Exposición a amenazas de identidad

  • De nuestro equipo de expertos
Programe una demostración

Exposición a amenazas de identidad

  • De nuestro equipo de expertos
Programe una demostración
Haga un recorrido
Índice

Demo

Consulte las Silverfort plataforma en acción

Descubra por qué las principales empresas confían en nosotros para proteger lo que otros no pueden.

Programe una demostración

Las exposiciones a amenazas de identidad (ITE) son debilidades de seguridad que exponen un entorno a amenazas de identidad: robo de credenciales, escalada de privilegios o movimiento lateral. Un ITE puede ser el resultado de una mala configuración, un legado infraestructura de identidad, o incluso funciones integradas.

Los atacantes utilizan estos ITE como cómplices para realizar robo de credenciales, escalada de privilegios y movimiento lateral. Es más, debido a la práctica común de sincronizar AD cuentas de usuario al IdP de la nube, esto exposición subterránea También podría proporcionar a los atacantes acceso directo a su entorno SaaS.

¿Por qué son peligrosas las exposiciones a amenazas a la identidad?

Hoy en día, la gran mayoría de las organizaciones emplean una infraestructura de identidad híbrida, con Active Directory (AD) para recursos locales y un IdP en la nube para SaaS.

La práctica común es que AD sincronice los hashes de los usuarios con el IdP de la nube, para que los usuarios puedan acceder a las aplicaciones SaaS con las mismas credenciales que los recursos locales. Esto aumenta significativamente el potencial del entorno SaaS. superficie de ataque, ya que cualquier ataque que dé como resultado que el adversario obtenga contraseñas de texto sin cifrar allana el camino hacia los activos en la nube.

ITE que exponen hashes de contraseñas débilmente descifrados (NTLM, NTLMv1, administradores con SPN) o permiten a los atacantes restablecer las contraseñas de los usuarios (administradores en la sombra) ya son ampliamente explotados por los adversarios.

¿Qué tipos de exposiciones a amenazas de identidad existen?

Clasificamos los ITE en cuatro grupos, según las acciones maliciosas que permiten a los atacantes realizar:

  • Expositores de contraseñas: ITE que permiten a los adversarios acceder a la contraseña de texto sin cifrar de una cuenta de usuario.
  • Escaleras mecánicas de privilegio: ITE que permiten a los adversarios escalar cualquier privilegio de acceso que ya posean.
  • Motores laterales: ITE que permiten a los adversarios utilizar cuentas comprometidas realizar movimientos laterales no detectados.
  • Dodgers de protección: ITE que hacen que los controles de seguridad sean menos efectivos para monitorear y proteger las cuentas de los usuarios.

Ejemplos de exposiciones a amenazas de identidad

CategoríaRelacionado: MITRE ATT & CKEjemplos
Expositores de contraseñasAcceso de credencialesNTLM autenticaciónAutenticación NTLMv1Administradores con SPN
Escaleras mecánicas de privilegioEscalada de privilegiosAdministradores en la sombra Delegación sin restricciones
Motores lateralesMovimiento lateralCuentas de servicio Usuarios prolíficos
Dodgers de protecciónNo existe una técnica exacta de MITRE ATT&CK que se asigne a esta categoría. Permite a los atacantes pasar desapercibidos durante largos períodos de tiempo.Nuevas cuentas de usuarioCuentas compartidasUsuarios obsoletos

¿Cómo protegerse contra las exposiciones a amenazas a la identidad?

  1. Sepa dónde está expuesto
    Asegúrese de tener visibilidad de todos los diferentes tipos de ITE en su entorno. Si está sincronizando usuarios de AD con su IdP en la nube, asegúrese de seguir las mejores prácticas de Microsoft y de no crear una masa de usuarios inactivos.
  2. Elimine el riesgo donde pueda
    Asegúrese de tener visibilidad de todos los diferentes tipos de ITE en su entorno. Si está sincronizando usuarios de AD con su IdP en la nube, asegúrese de seguir las mejores prácticas de Microsoft y de no crear una masa de usuarios inactivos.
  3. Contener y monitorear los riesgos existentes.
    Para ITE que no se pueden eliminar, como cuentas de servicio o el uso de NTLM, asegúrese de que el equipo de SecOps tenga implementado un proceso para monitorear de cerca estas cuentas en busca de cualquier signo de compromiso.
  4. Tomar medidas preventivas
    Aplicar segmentación de identidad Reglas o aplicar políticas de MFA para evitar que las cuentas de usuario sean víctimas de ITE destacados siempre que sea posible. Implementar políticas de acceso en su cuentas de servicio que les impediría acceder a cualquier destino más allá de sus recursos previamente designados.
  5. Conecte los equipos de identidad y seguridad
    La responsabilidad de Protección de la identidad se distribuye entre los equipos de identidad y de seguridad, donde el conocimiento de estos últimos les permite priorizar qué ITE resolver, mientras que los primeros pueden implementar estas correcciones, creando de hecho un sistema integrado. seguridad de identidad postura.

Volver al glosario