Silverfort Una investigación encuentra que dos tercios de las empresas sincronizan contraseñas locales con entornos de nube, abriendo su nube a los ciberataques

La empresa presenta su Informe subterráneo de identidad patentada 2024; Primer informe de identidad 100% dedicado a exponer la frecuencia y prevalencia de las exposiciones a amenazas de identidad (ITE)

Alphv Gato Negro y bit de bloqueo Los actores de amenazas de ransomware abusan de las brechas en la identidad para robar credenciales, escalar privilegios y moverse a través de organizaciones sin ser detectados.

Tel Aviv, Israel y Boston, MA, 26 de marzo de 2024 - Hoy, Silverfort, la Compañía Unificada de Protección de Identidad, dio a conocer su Informe subterráneo de identidad, destacando la frecuencia de las brechas de seguridad de la identidad que conducen a ataques exitosos a organizaciones en todas las industrias y regiones. Alimentada por SilverfortCon datos patentados, el informe es el primero de su tipo, se centra en la identidad como vector de ataque y ofrece información sobre las exposiciones a amenazas de identidad (ITE) que allanan el camino para los ciberataques. Los datos, el análisis y la información ayudan a los equipos de identidad y seguridad a comparar sus programas de seguridad, permitiéndoles tomar decisiones informadas sobre dónde invertir en seguridad de identidad. 

El hallazgo más destacado (y alarmante) es que dos de cada tres empresas (67%) sincronizan habitualmente la mayoría de las contraseñas de sus usuarios desde sus directorios locales con sus homólogos en la nube. Esta práctica migra inadvertidamente las debilidades de identidad locales a la nube, lo que plantea riesgos de seguridad sustanciales al crear una puerta de entrada para que los atacantes pirateen estos entornos desde configuraciones locales. El alphv Gato negro Se sabe que el grupo de ransomware utiliza Active Directory como un trampolín para comprometer a los proveedores de identidades en la nube.

Durante la última década, ha habido una prisa por migrar a la nube, y por una buena razón. Sin embargo, al mismo tiempo, las brechas de seguridad derivadas de la infraestructura heredada, las configuraciones erróneas y las características integradas inseguras crean vías para que los atacantes accedan a la nube, lo que debilita significativamente la resistencia de una empresa a las amenazas de identidad.

“La identidad es el elefante en la habitación. Sabemos que la identidad juega un papel clave en casi todos los ciberataques. Lockbit, BlackCat, TA577, Fancy Bear: todos utilizan las brechas de identidad para entrar, moverse lateralmente y obtener más permisos”, dijo Hed Kovetz, CEO y cofundador de Silverfort. “Pero necesitamos saber qué tan común es cada brecha de seguridad de identidad para poder comenzar a solucionarlas metódicamente. Finalmente, tenemos evidencia concreta que describe la frecuencia de las brechas de identidad, que ahora podemos clasificar como Exposers de contraseñas, Movers laterales o Escaladores de privilegios, y todos ellos son vehículos para que los actores de amenazas completen sus ataques. Esperamos que al arrojar luz sobre la prevalencia de estos problemas, los equipos de identidad y seguridad tengan las cifras concretas que necesitan para priorizar las inversiones en seguridad adecuadas y eliminar estos puntos ciegos”.

Los hallazgos clave incluyen:

• Dos tercios de todo cuentas de usuario autenticarse a través del protocolo NTLM débilmente cifrado, lo que proporciona a los atacantes un fácil acceso a contraseñas de texto sin cifrar. La autenticación NT Lan Manager (NTLM), fácilmente descifrada con ataques de fuerza bruta, es un objetivo principal para los atacantes que buscan robar credenciales y adentrarse más en un entorno. Investigaciones recientes de Seguridad de punto de prueba muestra al actor de amenazas TA577 usando información de autenticación NTLM para robar contraseñas.

• Una única mala configuración en un Active Directory La cuenta genera 109 nuevos administradores en la sombra en promedio. Administradores en la sombra son cuentas de usuario con el poder de restablecer contraseñas o manipular cuentas de otras maneras. Los atacantes utilizan administradores en la sombra para cambiar la configuración y los permisos y obtener más acceso a las máquinas a medida que se adentran en un entorno. 

• 7% de las cuentas de usuario mantener inadvertidamente privilegios de acceso a nivel de administrador, lo que brinda a los atacantes más oportunidades de escalar privilegios y moverse por entornos sin ser detectados.

• El 31% de las cuentas de usuario son cuentas de servicio. Las cuentas de servicio se utilizan para la comunicación de máquina a máquina y tienen un alto nivel de acceso y privilegios. Los atacantes apuntan a cuentas de servicio, ya que los equipos de seguridad a menudo las pasan por alto. Solo 20% de empresas tienen mucha confianza en que tienen visibilidad de cada cuenta de servicio y pueden protegerla.

• El 13% de las cuentas de usuario están categorizadas como “cuentas obsoletas,”, que son efectivamente cuentas de usuario inactivas que el equipo de TI puede haber olvidado. Son blancos fáciles para movimiento lateral y evadir la detección de los atacantes.

SilverfortEl equipo de investigación de ha categorizado meticulosamente las exposiciones a amenazas de identidad (ITE) en cuatro clases distintas. Su objetivo es dotar a la industria de la ciberseguridad de un marco para clasificar y comprender el diverso espectro de problemas de identidad y configuraciones erróneas que permiten el robo de credenciales. escalada de privilegiosy movimiento lateral de actores maliciosos.

Las cuatro categorías ITE

• Expositores de contraseñas: Permita que un atacante descubra las contraseñas de los usuarios exponiendo el hash de la contraseña a técnicas de compromiso comunes. Los ejemplos incluyen autenticación NTLM, NTLMv1 autenticación y administradores con SPN.

• Escaleras mecánicas de privilegio: Permitir que un atacante obtenga privilegios de acceso adicionales. Normalmente, las escaleras mecánicas Privilege son el resultado de una mala configuración o de ajustes heredados inseguros. Los ejemplos incluyen administradores en la sombra y delegación sin restricciones.

• Motores laterales: Permitir que un atacante se mueva lateralmente sin ser detectado. Los ejemplos incluyen cuentas de servicio y usuarios prolíficos.

• Dodgers de protección: Potencialmente abrir cuentas de usuarios legítimos para que las utilicen los atacantes. Los problemas de protección se deben a errores humanos o cuentas de usuario mal administradas; no son inherentemente fallas de seguridad o configuraciones incorrectas. Los ejemplos incluyen nuevos usuarios, cuentas compartidas y usuarios obsoletos.

Únete SilverfortLos expertos en amenazas a la identidad de Abril de 9^th en asociación con Hacker News para profundizar en las conclusiones del informe. Visita Identidad subterránea para acceder al informe completo.

Nuestra Empresa Silverfort

Silverfort, la empresa Unified Identity Protection, fue pionera en la primera y única plataforma que permite la seguridad de identidad moderna en todas partes. Conectamos los silos de la empresa infraestructura de identidad para unificar la seguridad de la identidad en todos los entornos locales y en la nube. Nuestra arquitectura única y nuestro enfoque independiente del proveedor eliminan la complejidad de proteger cada identidad y extienden la protección a recursos que no pueden protegerse con ninguna otra solución, como sistemas heredados, interfaces de línea de comandos, cuentas de servicio (identidades no humanas), Infraestructura IT/OT, entre otros. Silverfort es un socio de primer nivel de Microsoft y fue seleccionado como socio de Microsoft Zero Trust Campeón del año. Cientos de las empresas líderes del mundo confían Silverfort ser su proveedor de seguridad de identidad, incluidas varias empresas de Fortune 50. Obtenga más información visitando www.silverfort.com o en Etiqueta LinkedIn.