Destacando los crecientes riesgos de las identidades no humanas

Silverfort Imagen
Banner NHI – 1234 x 402
Índice

Comparte este artículo:

Active Directory Cuentas de servicio: una mirada más cercana a uno de los NHI más comunes y su papel en el movimiento lateral

La seguridad de las identidades no humanas (NHI) es ahora una prioridad para las partes interesadas en la seguridad. Pero ¿qué es exactamente un identidad no humana¿Y cómo afectan la postura de ciberseguridad de una organización? NHI es un término amplio que se utiliza para describir cuando una máquina, aplicación o servicio recibe credenciales para realizar una tarea o acción automatizada. Existen muchos tipos de NHI, incluidas claves API, cuentas de servicio, cuentas de sistema, tokens OAuth, entre otros. Digamos que el administrador de TI, Bob, escribe un script que le pide a una máquina que realice una copia de seguridad diaria en un servidor. Bob le está dando a la máquina credenciales y acceso para realizar la copia de seguridad automatizada. Este es un NHI.

En la investigación de hoy, nos concentraremos en el tipo de virus más prevalente y regularmente comprometido. INE: Active Directory cuentas de servicio. Dentro del gran conjunto de tipos de NHI, las cuentas de servicio (utilizadas para la comunicación de máquina a máquina dentro de Microsoft) Active DirectoryLos entornos de (AD) son los más preocupantes. Estas identidades son tan vulnerables a posibles compromisos y abusos como las humanas. De hecho, debido a la histórica falta de visibilidad y protección, podrían incluso correr un riesgo mayor. Por lo general, tienen acceso privilegiado a máquinas sensibles, lo que las convierte efectivamente en cuentas de administrador.

Hemos descubierto datos de los últimos 12 meses que nos ayudan a responder esas preguntas. En nuestra investigación, analizamos el alcance de las cuentas de servicio AD, su exposición a riesgos y la confianza de seguridad de identidad equipos en su capacidad para descubrirlos y protegerlos.

Por qué las NHI (cuentas de servicio AD) son el mejor amigo de un atacante

De forma predeterminada, los atacantes apuntarán a las cuentas de servicio para movimiento lateral debido a sus altos privilegios de acceso, baja visibilidad y desafíos de protección. Y, en muchos casos, las cuentas de servicio pasan desapercibidas para los equipos de seguridad e identidad porque ni siquiera saben que existen. Utilizando el mismo ejemplo anterior, cuando el director de TI Bob automatiza la copia de seguridad de un servidor pero luego deja la empresa, esa tarea automatizada de máquina a máquina continúa sin ser vista ni monitoreada. La cuenta de servicio todavía tiene acceso tanto al servidor como al servidor de respaldo, lo que la convierte en un objetivo atractivo para un mal actor.

Los riesgos asociados con una cuenta de servicio vulnerada son inmensos porque también pueden comprometer todo el entorno SaaS de la organización. Aunque se supone que las cuentas de servicio no deben sincronizarse desde AD con el proveedor de identidad (IdP) en la nube, es extremadamente común que los equipos de identidad las sincronicen sin darse cuenta. Si bien estas cuentas no se pueden usar para acceder a recursos SaaS de forma predeterminada, un atacante que haya obtenido privilegios de acceso de administrador al IdP en la nube puede activarlas y asignarles privilegios de acceso.

Flujo de ataque de muestra:

  1. El atacante obtiene privilegios de acceso de administrador a la consola de administración del IdP en la nube.
  2. Una vez dentro, el atacante busca cuentas de servicios sincronizadas (las convenciones de nombres son una guía útil) hasta encontrar una.
  3. El atacante configura una política de acceso para la cuenta de servicio elegida y le asigna privilegios de acceso a las aplicaciones SaaS.
  4. Luego, el atacante utiliza la cuenta de servicio para acceder y actuar dentro del entorno SaaS.

El gran volumen de cuentas de servicios AD es alarmante

Las cuentas de servicio representan una gran parte del total de usuarios dentro del AD de una empresa.

En promedio, alrededor de un tercio de los usuarios de AD son cuentas de servicio. La proporción de cuentas de servicio e identidades totales en las empresas más grandes es menor, pero eso no significa que tengan menos cuentas de servicio en lo que respecta al valor absoluto. Para poner esto en contexto, una gran empresa con 100,000 23,000 usuarios en AD probablemente tendría aproximadamente XNUMX XNUMX cuentas de servicio activas.

En organizaciones más pequeñas, casi la mitad de todos los usuarios de AD son cuentas de servicio con altos privilegios y acceso.

Exposición de las cuentas de servicio al riesgo

Los protocolos de autenticación débiles hacen que las cuentas de servicio sean vulnerables

NTLM todavía existe en muchos dominios de Windows a pesar de ser un sistema muy débil. autenticación protocolo que es susceptible de acceso a credenciales y movimiento lateral. De hecho, 46% de las cuentas de servicios se autentican periódicamente a través de este protocolo obsoleto, lo que los deja más expuestos a riesgos. 

La visibilidad de las cuentas de servicio es, en el mejor de los casos, turbia

Los equipos no están tan seguros de tener un inventario preciso de las cuentas de servicio

Visibilidad completa de todos tus recursos humanos y identidades no humanas es fundamental para una buena seguridad de la identidad. Sin embargo, un documento técnico reciente de Osterman Research reveló que sólo el 5.7% de las organizaciones tienen visibilidad total de sus cuentas de servicio, mientras que el 62% solo tiene visibilidad parcial. 

La mayoría de los NHI, incluidas las cuentas de servicio, no pueden protegerse con MFA, y la falta de visibilidad de sus actividades elimina la posibilidad de protegerlos de una manera Gestión de acceso privilegiado (PAM) bóveda con rotación de contraseña.

La confianza en la protección de las cuentas de servicio es mínima

La protección de las cuentas de servicio es un serio desafío para las organizaciones

Solo 1 de cada 5 organizaciones tiene mucha confianza en poder evitar que los adversarios utilicen una cuenta de servicio para acceso malicioso. Esto deja al 80% de las organizaciones incapaces de evitar el uso indebido de las cuentas de servicio en tiempo real debido a una visibilidad y seguridad esporádicas o ausentes. 

El movimiento lateral sigue siendo una espina clavada para el defensa

Moverse lateralmente a través de una organización es algo en juego para un atacante, y las cuentas de servicio son uno de sus principales objetivos para hacerlo. Es alarmante que sólo el 22.4% de las organizaciones confía en que pueden detener el movimiento lateral con credenciales comprometidas en sus ambientes.

De cara al futuro: los NHI presentan un desafío, pero hay soluciones 

Los NHI constituyen una parte importante del total de identidades de una organización. El volumen de NHI seguirá aumentando a medida que aceleremos el ritmo de la automatización, la innovación y el gran amplificador: la inteligencia artificial. Hoy analizamos un solo tipo de NHI utilizado en una organización típica, pero no es difícil imaginar una serie de resultados similares si ampliamos nuestro alcance y aplicamos el análisis a otros tipos de NHI que se usan regularmente en organizaciones a nivel mundial. El compromiso de una única cuenta de servicio NHI podría dar a los atacantes acceso a múltiples recursos, convirtiéndola en un objetivo ideal para los atacantes, ya sean sofisticados o no. Y rara vez enfrentarán mucha resistencia, ya que los controles de seguridad estándar como los tradicionales MFA normalmente sólo puede proteger las identidades humanas. 

Sumado al hecho de que sólo una de cada cinco organizaciones tiene mucha confianza en prevenir amenazas a la identidad, lo que pinta un panorama alarmante.

Pasos para proteger sus identidades no humanas

1. Luchar por privilegios mínimos: Limite el acceso al nivel más granular, especialmente en cuentas no humanas privilegiadas, según el origen, el destino, el protocolo, el tiempo y otros factores. Los privilegios excesivos pueden generar riesgos involuntarios en una organización, como la pérdida o el robo de datos, además de crear más objetivos innecesarios para ataques de phishing.

2. Defina su “normalidad”: Para establecer un riesgo, o lo que se considera actividad anormal en una red, establezca claramente una línea de base de cómo se ve el comportamiento "normal" para todas las identidades, tanto humanas como no humanas. Esto debería ser particularmente fácil para las cuentas de servicios, cuyo comportamiento es altamente predecible y repetitivo, suponiendo, por supuesto, que ya tenga visibilidad de sus NHI.

3. Detecte rápidamente actividad anormal:  Con la función Herramientas adecuadas implementadas para monitorearlos y alertarlos de manera proactiva. Ante estas actividades anormales, los equipos pueden responder rápidamente. Esto ayuda a identificar y prevenir más desviaciones, y si los atacantes son Al intentar ingresar a la red, el equipo de seguridad puede mitigar y contener de manera eficiente el alcance de su ataque.

4. Bloquee automáticamente los intentos de acceso a cuentas de servicio atípicas: La detección no es suficiente. También debería poder bloquear activamente una cuenta de servicio sospechosa de estar comprometida para que no pueda acceder al recurso objetivo.

5. Busque una herramienta que extienda la MFA más allá de las identidades humanas.. MFA es un control de seguridad probado y probado que ha demostrado una y otra vez frustrar a los atacantes. Al extender MFA a recursos que antes no estaban protegidos, finalmente se realiza una "doble verificación" en cada solicitud de autenticación, incluso para los NHI. Obtenga más información sobre cómo Silverfort puede ayudar a proteger sus NHI.

Metodología de informes

In SilverfortInforme clandestino de identidad, Analizamos cientos de miles de puntos de datos de cientos de clientes de diferentes tamaños y verticales para determinar el alcance del problema de la identidad no humana, centrándonos en los altamente privilegiados y generalizados. Active Directory cuentas de servicio.

También realizamos una investigación con Osterman Research, que incluyó respuestas de 637 personas en roles de identidad durante mayo-junio de 2023. Para calificar, los encuestados debían trabajar en organizaciones con al menos 1,000 empleados. Las encuestas se realizaron en seis países, y las encuestas en Francia y Alemania se realizaron en francés y alemán, respectivamente. La encuesta abarcó sectores industriales y no se excluyó ni restringió ningún sector.

Nos atrevimos a llevar la seguridad de la identidad aún más lejos.

Descubra lo que es posible.

Configure una demostración para ver el Silverfort Plataforma de seguridad de identidad en acción.

Programe una demostración
nuevo héroe (1)

Silverfort adquiere Fabrix Security

Proporcionar seguridad de identidad autónoma en tiempo de ejecución.

Desarrollamos el primer motor de control de acceso en tiempo de ejecución autónomo, diseñado para proteger todas las identidades humanas, de máquinas y de agentes mediante el análisis de contexto profundo y la velocidad de la IA.

Obtén la historia completa