Buscar

Idioma

Resolución de administradores en la sombra: lograr el máximo impacto con el mínimo esfuerzo

3rd agosto, 2023

Inicio » Blog » Resolución de administradores en la sombra: lograr el máximo impacto con el mínimo esfuerzo

Los administradores paralelos son usuarios no administrativos que poseen privilegios confidenciales que efectivamente les otorgan derechos de nivel de administrador. Dichos privilegios pueden incluir acceso directo a recursos o la capacidad de modificar la configuración de otros usuarios (por ejemplo, restablecer contraseñas, obtener permisos de "Escribir todas las propiedades", etc.). En esta publicación de blog, nos centraremos en el segundo tipo.

Hay varias razones por las que se crean cuentas de administrador en la sombra: error humano, mala gestión, una necesidad temporal o por un atacante que ha logrado obtener acceso y quiere ocultar su presencia.

Los administradores en la sombra son un riesgo conocido para casi todos los proveedores de identidad (IdP), incluido Microsoft. Active Directory (Anuncio), Microsoft Entra ID (anteriormente Azure AD) y Okta, entre otros. Aquí, discutiremos los administradores en la sombra dentro de AD.

Los equipos de identidad buscan continuamente cuentas de administrador en la sombra para revocar sus privilegios de administrador. Pero este proceso suele ser largo y tedioso, especialmente si una organización tiene una gran cantidad de administradores en la sombra. Mi equipo y yo teníamos curiosidad acerca de las configuraciones de permisos comunes que podrían hacer que un usuario se convirtiera en administrador en la sombra, así como las mejores formas de identificarlas y mitigarlas.
En esta publicación de blog, usaremos herramientas algorítmicas y teoría de grafos para presentar un método novedoso para revelar administradores en la sombra dentro de una organización, analizarlos y resolverlos.

Tabla de contenido

  • Comprender la amenaza de los administradores en la sombra
  • Rompiendo el enfoque
  • Resultados y conclusiones
  • Pensamientos Finales

    • Comprender la amenaza de los administradores en la sombra

    A cuenta de usuario se convierte en administrador paralelo si tiene privilegios sólidos sobre una cuenta de administrador existente. De manera similar, cualquier otra cuenta con fuertes privilegios sobre los del administrador paralelo también se convierte en administrador paralelo.

    Por ejemplo, si Alice tuviera una cuenta normal con permisos de administrador, sería una administradora paralela. Si Bob obtuviera fuertes permisos sobre los de Alice, también se convertiría en un administrador en la sombra.

    Esta cadena de permisos causa muchas complicaciones y la realidad muestra que muchos administradores en la sombra en realidad tienen más de una forma de convertirse en administradores. Lo que hace que las cuentas de administrador en la sombra sean desafiantes y riesgosas es que no son monitoreadas ni supervisadas, y su actividad puede pasar desapercibida.

    ¿Está interesado en obtener más información sobre los administradores en la sombra y cómo amenazan a su organización? Lea esta publicación de blog: https://www.silverfort.com/blog/the-hidden-dangers-of-shadow-admins/

    Por lo tanto, para resolver el riesgo de los administradores en la sombra, debemos revocar algunos de sus permisos excesivos, lo que requiere tiempo y esfuerzo. Por lo tanto, tiene sentido que cualquier organización con muchos administradores en la sombra intente resolver el número máximo de administradores en la sombra con el menor esfuerzo (es decir, cambios en los permisos de la organización).

    Para hacer esto de manera eficiente, podemos recuperar información sobre los permisos de usuarios y grupos en un conjunto seleccionado de permisos de modificación y monitorearlos. Al utilizar registros, podemos construir cadenas de permisos y obtener detalles sobre los administradores paralelos de la organización.

    Traduciendo el tema

    En cualquier organización con administradores en la sombra, existen múltiples cadenas de permisos que crean una ruta de conexión entre los usuarios y las cuentas administrativas que potencialmente podrían tomar el control.

    El objetivo que hemos establecido para la organización es realizar la menor cantidad posible de cambios en los permisos y, al mismo tiempo, resolver una gran parte de sus administradores en la sombra. La pregunta, por tanto, es: ¿qué permisos son esos?

    Entonces, reformulemos el problema: identifique el conjunto óptimo de permisos K que, si se revocan, mitigarían la cantidad máxima de administradores en la sombra.

    Ahora que tenemos esta definición, podemos convertir el problema en uno visual usando la teoría de grafos. Hacemos esto representando cada cuenta o grupo como un nodo en un gráfico y cada permiso como un borde dirigido entre estos nodos. Esto permite que todas nuestras cadenas de permisos se muestren y conecten en un solo gráfico junto con sus respectivos privilegios y atributos.

    Usando la información contenida en las cadenas de permisos, podemos identificar quiénes son los administradores y grupos administrativos de las organizaciones y marcarlos en nuestro gráfico, ya que son el objetivo final de un administrador en la sombra.

    En esta etapa, dicho gráfico se vería así:

    Nota: Los bordes son permisos entre entidades. Su dirección es sobre quién tienen permiso. Los nodos rojos son administradores/grupos administrativos; los nodos marrones son grupos de usuarios; Los nodos grises son usuarios únicos.

    A continuación, reescribiremos el planteamiento del problema una vez más: encuentre el conjunto de K bordes que, al eliminarlos, desconectarían tantos administradores en la sombra como sea posible del resto del gráfico (es decir, los mitigarían).

    Rompiendo el enfoque

    A primera vista, vemos un gráfico acíclico dirigido (DAG) que representa una red que conecta nuestras diversas cadenas de permisos. Pero pensemos en la representación del gráfico y las conexiones, así como en cómo cada entidad puede tener permiso sobre otra. En cierto modo, podemos imaginar a un administrador en la sombra "moviéndose" en nuestro gráfico de un nodo a otro en sus bordes. Quizás incluso más de un administrador en la sombra podría ser capaz de realizar tal movimiento.

    Ahora imaginemos que todos los administradores en la sombra de la organización comienzan a moverse hacia nuestros nodos rojos (los administradores), luego, en cada camino, un cierto número de administradores en la sombra "fluyen" hacia su objetivo final.

    Tengamos en cuenta también que no importa si varios administradores paralelos fluyen hacia un solo nodo en su ruta o si el nodo es una sola cuenta. Esto se debe a que una vez que todos los administradores paralelos llegan a ese punto, solo una cuenta puede continuar el camino.

    Esto, por cierto, recuerda el famoso "Problema del flujo", un escenario en dinámica de fluidos en el que tenemos un sistema en el que el líquido corre a través de tuberías desde unos pocos nodos de origen hasta unos pocos nodos de destino.

    Entonces, volvamos ahora nuestros ojos a un teorema llamado "Corte mínimo-Flujo máximo". Esto establece que la cantidad máxima de flujo en un sistema que pasa desde los nodos de origen a los nodos de destino es igual al peso total de los bordes en un corte mínimo.

    Definiremos lo siguiente:

    • Capacidad de flujo de un borde: para cada borde existe un límite superior para el flujo que lo atraviesa.
    • Conservación del flujo: el flujo entrante a un nodo debe ser igual al flujo saliente.
    • Cortar: la partición de nodos de tal manera que divide la red en dos partes:
      • un corte no puede contener tanto el nodo fuente como el nodo sumidero.
      • el peso del corte es igual a la suma de la capacidad de los bordes que salen.

    El objetivo del algoritmo es encontrar el flujo máximo en una red desde un nodo fuente a un nodo sumidero minimizando la capacidad del corte que los separa. El algoritmo aumenta iterativamente el flujo a lo largo de rutas desde la fuente hasta el sumidero hasta que no se pueden encontrar más rutas de aumento.

    Resolver el problema de flujo usando este teorema nos da una solución de corte mínimo que equivale a identificar el conjunto de K aristas a eliminar, ya que el problema de dualidad es el flujo máximo posible a través del sistema, lo que significa que estamos encontrando un corte que minimiza el peso del corte maximizando la partición. El gráfico resultante donde se aplicará el algoritmo se verá así:

    El nodo verde es la fuente ficticia y los bordes verdes son conexiones a administradores/grupos administrativos. El nodo azul es el sumidero ficticio y los bordes azules son conexiones a los nodos de hoja.

       

    Resultados y conclusiones

    Al aplicar nuestro método a un grupo de más de 30 organizaciones, descubrimos que la media era de alrededor de 30 cuentas activas por organización identificadas como administradores en la sombra, y algunas organizaciones tenían hasta 1,000 cuentas de este tipo.

    La aplicación del algoritmo dio como resultado un corte mínimo de un conjunto de bordes que, si se eliminan, mitigarían a la mayoría de los administradores en la sombra con cambios mínimos en los permisos de la organización.

    Los resultados se ven así:

    Los nodos amarillos son parte del corte mínimo que se recomienda resolver; resolver el permiso de los bordes rojos en el gráfico anulará todos los administradores de sombras amarillas..

    En promedio, logramos resolver alrededor del 70% de los administradores en la sombra de una organización con una sola iteración del algoritmo. Además, ¡todo lo que se necesitaba para lograrlo era revocar un promedio de tres permisos!

    Esto significa que podemos proporcionar el conjunto exacto de ventajas (es decir, permisos) que la organización debería considerar revocar y que permitirían la mejor mitigación de los administradores en la sombra con un mínimo esfuerzo.

    Pensamientos Finales

    Los administradores en la sombra son una amenaza grave que a menudo se pasa por alto y que no es fácil de mitigar con los métodos tradicionales. Tener una cadena de privilegios que conduce a un administrador de dominio no siempre está bien documentado.

    Uno de los patrones comunes que notamos fue que, en realidad, existen varias formas para que un usuario se convierta en administrador paralelo. Un enfoque diferente fue mucho más sencillo de implementar, pero no pudo abordar esos patrones y arrojó resultados subóptimos.

    Nuestra solución monitorea los permisos otorgados en un entorno de IdP y puede crear dinámicamente el mejor conjunto de privilegios para resolver con el fin de reducir la cantidad de administradores paralelos con una acción mínima.

    Un método como este puede ayudar a identificar el conjunto de permisos óptimos que se deben resolver con el mínimo esfuerzo, tomando un problema real del dominio de la ciberseguridad y visualizándolo utilizando un algoritmo conocido para encontrar una solución.

    ¿Listo para una demostración?
    Regístrate hoy.

    Mensajes recientes

    13 de mayo 2024.

    Seguridad de identidad en fusiones y adquisiciones: obtenga visibilidad en entornos consolidados con Silverfort 

    9 de mayo 2024.

    Silverfort Anuncia nueva integración con Microsoft Entra ID EAM 

    6 de mayo 2024.

    Uso de MITM para evitar la protección resistente al phishing de FIDO2

    Puede 2nd, 2024

    Silverfort Presentará una investigación en RSA 2024: uso de MITM para omitir los métodos de autenticación modernos a SSO
    Ver más

    Síguenos en:

    Detenga las amenazas a la identidad ahora