La ciberseguridad comienza con un principio fundamental: “No se puede proteger lo que no se conoce”. Esto es válido para activos como puntos de conexión, servidores, etc., pero también se aplica a las cuentas. Plantéese estas preguntas ahora mismo: ¿sabe qué cuentas existen en su entorno y qué hacen en su red? Además, ¿controla lo que hacen estas cuentas y cómo gestiona la aplicación de la seguridad en ellas?
En publicaciones recientes, hemos analizado los diferentes riesgos que las identidades humanas y no humanas (NHI) suponen para una organización. En este blog, nos centraremos en el desafío de escalar la gestión y la protección de una gran cantidad de NHI en un entorno, aprovechando la automatización y las políticas de seguridad. Descubriremos por qué automatizar cuenta de servicio La seguridad es esencial para que las empresas mejoren la protección, agilicen la gestión y reduzcan el riesgo.
Protegiendo las identidades no humanas
Cuando hablamos de cuentas, no se trata solo de cuentas de usuario que representan a seres humanos. usuarios pero también no-humano identidades.
Cuentas de usuario A primera vista, son fáciles de administrar, ya que pertenecen a una persona real que usa la cuenta para autenticarse en servicios y recursos. Se pueden agregar capas de seguridad adicionales a la cuenta, como políticas de rotación de contraseñas, umbrales de bloqueo de cuentas, MFA validación, etc.
Una identidad no humana (NHI) es un término general para describir una cuenta utilizada por una máquina (o aplicación, servicio, automatización, etc.) para realizar tareas no interactivas. autenticación en las que no interviene ningún usuario humano. Nos referimos a ellas como cuentas de servicio (Active Directory) o principio de servicio (Entra ID).
Si bien las cuentas de servicio tienden a tener un patrón de uso distintivo, limitar su postura de seguridad conlleva sus propios desafíos. Cada servicio que se ejecuta en la organización puede necesitar una o más cuentas de servicio, por lo que la protección debe ser a gran escala.
Protección de cuentas de servicio Se reduce a algunos aspectos clave:
- Visibilidad:¿Tiene usted una visión clara de todas las cuentas?
- Proposito¿Sabes por qué existen en el medio ambiente?
- Comportamiento:¿Puedes verificar y validar el uso?
- Privilegios:¿Puedes validar y proteger los permisos de una cuenta?
- Ataque Detección: ¿puede protegerse contra ataques específicos basados en cuentas de servicio?
- Seguridad management¿Tiene capacidades de protección claras para todas sus cuentas?
Un paso atrás en el tiempo: Cuentas de servicios gestionadas
Las cuentas de servicio administradas (MSA) son cuentas de dominio administradas especializadas en Active Directory Diseñado para proporcionar un mayor nivel de seguridad, como administración automatizada de contraseñas y administración simplificada de cuentas de servicio. Las cuentas de servicio administradas independientes (sMSA) se utilizan para servicios individuales en un solo servidor y no se pueden compartir entre varios servidores. Cuentas de servicio administradas por grupos (gMSA), por otro lado, están diseñados para ser utilizados por múltiples servidores en un entorno, como cuando se proporciona un servicio a través de un balanceador de carga.
En general, las gMSA mejoran la seguridad, simplifican la gestión de cuentas y reducen la complejidad operativa asociada con las cuentas de servicio en entornos empresariales. Sin embargo, no todas las cuentas de servicio son aptas para ser MSA, y la gestión de MSA puede plantear desafíos, como garantizar configuraciones de aplicaciones correctas y comprender los requisitos previos del dominio. Muchos de los desafíos de la gestión de cuentas de servicio habituales también se aplican a las MSA, incluidas varias técnicas de ataque. Por lo tanto, hay espacio para mejoras adicionales de las que podrían beneficiarse los equipos de identidad y seguridad.
El desafío de automatizar y escalar la protección de cuentas de servicio
Al embarcarse en la búsqueda para tener control total sobre las actividades y la protección de sus cuentas de servicio, muy a menudo y rápidamente surge un nuevo desafío: ¿cómo administrar adecuadamente estas cuentas?
Estos son los desafíos clave que seguimos enfrentando con la gestión de cuentas de servicio:
- Número de cuentas de servicio:la cantidad de cuentas en una organización puede aumentar rápidamente, especialmente cuando se trata de cuentas de servicio. Una razón para esto es que cada servicio o aplicación que se ejecuta en una organización necesita acceso específico a otros recursos y utilizará múltiples cuentas de servicio para lograrlo, como lo define la mejor práctica. Un buen ejemplo de esto es la cantidad de entidades de servicio en una cuenta de Microsoft. Entra ID ambiente.
- Múltiples responsabilidades del equipo: La mayoría de las veces, el equipo que administra y configura las aplicaciones no es el equipo a cargo del proveedor de identidad ni el equipo de seguridad. Como resultado, varios equipos, como equipos de aplicaciones, equipos de seguridad, equipos de identidad, etc., deben trabajar juntos para proteger adecuadamente las cuentas de servicio.
- Ciclo de vida de la cuenta: Las cuentas de servicio aumentan con la cantidad de servicios y, como mencionamos anteriormente, se pueden generar automáticamente. Esto dificulta que un administrador de identidad realice un seguimiento de todas las cuentas y se asegure de que las nuevas cuentas estén correctamente protegidas. Las aplicaciones y los servicios se pueden desactivar y eliminar del entorno; sin embargo, a menudo se olvida limpiar las cuentas de servicio relacionadas, lo que da como resultado cuentas huérfanas que podrían representar un riesgo para la seguridad.
- Visibilidad y documentación: Las cuentas de servicio suelen estar mal documentadas, lo que genera un desafío a la hora de aplicar políticas de seguridad. Los propietarios de las cuentas también están mal documentados e incluso pueden dar lugar a "propietarios indecisos" cuando las personas abandonan la organización.
Para enfrentar los desafíos de escalar la protección de cuentas de servicio, las organizaciones necesitan capacidades de gestión más claras y eficientes para las cuentas de servicio a fin de fortalecer su postura de seguridad.
Políticas de protección de cuentas de servicio de escalamiento en Silverfort
Silverfort Protección de cuentas de servicio proporciona una descripción general de todas sus cuentas de servicio en un solo lugar, monitorea su actividad en su entorno y aplica políticas de protección.
Para abordar el desafío de escalar las políticas de su cuenta de servicio, Silverfort proporciona varios mecanismos para mantener el control sobre la capa de protección de seguridad de su cuenta de servicio. En esta sección, abordaremos brevemente estas capacidades.
Categorización de cuentas de servicio
SilverfortDetección de cuenta de servicio de El motor detecta las cuentas de servicio en función de los patrones de comportamiento de autenticación y las clasifica en categorías, incluidas las cuentas M2M (de máquina a máquina), las cuentas híbridas, las cuentas de escáner y las cuentas inactivas. La clasificación es el primer paso para identificar qué cuentas están basadas en máquinas y en uso.
El motor de cuentas de servicio también detecta el uso interactivo, las cuentas nuevas, las cuentas de uso generalizado, etc. Toda esta información ayuda en la "selección" inicial de las cuentas, listas para ser protegidas por una política de seguridad.
Silverfort Aprovecha las mejores prácticas que se utilizan en una organización para administrar las cuentas de servicio, lo que ayuda al motor no solo en la categorización sino también en la detección. Implementar las mejores prácticas en el uso de las cuentas de servicio le brinda una ventaja para implementar sus políticas de seguridad, por lo que siempre debe ser una prioridad al tratar con la protección de cuentas de servicio.
En casi todos los entornos, numerosas cuentas presentan patrones de comportamiento mixtos, funcionan de manera híbrida, sufren errores de configuración o siguen siendo cuentas heredadas. Estas cuentas requieren la atención del equipo de identidad. La categorización es el primer paso para enfocarlas correctamente.
Silverfort y cuentas de servicio administradas
Microsoft ofrece MSAs para ayudar con la administración y seguridad de las cuentas de servicio. Proporcionan administración automática de contraseñas, administración simplificada de nombres principales de servicio (SPN) y la capacidad de delegar la administración a otros administradores. Una de las medidas de seguridad clave es que no se les permite el inicio de sesión interactivo, ya que están destinadas para uso no interactivo por parte de servicios y aplicaciones.
Combinado con SilverfortLas capacidades de la política de protección de cuentas de servicio de la empresa mejoran aún más la postura de seguridad de las gMSA, al tiempo que se mantiene la simplicidad de su gestión a través de Active Directory.
Silverfort Admite funciones como las gMSA en virtud de la política de protección de cuentas de servicio. Estas cuentas se clasifican como de máquina a máquina y se les aplican todas las capacidades disponibles en la plataforma. Cada gMSA se detectará y se tratará de la misma manera que cualquier cuenta de servicio. Esto significa que todas las funciones, incluidas las políticas de cuentas de servicio, se pueden aplicar además de las gMSA en el entorno.
Políticas inteligentes: su camino hacia la protección automatizada de cuentas de servicio
Para facilitar la gestión de las políticas de seguridad, recientemente presentamos nuestra capacidad de Política Inteligente.
Una política inteligente le permite proteger automáticamente grupos lógicos completos de cuentas de servicio en función de su perfil de actividad. La política inteligente se ejecuta en ciclos, analiza las cuentas de servicio en busca de cambios de referencia y define la política de protección de cuentas de servicio en consecuencia. Este cambio es automático y dinámico, sin necesidad de intervención manual.
Si el comportamiento de una cuenta permanece constante durante un período definido, la política...
Aplicar automáticamente una capa de seguridad sobre la cuenta. Silverfort protegerá cualquier autenticación que se desvíe del comportamiento base conocido.
Con una política inteligente, Silverfort Mejora la resiliencia de las cuentas de servicio estables y consistentes, lo que le permite centrarse en cuentas de servicio más complejas y dinámicas. Las políticas de cuentas de servicio se aplican automáticamente en función de sus ajustes de configuración, lo que mejora la postura de seguridad de sus cuentas de servicio con un mínimo esfuerzo administrativo y, al mismo tiempo, mantiene una visión general clara.
Integración con la API de políticas de cuentas de servicio
Un enfoque diferente para una gestión de políticas de cuentas de servicio más automatizada y consistente es crear una correlación automatizada entre SilverfortPolítica de cuenta de servicio de y un servicio de terceros. Esto se puede establecer a través de Silverfort integraciones; por ejemplo, mediante el uso SilverfortAplicación de protección de cuenta de servicio en ServiceNow (ver a continuación).
Las integraciones de políticas de protección de cuentas de servicio utilizan nuestra API de políticas de cuentas de servicio, que permite un control total sobre las políticas de seguridad de las cuentas de servicio. Como se mencionó anteriormente, parte de estas políticas de seguridad se pueden automatizar por completo mediante políticas inteligentes. Otras pueden necesitar información o instrucciones adicionales para ser efectivas. Desde la perspectiva de la automatización, todo esto se puede leer y controlar a través de la API.
Las capacidades que ofrece la API son numerosas. Por ejemplo, puede aprovechar esta API dentro de un libro de estrategias o realizar sus propias interacciones con la API en función de eventos de terceros.
Integración con CMDB (Base de datos de gestión de configuración)
Una CMDB se utiliza a menudo para mapear la infraestructura completa de una organización en un solo lugar y proporcionar un sistema único de registro sobre el entorno. La CMDB consolida y mantiene un conjunto combinado de datos complejos que provienen de diferentes fuentes. Una única ubicación como una CMDB, donde este tipo de información está activa y se puede consultar, es un activo muy valioso para todos los departamentos de una empresa.
Uno de los componentes clave de una CMDB es una descripción general de las aplicaciones y los servicios en ejecución. Esto incluye las versiones de software, la asignación de hardware, los flujos de comunicación y las propiedades. La CMDB contiene una gran cantidad de datos sobre lo que mantiene en funcionamiento un servicio o una aplicación.
En el contexto de la protección de cuentas de servicio, Silverfort está interesado en la información de la cuenta de servicio relacionada con un servicio o aplicación en la CMDB. Aprovechar los datos de la cuenta de servicio frente a los datos de la aplicación en una CMDB permite Silverfort para mejorar la postura de seguridad del NHI.
El CDMB no sólo puede actuar como el único punto de verdad, sino que también puede aprovechar SilverfortCapacidades de detección de cuentas de servicio de Silverfort También es capaz de proporcionar un mecanismo de validación y convertirse en una de las fuentes de datos para la integridad y consistencia de los datos de la CMDB. Por ejemplo, esto podría ayudar a una organización a detectar cuentas activas que no están documentadas en ninguna parte de la CMDB.
Ejemplo: CMDB de ServiceNow
Al ver la necesidad de contar con capacidades de protección de cuentas de servicio automatizadas y escalables, Silverfort desarrolló una aplicación ServiceNow que se centra específicamente en aprovechar los datos de ServiceNow CMDB con el Silverfort Política de cuenta de servicio.
La integración permite la aplicación automática de nuestras funciones de política de cuenta de servicio sin la interacción de los administradores de seguridad. Esto sucede en tiempo real según los datos de aplicaciones y servicios de CMDB.
Mediante el uso de la Silverfort aplicación de protección de cuenta de servicio en su instancia CMDB de ServiceNow, habilita:
Global:Escale la protección de cuentas de servicio aprovechando la CMDB como una única fuente de verdad y aplique políticas de protección de cuentas de servicio en tiempo real.
Colaboración en equipo: aproveche la integración para facilitar la colaboración entre equipos en la aplicación de la seguridad. Los equipos de aplicaciones que actualizan la información de la aplicación CMDB pueden ajustar las políticas de seguridad para estas aplicaciones sin ninguna intervención manual de los equipos de seguridad.
Minimizar los errores humanos:Los humanos cometen errores con facilidad, pero la automatización no. Los datos de origen se reflejan inmediatamente en las políticas correspondientes con los datos correctos en el lugar correcto.
La integración se puede instalar a través de ServiceNow Store aqui.
Conclusión
Escalando lo no humano Protección de identidad El éxito depende de la consistencia y calidad del comportamiento de la cuenta de servicio. SilverfortLa detección automatizada de comportamiento, la categorización y la aplicación de políticas inteligentes hacen que el paso inicial hacia un entorno de cuenta de servicio totalmente automatizado y protegido sea significativamente más fácil.
Los entornos más grandes tienen un gran aumento en las fuentes de datos y, en su mayoría, registran un almacén de datos central (CMDB) como una única fuente de información para la infraestructura de TI, incluidos los datos de aplicaciones y servicios. Aprovechar esta información mediante SilverfortLas capacidades de integración de permiten una aplicación de seguridad precisa en tiempo real, construyendo una postura de seguridad más sólida y resiliente para las NHI en el entorno.