Más del 80% de las organizaciones han experimentado una violación de identidad que involucró credenciales comprometidas. Credenciales comprometidas son una de las debilidades más buscadas por los atacantes para facilitar las violaciones de identidad, como el movimiento lateral y la propagación de ransomware.
Para determinar y resolver las debilidades y exposiciones de su identidad, las organizaciones deben realizar una evaluación de riesgos de identidad.
En este artículo, examinaremos los componentes clave de una evaluación eficaz del riesgo de identidad y analizaremos cómo obtener visibilidad y conocimientos completos sobre su seguridad de identidad postura con Silverfort.
Los riesgos de identidad comienzan con las debilidades de la identidad
Las organizaciones están luchando contra amenazas a la identidad, como la apropiación de cuentas, movimiento lateral y ransomware. Según un informe reciente de Silverfort y Osterman Investigación, Más del 80% de las organizaciones han experimentado una violación relacionada con la identidad. eso involucró credenciales comprometidas, con más de la mitad de estas violaciones solo en el último año.
El éxito continuo de estos ataques implica que existen vínculos débiles o brechas de seguridad a las que los atacantes apuntan para comprometer las credenciales, escalar privilegios y moverse lateralmente. El propósito de una evaluación de riesgos de identidad es descubrir estas brechas. Por ejemplo, un informe reciente El título “The Identity Underground” reveló los más críticos y frecuentes de estos eslabones débiles y reveló algunos hallazgos alarmantes, que incluyen:
- La sincronización insegura de contraseñas locales es un factor que contribuye al compromiso de las aplicaciones SaaS en el 67% de las organizaciones.
- El 37% de los administradores utiliza NTLM para autenticarse y otro 7% utiliza NTLMv1.
- El 31% de todos los usuarios de una organización son cuentas de servicio.
- El 7% de los usuarios habituales tienen privilegios de acceso a nivel de administrador sin pertenecer a ningún grupo de administradores.
Los datos anteriores son sólo una pequeña muestra que ilustra la magnitud de exposición a amenazas de identidad desafíos.
Elementos clave de la evaluación del riesgo de identidad
Las organizaciones realizan evaluaciones de riesgos de seguridad para obtener información sobre sus debilidades y exposiciones. El proceso de realización de una evaluación de riesgos implica la recopilación y análisis de datos. Específicamente, este artículo se centra en datos relacionados con la identidad, como cuentas, autenticaciones y privilegios de acceso. Una evaluación de riesgos de identidad normalmente incluye los siguientes componentes:
Datos relacionados con la identidad
Inventario de cuentas de usuario
Visibilidad total de todo cuentas de usuario, cuentas de servicio y cuentas de administrador. Un inventario detallado normalmente incluirá información como nombres, descripciones, membresías de grupos y aplicaciones asociadas con cada artículo.
Configuraciones
Una descripción general completa de las configuraciones de usuarios y directorios locales y basadas en la nube.
Patrones de acceso
Visibilidad total de todas las autenticaciones y patrones de acceso de usuarios y recursos activos, tanto locales como en la nube, incluidas cuentas de servicio y autenticación registros
Análisis de riesgo
Acceso a credenciales
El marco MITRE ATT&CK define acceso de credenciales como las técnicas que utilizan los atacantes para robar credenciales como nombres de cuentas y contraseñas. Las técnicas de acceso a credenciales incluyen el registro de teclas, el volcado de credenciales y la fuerza bruta, entre otras.
Los protocolos de autenticación más nuevos están diseñados para prevenir este tipo de ataques, pero los protocolos más antiguos como NTLMv1 tienen un cifrado débil, que puede ser fácilmente forzado. La evaluación de riesgos de identidad tiene como objetivo descubrir estas debilidades que permiten a los atacantes utilizar técnicas de acceso a credenciales.
Escalada de privilegios
Como se describe en MITRE ATT&CK, escalada de privilegios Consiste en técnicas que los atacantes utilizan para obtener permisos de nivel superior en un sistema o red. Incluso después de haber obtenido acceso inicial al entorno de la organización, es posible que los atacantes aún necesiten mayores privilegios para llevar a cabo su ataque. Por esta razón, cuentas privilegiadas son frecuentemente atacados.
Los atacantes normalmente intentarán aprovechar las debilidades y configuraciones incorrectas del sistema; por ejemplo, administradores en la sombra, que son usuarios habituales a los que, sin saberlo, se les otorgaron privilegios de administrador o privilegios de configuración/restablecimiento sobre cuentas de administrador. Los administradores ocultos pueden restablecer las contraseñas de los administradores reales, pero son usuarios habituales en todos los demás aspectos. Su anonimato también significa que no están sujetos a los mismos controles de seguridad.
Movimiento lateral
El movimiento lateral, tal como se define en el marco MITRE, son las técnicas utilizadas por los atacantes para ingresar y controlar sistemas remotos. De esta forma, los atacantes pueden ingresar al entorno y moverse sin ser detectados de un punto a otro hasta alcanzar su objetivo. Por este motivo, los atacantes están muy interesados en cuentas que carecen de visibilidad y protección por parte de las soluciones de seguridad existentes.
Las cuentas de servicio, por ejemplo, son difíciles de seguir, suelen tener muchos privilegios y no pueden protegerse mediante la rotación de contraseñas, lo que significa que pueden explotarse para realizar movimientos laterales.
Brechas en la cobertura de seguridad
Hay cuentas y recursos que los controles de seguridad no pueden cubrir y ciertas debilidades que no se pueden eliminar.
Por ejemplo, muchas organizaciones todavía utilizan sistemas heredados que no admiten de forma nativa MFA. Incluso intentar implementar manualmente soluciones de seguridad de identidad en cada aplicación o servidor heredado es difícil, ya que manipularlos puede provocar mal funcionamiento o incluso terminaciones de procesos.
Próximos pasos: seguimiento de una evaluación de riesgos
Priorización
Los distintos riesgos plantean distintas amenazas. Para resolver los riesgos identificados de manera eficaz, las organizaciones deben priorizarlos en función de su impacto potencial y probabilidad para asignar los recursos de la manera más eficiente. Por ejemplo, una organización puede comenzar con un alto nivel de riesgo. cuentas privilegiadas, aplicaciones críticas y cualquier otro factor que considere necesario.
Mitigación
Los riesgos se pueden abordar en función de su causa raíz: configuraciones erróneas, malas prácticas y brechas en la cobertura de seguridad. Se pueden tomar medidas de mitigación en consecuencia para reducir estos riesgos y mejorar la postura de seguridad de la identidad de la organización; Por ejemplo:
- Configuraciones incorrectas: Los errores de configuración ocurren cuando se aplican configuraciones incorrectas o inadecuadas durante la creación del usuario, lo que puede resultar en fallas de seguridad. Las configuraciones erróneas son inevitables, y más aún en entornos más grandes. Los administradores en la sombra, por ejemplo, son un error de configuración común. Los errores de configuración se pueden resolver restaurando las configuraciones adecuadas, por ejemplo, eliminando los privilegios excesivos otorgados a un administrador en la sombra.
- Malas prácticas: El término mala práctica se refiere a acciones tomadas de manera involuntaria o inadecuada que pueden resultar en debilidades sustanciales, como cuentas de servicios híbridos o exceso de NTLM autenticaciones. Las cuentas de servicio híbridas ocurren cuando un administrador usa un cuenta de servicio para iniciar sesión de forma interactiva o una cuenta personal para automatizar tareas. Para resolver tales malas prácticas, es necesario garantizar que TI y los administradores cumplan con las mejores prácticas de seguridad.
- Brechas en la cobertura de seguridad: Las cuentas y los recursos que no están cubiertos por los controles de seguridad generan enormes brechas de seguridad. Estas brechas generan riesgos de identidad que son muy difíciles de resolver. Por ejemplo, MFA para aplicaciones heredadas y rotación de contraseñas para cuentas de servicio. Las organizaciones deben buscar una solución para superar estos riesgos o, alternativamente, garantizar que el equipo de seguridad supervise de cerca a dichos usuarios y recursos.
Evaluación de riesgos de identidad con Silverfort
Silverfort proporciona una plataforma de seguridad de identidad unificada que previene amenazas de identidad en tiempo real. Esto permite a las organizaciones tener visibilidad total de todos los intentos de acceso y denegar el acceso a los recursos, independientemente del protocolo de autenticación, para todos los entornos de identidad híbridos, en la nube y locales.
A través de la SilverfortCon la plataforma unificada de seguridad de identidad, las organizaciones pueden realizar una evaluación integral del riesgo de identidad para revelar y mitigar todas las brechas de seguridad, configuraciones erróneas y malas prácticas que los atacantes pueden explotar para el acceso a credenciales, la escalada de privilegios y el movimiento lateral.
Gestión de la postura de seguridad de la identidad (ISPM)
Visibilidad integral de las exposiciones a amenazas de identidad, como cuentas de servicio, administradores en la sombra y protocolos heredados como NTLMv1, entre otros. Esto incluye monitorear y analizar autenticaciones, patrones de acceso y comportamientos para recopilar información sobre la postura de seguridad de la identidad de la organización y brindar recomendaciones sobre cómo eliminar los riesgos, como implementar soluciones de monitoreo y eliminar permisos excesivos de cuentas privilegiadas.
Cortafuegos de Autenticación
El firewall de autenticación es un método para controlar el acceso de los usuarios a los recursos mediante la aplicación de controles estrictos de acceso y autenticación. SilverfortEl firewall de autenticación permite a las organizaciones aplicar políticas basadas en riesgos y segmentación de identidad para bloquear intentos de acceso no autorizados y garantizar que los usuarios solo accedan a los recursos que necesitan. No se necesitan cambios en la infraestructura subyacente y las políticas del firewall de autenticación se pueden implementar de forma rápida y sin problemas.
Ministerio de Asuntos Exteriores para todos
Silverfort se integra con Active Directory para reenviar todas las solicitudes de acceso a Silverfort, lo que le permite aplicar la verificación MFA en todos los sistemas de la infraestructura de identidad de la organización, incluidos los sistemas heredados.
Protección de cuenta de servicio
Descubrimiento y gestión automática de cuentas de servicio. Silverfort puede detectar cuentas de servicio analizando sus patrones de comportamiento y configurar automáticamente políticas de acceso en caso de que se detecte una cuenta de servicio comprometida.
Para discutir como Silverfort puede ayudar a su organización a evaluar su riesgo de identidad, complete este formulario. y programar una reunión con un Silverfort Experto en seguridad de identidad.