Los riesgos de seguridad de las cuentas de servicio: por qué las aseguradoras cibernéticas están endureciendo los requisitos

A medida que los ataques de ransomware continúan disparándose, tanto en frecuencia como en intensidad, los suscriptores de pólizas de seguro cibernético han estado endureciendo dramáticamente sus requisitos para frenar las pérdidas financieras. En los últimos tres años, por ejemplo, el número de Las reclamaciones relacionadas con ciberataques se han duplicado., y las compañías de seguros registraron un récord Índice de pérdida cibernética del 72% en 2020. Mientras tanto, los ataques de ransomware aumentaron un 105 por ciento el año pasado, Hasta 623.3 millones de ataques en todo el mundo., Con el El pago promedio ahora cuesta $570,000. 

En respuesta, las aseguradoras han estado renovando sus seguro cibernético que las políticas sean mucho más específicas sobre qué controles de seguridad deben implementarse. El primer cambio importante se produjo el año pasado, cuando las empresas comenzaron a exigir que autenticación multifactor (MFA) Los controles se podrán aplicar en numerosos sistemas del entorno, incluido el correo electrónico basado en la nube, el acceso remoto a la red, así como el acceso de administrador a servicios de directorio, entornos de respaldo e infraestructura de red.  

Recientemente, los aseguradores han ido un paso más allá y muchos de ellos también exigen que todos cuentas privilegiadas estar protegido. Esta publicación examina por qué las compañías de seguros ahora se centran en estas cuentas en general y específicamente en un subconjunto de cuentas privilegiadas: cuentas de servicio.

El vínculo entre los ataques de ransomware y las cuentas de servicio

Los actores de amenazas han estado utilizando cada vez más una táctica particularmente sigilosa para moverse libremente por un entorno: movimiento lateral. Movimiento lateral es la etapa de un ataque que viene después del acceso inicial, donde los atacantes utilizan credenciales de usuario comprometidas para acceder a tantas máquinas como sea posible con el fin de maximizar la recompensa del ataque al cifrar varias máquinas simultáneamente.  

Los ataques de ransomware exitosos a menudo utilizan un sitio comprometido cuenta de servicio, que es una cuenta no humana utilizada para la comunicación de máquina a máquina (M2M) que realiza un proceso crítico (como un escaneo de red o una actualización de software) de forma repetida y automática. Estas cuentas son objetivos muy atractivos para los atacantes, ya que suelen tener muchos privilegios y acceso a nivel de administrador a numerosos sistemas. 

De hecho, varios ataques cibernéticos recientes de alto perfil han involucrado una cuenta de servicio comprometida, incluida la Hack de SolarWinds de 2021 y el Incumplimiento de Uber a principios de este año.  

Desafíos de seguridad de las cuentas de servicio 

Las cuentas de servicio son especialmente vulnerables a verse comprometidas por dos razones importantes. En primer lugar, suelen tener poca visibilidad, ya que no existe ninguna herramienta de diagnóstico que pueda descubrirlos y controlar su comportamiento. En segundo lugar, las cuentas de servicio suelen estar excluidas de la rotación de contraseñas, ya que a menudo están integradas en scripts. El resultado es que una vez que una de estas cuentas se ve comprometida, un atacante podrá moverse por un entorno sin ser detectado y durante un período de tiempo ilimitado.  

Esto es exactamente por qué Las aseguradoras están preocupadas por las cuentas de servicios. Recientemente, han comenzado a exigir a las empresas que realicen inventarios y que implementen medidas de seguridad específicas para evitar que los atacantes los utilicen para acceso malicioso.

Los nuevos requisitos para obtener una póliza de seguro cibernético

Entre los requisitos que las empresas deben cumplir ahora se encuentran los siguientes: 

• Hay un inventario de todas las cuentas de servicio privilegiadas, actualizado al menos trimestralmente, incluido para qué se utiliza cada cuenta de servicio y por qué requiere derechos de administrador de dominio 
• Las cuentas de servicio están escalonadas para que se utilicen diferentes cuentas para interactuar con estaciones de trabajo, servidores y servidores de autenticación 
• Las cuentas de servicio se configuran usando el principio de menor privilegio y para denegar inicios de sesión interactivos 
• Existe un proceso para revisar periódicamente los requisitos de cada cuenta de servicio privilegiada para verificar que todavía requiere permisos que tiene 
• Se están tomando medidas para mitigar cualquier exposición La configuración de las cuentas de servicio crea cosas que podrían resultar en la recolección de credenciales.
• Ciertas existen reglas de monitoreo para cuentas de servicio para alertar al Centro de operaciones de seguridad (SOC) de cualquier comportamiento anormal 

Estos requisitos presentan serios desafíos para las empresas que buscan una nueva póliza de seguro cibernético (o que desean renovar una existente). Como se mencionó, no existe ninguna utilidad que pueda generar un informe de todas las cuentas de servicio actuales, lo que significa que a las organizaciones puede resultarles imposible producir un recuento preciso de ellas y demostrar una contabilidad completa de su comportamiento.  

Pero incluso para las empresas con registros actualizados, configurar políticas específicas para monitorear el comportamiento de todas las cuentas de servicio sería extremadamente laborioso y consumiría enormes recursos de TI. Además, implementar medidas para proteger las cuentas de servicio contra riesgos es, en el mejor de los casos, complicado, ya que rotar las contraseñas de las cuentas de servicio puede interrumpir procesos críticos. 

Cómo Silverfort Permite a las empresas cumplir con los requisitos de la cuenta de servicio

Afortunadamente, el Silverfort Unificado Protección de Identidad La plataforma se desarrolló para abordar exactamente estos problemas y puede ayudar a las empresas a cumplir con los requisitos de seguro cibernético para las cuentas de servicio.  

Silverfort ofrece a las empresas la capacidad de descubrir y proteger todas las cuentas de servicio en el entorno a través de un motor de inteligencia artificial que detecta cualquier cuenta que muestre un comportamiento repetitivo similar al de una máquina. Una vez detectado, Silverfort Luego puede monitorear continuamente esas cuentas y todos los lugares en los que se autentican, brindando a los equipos de seguridad información en tiempo real sobre su actividad y nivel de riesgo.

Silverfort también viene con políticas de acceso listas para usar adaptadas a cada cuenta de servicio en función de su patrón de comportamiento específico, y cualquier desviación se detecta inmediatamente y da como resultado un acceso bloqueado o una alerta enviada al equipo SOC, evitando así que los actores de amenazas las utilicen. en ataques de movimiento lateral.  

Además de las políticas basadas en reglas, se pueden crear fácilmente políticas adaptativas basadas en riesgos para activarlas a medida que aumenta el nivel de riesgo de una cuenta. Este nivel de protección granular significa que las cuentas de servicio pueden estar completamente protegidas sin contraseñas rotativas, que puede interrumpir procesos de misión crítica.

Aquí hay un resumen de las capacidades. Silverfort proporciona alrededor de cuentas de servicio:

Con Silverfort Una vez implementado, las organizaciones encontrarán que cumplir con los nuevos requisitos relacionados con las cuentas de servicio será sencillo y sencillo, lo que les permitirá calificar para una póliza de seguro cibernético y recuperar la tranquilidad. Aprender más, Solicite una demostración aquí.