No es de extrañar que los ciberataques modernos busquen formas de moverse lateralmente, tanto dentro de un entorno local como hacia los servicios, aplicaciones y recursos basados en la nube de una organización. Dado que casi todos los entornos utilizan algún tipo de configuración híbrida, cualquier credencial de identidad que sea susceptible a técnicas de piratería proporciona a un atacante un acceso potencialmente sin restricciones tanto al entorno local como a la nube.
¿Y por qué es tan fácil que una identidad elevada se vea comprometida? Es probable que la causa sea una debilidad en la configuración, la gestión y la supervisión de la identidad.
Piense más allá de una contraseña insegura: cuentas, permisos y delegaciones no documentados u olvidados; falta de información adicional autenticación Factores, privilegios de reputación y más, todos plagan a la mayoría de las organizaciones (porque todos estamos muy concentrados en lidiar con el "próximo" problema). Son estas debilidades las que buscan los cibercriminales y de las que se aprovechan... todo porque saben que usted no las ha abordado.
En este seminario web, Yiftach Keshet, vicepresidente de marketing de productos de Silverfort, profundiza en los temas comunes seguridad de identidad brechas que existen en los entornos locales que permiten que los actores de amenazas también accedan a aplicaciones y plataformas basadas en SaaS.
Para empezar, Nick Cavalancia, 4 veces MVP de Microsoft, analiza por qué la identidad sigue siendo una cuestión primordial. superficie de ataque, utilizando el marco MITRE ATT&CK para demostrar cómo casi todas las acciones que se llevan a cabo inevitablemente se remontan a una superficie de ataque de identidad débil.
A continuación, Yiftach analiza las brechas de seguridad más comunes y muestra cómo se pueden utilizar para brindar acceso tanto a entornos locales como en la nube. Entre ellas, se incluyen las siguientes:
- Cómo los adversarios abusan de las debilidades locales para moverse lateralmente y comprometer el entorno de la nube al obtener acceso inicial a una máquina y luego usar una ruta NTLM o Kerberos ruta para obtener acceso a entornos de nube.
- Identificar usuarios con privilegios de acceso excesivos: 1 de cada 7 usuarios (en promedio) tiene privilegios de acceso similares a los de los administradores a pesar de no estar incluido en ningún grupo de administradores. Naturalmente, tampoco hay protección para estos usuarios, ya que nadie sabe que tienen privilegios de facto. Los atacantes pueden aprovechar la oportunidad y atacar a estos usuarios "de forma discreta". movimiento lateral.
- Cuentas obsoletas y cuentas compartidas: mala praxis común que crea una enorme superficie de ataque. Las cuentas obsoletas no están protegidas (más del 15 % de todos los usuarios en muchos casos). Las cuentas compartidas no se pueden proteger con MFAAmbos tipos están ampliamente difundidos.
Yiftach también demuestra cómo es posible detectar este tipo de ataques, así como analizar las mejores prácticas sobre cómo mitigar las debilidades de identidad a través de controles de seguridad que incluyen autenticación multifactor y segmentación de identidad.