Silverfort
EL INFORME SUBTERRÁNEO DE LA IDENTIDAD
Las brechas de seguridad de identidad más comunes que conducen a un compromiso
Tus defensas están por las nubes, pero bajo tierra estás expuesto.
Notamos una brecha en la investigación sobre ciberseguridad. La mayoría de los informes sobre amenazas disponibles hoy en día detallan mucho el malware, los actores de las amenazas y las cadenas de ataque, pero incluyen muy pocos datos sobre las lagunas y debilidades de identidad que desempeñan un papel en casi todos los ataques cibernéticos. Decidimos cambiar eso.
Identity Underground es el primer intento de mapear las debilidades de seguridad de identidad más críticas que conducen al robo de credenciales, la escalada de privilegios o el movimiento lateral, tanto en las instalaciones como en la nube. No son vulnerabilidades ni ataques en sí mismos, sino debilidades inherentes en la infraestructura de identidad que los actores de amenazas utilizan regularmente en sus ataques. Como tal, decidimos llamar a estas brechas Exposiciones a amenazas de identidad (ITE).
Los datos de este informe se recopilan de cientos de entornos de producción en vivo. Nuestra esperanza es que Identity Underground pueda ayudar a los equipos de identidad y seguridad a comparar sus programas de seguridad y empoderarlos para tomar decisiones informadas sobre dónde invertir en seguridad de identidad.
¿Sabía?
de todos los usuarios son cuentas de servicio con altos privilegios de acceso y baja visibilidad.
de las cuentas de usuario están obsoletas y no realizan ninguna actividad.
de las cuentas de administrador están configuradas para tener delegación sin restricciones
Las exposiciones a amenazas de identidad (ITE) abren su organización a ataques
The Identity Underground traza un mapa de las ITE más críticas que permiten a los atacantes acceder a credenciales, escalar privilegios y moverse lateralmente, tanto en las instalaciones como en la nube. Las hemos clasificado en cuatro categorías: expositores de contraseñas, escaladores de privilegios, desplazadores laterales y evasores de protección. Las ITE son difíciles de eliminar y pueden ser resultado de una configuración incorrecta, una mala praxis, una infraestructura de identidad heredada o incluso funciones integradas. Son la causa del marcado aumento del robo de credenciales y el movimiento lateral, una característica de casi todos los ataques. Se ha demostrado que las ITE de este informe son frecuentes, impactantes y están disponibles para que los atacantes las exploten. Si bien hay múltiples ITE de diferentes tipos, solo hemos incluido aquellas que presentan un riesgo que es probable que experimente toda organización.
Expositores de contraseñas
Permite a los atacantes moverse lateralmente sin ser detectados.
Técnica MITRE ATT&CK relacionada: Escalada de privilegios
Ejemplos:
- Autenticación NTLM
- Autenticación NTLMv1
- Administradores con SPN
Escaleras mecánicas de privilegio
Permite a los atacantes moverse lateralmente sin ser detectados.
Técnica MITRE ATT&CK relacionada: Escalada de privilegios
Ejemplos:
- Administradores en la sombra
- Delegación sin restricciones
Motores laterales
Permite a los atacantes escalar los privilegios de acceso existentes.
Técnica MITRE ATT&CK relacionada: Movimiento lateral
Ejemplos:
- Cuentas de servicio
- Usuarios prolíficos
La autenticación NTLM, que se puede descifrar fácilmente con ataques de fuerza bruta, es un objetivo principal para los atacantes que buscan robar credenciales y adentrarse más en un entorno.
Investigaciones recientes de Seguridad de punto de prueba muestra al actor de amenazas TA577 robando información de autenticación NTLM para obtener contraseñas. Este es otro ejemplo de un ITE de exposición de contraseñas.
Es una práctica común para Active Directory (AD) para sincronizar hashes de usuario con el IdP en la nube para que los usuarios puedan acceder a aplicaciones SaaS con las mismas credenciales que los recursos locales.
Al sincronizar las contraseñas de los usuarios de esta manera, las organizaciones migran sin darse cuenta las debilidades de identidad locales a la nube y crean un ITE de exposición de contraseñas. Los atacantes, incluido el Grupo de ransomware Alphv BlackCat, son conocidos por piratear entornos de nube desde configuraciones locales.
Una única mala configuración en un Active Directory La cuenta genera 109 nuevos administradores en la sombra en promedio.
Los administradores en la sombra son cuentas de usuario con el poder de restablecer contraseñas o manipular cuentas de otras maneras. Considerados escaladores de privilegios, los atacantes utilizan Shadow Admins para cambiar configuraciones, permisos y darse más acceso a las máquinas a medida que se adentran en un entorno.
Casi un tercio de todas las cuentas de usuario son cuentas de servicios con privilegios elevados.
Las cuentas de servicio se utilizan para la comunicación de máquina a máquina y son identidades que tienen mucho acceso y privilegios. Objetivo de los atacantes cuentas de servicio, ya que los equipos de seguridad suelen pasarlos por alto. Solo El 20% de las empresas tienen mucha confianza que tengan visibilidad de cada cuenta de servicio y puedan protegerlas. Consideramos que las cuentas de servicio desconocidas son ITE de movimiento lateral.
Qué puede hacer hoy para proteger su organización
La identidad sigue siendo un elemento insidioso de casi todos los ataques. Un mundo subterráneo de exposiciones a amenazas de identidad contribuye a la superficie de ataque de identidad de una organización. La buena noticia es que hay medidas que puede tomar hoy mismo para eliminar estas amenazas y reforzar la seguridad de su identidad.
01
Sepa dónde está expuesto y elimine el riesgo cuando sea posible
Obtenga visibilidad de los ITE en su entorno, siga las mejores prácticas de Microsoft y elimine cualquier ITE que resulte de malas prácticas o configuraciones incorrectas.
02
Contener y monitorear los riesgos existentes.
Para los ITE que no se pueden eliminar, como las cuentas de servicio o el uso de NTLM, supervise estas cuentas de cerca para detectar cualquier signo de compromiso.
03
Tomar medidas preventivas
Aplique reglas de segmentación de identidad o políticas MFA para proteger las cuentas de usuario y aplicar políticas de acceso en sus cuentas de servicio.
04
Conecte los equipos de identidad y seguridad
Combine las áreas de especialización de sus equipos de identidad y seguridad para priorizar e implementar correcciones contra los ITE.