursos a medida que las organizaciones participantes están cada vez más interconectadas. Un entorno recién adquirido trae sus propios sistemas de TI, redes y cuentas de usuario – junto con sus propios riesgos únicos – a una infraestructura existente. Esto puede resultar en un entorno altamente complejo donde los administradores pueden tener dificultades para comprender todos los recursos, aplicaciones y usuarios de la entidad consolidada. 

La nueva entidad consolidada debe poder combinar todos los dominios y recursos en una única infraestructura de TI unificada. Esto significa comprender el tipo de cuentas y recursos que necesita migrar; por ejemplo, qué cuentas son cuentas de servicio y qué tipo de aplicaciones necesita fusionar. En la mayoría de los casos, el equipo de TI no sabrá mucho sobre el entorno adquirido o sus usuarios. 

Esta falta de visibilidad del nuevo entorno, sus recursos y sus usuarios crea un importante punto ciego y, potencialmente, muchos más riesgos de seguridad.  

SilverfortProtección de consolidación de dominios 

Con Silverfort, las organizaciones pueden migrar rápida y fácilmente los recursos y usuarios del nuevo entorno al dominio de la entidad principal, acelerando el proceso de integración posterior a la fusión. Silverfort También puede ofrecer a las organizaciones una visibilidad completa de sus entornos existentes y entrantes, permitiéndoles proteger ambos e identificar cualquier riesgo asociado con la integración. Al aplicar nuevas medidas de seguridad con Silverfort, las organizaciones pueden defenderse proactivamente contra las amenazas cibernéticas entrantes, como movimiento lateral ataques. 

Visibilidad y seguimiento de cuentas de servicio 

Silverfort Identifica automáticamente todas las cuentas de servicio y las supervisa. autenticación y comportamiento dentro de un entorno consolidado. Silverfort es capaz de lograr esto ya que las cuentas de máquina y de servicio exhiben patrones de comportamiento predecibles, lo que permite la identificación y categorización automática en la pantalla Cuentas de servicio. 

Silverfort también admite cuentas de servicio administradas de grupo (gMSA) y ofrece un filtro que le permite ver cada gMSA en su sistema. Cada gMSA será detectado y tratado como cualquier cuenta de servicio

Captura de pantalla n. ° 1: SilverfortLa pantalla Cuentas de servicio muestra el nombre de la cuenta de servicio, el origen, el destino, el número de autenticaciones, la puntuación de riesgo, el cambio de referencia y la información de la cuenta.

Silverfort identifica cuentas de servicio de varias maneras diferentes: 

• Análisis de comportamiento – Silverfort rastrea el comportamiento de la cuenta para identificar patrones de tráfico repetitivos. 

• Configuración de AD – Silverfort Comprueba los atributos de la cuenta en AD para encontrar características comunes a las cuentas de servicio. 

• Convenciones de nombres - Silverfort contiene un depósito de convenciones de nomenclatura que normalmente se utilizan para las cuentas de servicio. 

• Información personalizada – Silverfort recibe comentarios del administrador sobre la estructura de las cuentas de servicio en los entornos del cliente (como OU, SG y convenciones de nomenclatura). 

• gMSA: los diferentes tipos de cuentas definidos en AD se utilizan como cuentas de servicio. 

Monitoreo y análisis de riesgos de cuentas de servicios

Una vez identificadas todas las cuentas de servicio migradas, puede monitorear su actividad y los riesgos asociados. Silverfort proporciona información y visibilidad en tiempo real de todos los detalles y el comportamiento de la cuenta de servicio, mientras monitorea y audita continuamente su uso. 

Con monitoreo continuo de todas las actividades de autenticación y acceso de todas las cuentas de servicio migradas, Silverfort puede evaluar el riesgo asociado con cada intento de autenticación y detectar cualquier comportamiento sospechoso o anomalía. 

Captura de pantalla n. ° 2: SilverfortLa pantalla de investigación muestra información sobre la actividad de una cuenta de servicio específica.

Visibilidad de la actividad del usuario y las autenticaciones 

Usando la pantalla Registros en el Silverfort consola, las organizaciones tendrán visibilidad completa de todos los registros de usuarios y la actividad de autenticación. Para aquellas que se encuentran en proceso de fusión, las organizaciones obtendrán una mejor comprensión de los usuarios entrantes, a qué intentan acceder y cuál es su puntuación de riesgo. 

Captura de pantalla n. ° 3: SilverfortLa pantalla de registros de autenticación proporciona visibilidad completa de todos los registros de usuarios, actividad de autenticación e indicadores de riesgo.

Puede ver detalles de los registros de un usuario, la actividad de autenticación y los indicadores de riesgo, y obtener más información útil haciendo clic en el ícono "investigar" al lado del usuario en la pantalla Registros. Con estos detalles, las organizaciones están equipadas con visibilidad completa de cada usuario y su actividad de autenticación. 

Captura de pantalla n. ° 4: SilverfortLa pantalla de investigación de usuarios proporciona una revisión detallada de las actividades de autenticación de un usuario seleccionado para mostrar sus solicitudes de acceso en su entorno.

Como resultado de tener una visibilidad completa de los recursos migrados, las cuentas de servicio y los usuarios, las organizaciones pueden estar seguras de que su entorno consolidado está protegido y su situación general. seguridad de identidad El manejo de la postura está actualizado.  

Firewall de autenticación en acción: prevención de un ataque de movimiento lateral entre dominios múltiples 

La necesidad de mejorar la visibilidad y los controles de seguridad en todas las entidades del dominio durante las fusiones y adquisiciones se destacó en uno de los SilverfortLos clientes. Durante abril de 2024, un fabricante europeo buscó nuestros servicios de seguridad de identidad para ayudarlo con sus capacidades de búsqueda de amenazas, ya que entendió que una de las empresas que había adquirido había sido comprometida y sometida a un ciberataque.  

Como parte de una adquisición mayor, este cliente también adquirió una entidad más pequeña con sede en EE. UU. que integró a su organización. En ese momento, crearon una confianza bidireccional entre los dominios de sus entidades para integrar el dominio más pequeño en la organización recién consolidada. Sin que el equipo de TI lo supiera, la entidad adquirida tenía controles de seguridad limitados: no tenían ningún MFA protección para el acceso a VPN o cualquier EDR en el punto final. Como resultado, la entidad adquirida se vio comprometida por actores maliciosos que intentaron moverse lateralmente desde la entidad más pequeña al dominio del cliente para realizar una ransomware ataque.  

El flujo de ataque: 

  1. Acceso inicial: Utilizando una autenticación VPN segura, el atacante atacó a tres usuarios diferentes en siete servidores con un ataque de fuerza bruta y los comprometió con éxito.  
  1. Compromiso de credenciales: Desde su presencia inicial en el entorno y el compromiso del usuario objetivo, el atacante cambió su contraseña y creó nuevos usuarios con los mismos privilegios.  
  1. Movimiento lateral: Con la cuenta comprometida, el atacante intentó moverse lateralmente al dominio más grande, que es un Silverfort cliente. El dominio más grande comenzó a ver intentos de acceso malicioso a su dominio y se acercó a Silverfort para obtener ayuda. 

El flujo de protección: 

  1. In Silverfortla consola y trabajando con el Silverfort equipo de caza de amenazas, entendieron que estaban siendo atacados y rápidamente aplicaron políticas de denegación de acceso para detener cualquier acceso desde la dirección IP de la entidad comprometida. 
  1. El equipo de seguridad del cliente segmentó el dominio de la entidad para garantizar que no se produjera ningún acceso malicioso en su dominio. Esto bloqueó inmediatamente el movimiento lateral.  
  1. Tras la implementación de un firewall de autenticación con políticas de denegación y segmentación de identidad, el equipo usó Silverfort para rastrear el rastro de autenticación de las cuentas comprometidas hasta la máquina del paciente cero. Luego pudieron concluir la reparación y eliminar la presencia maliciosa restante del dominio comprometido. 

Este ejemplo demuestra lo vital que es tener una Protección de la identidad solución que ofrece capacidades de firewall de autenticación, incluidas políticas de aplicación de denegación de acceso, y Características de segmentación de identidad. Como resultado de contar con visibilidad en tiempo real y controles de seguridad proactivos, la organización evitó un ataque de actores de amenazas que poseían credenciales comprometidas

¿Busca obtener visibilidad completa en todo su entorno? Comuníquese con uno de nuestros expertos aqui

Nos atrevimos a llevar la seguridad de la identidad aún más lejos.

Descubra lo que es posible.

Configure una demostración para ver el Silverfort Plataforma de seguridad de identidad en acción.

Programe una demostración