Buscar

Idioma

Silverfort

EL INFORME SUBTERRÁNEO DE LA IDENTIDAD

Las brechas de seguridad de identidad más comunes que conducen a un compromiso

Tus defensas están por las nubes, pero bajo tierra estás expuesto.

Notamos una brecha en la investigación sobre ciberseguridad. La mayoría de los informes sobre amenazas disponibles hoy en día detallan mucho el malware, los actores de las amenazas y las cadenas de ataque, pero incluyen muy pocos datos sobre las lagunas y debilidades de identidad que desempeñan un papel en casi todos los ataques cibernéticos. Decidimos cambiar eso.

 

Identity Underground es el primer intento de mapear las debilidades de seguridad de identidad más críticas que conducen al robo de credenciales, la escalada de privilegios o el movimiento lateral, tanto en las instalaciones como en la nube. No son vulnerabilidades ni ataques en sí mismos, sino debilidades inherentes en la infraestructura de identidad que los actores de amenazas utilizan regularmente en sus ataques. Como tal, decidimos llamar a estas brechas Exposiciones a amenazas de identidad (ITE).

 

Los datos de este informe se recopilan de cientos de entornos de producción en vivo. Nuestra esperanza es que Identity Underground pueda ayudar a los equipos de identidad y seguridad a comparar sus programas de seguridad y empoderarlos para tomar decisiones informadas sobre dónde invertir en seguridad de identidad.

¿Sabía usted qué…?

31%

de todos los usuarios son cuentas de servicio con altos privilegios de acceso y baja visibilidad.

13%

de las cuentas de usuario están obsoletas y no realizan ninguna actividad.

12%

de las cuentas de administrador están configuradas para tener delegación sin restricciones

Las exposiciones a amenazas de identidad (ITE) abren su organización a ataques

Identity Underground traza los ITE más críticos que permiten a los atacantes acceder a credenciales, escalar privilegios y moverse lateralmente, tanto en las instalaciones como en la nube. Los hemos clasificado en cuatro categorías: expositores de contraseñas, escaleras mecánicas de privilegios, movimientos laterales y evasores de protección. Los ITE son difíciles de eliminar y pueden ser el resultado de una mala configuración, una mala práctica, una infraestructura de identidad heredada o incluso funciones integradas. Están detrás del fuerte aumento del robo de credenciales y movimiento lateral, una característica de casi todos los ataques. Se ha demostrado que los ITE en este informe son frecuentes, impactantes y están disponibles para que los atacantes los exploten. Si bien existen múltiples ITE de diferentes tipos, solo hemos incluido aquellos que introducen un riesgo que todas las organizaciones probablemente experimenten.

ITE 1

Expositores de contraseñas

Permite a los atacantes acceder a la contraseña de texto sin cifrar de una cuenta de usuario.

Técnica MITRE ATT&CK relacionada: Acceso a credenciales

Ejemplos:

  • Autenticación NTLM
  • Autenticación NTLMv1
  • Administradores con SPN

ITE 2

Escaleras mecánicas de privilegio

Permite a los atacantes moverse lateralmente sin ser detectados.

Técnica MITRE ATT&CK relacionada: Escalada de privilegios

Ejemplos:

  • Administradores en la sombra
  • Delegación sin restricciones

 

ITE 3

Motores laterales

Permite a los atacantes escalar los privilegios de acceso existentes.

Técnica MITRE ATT&CK relacionada: Movimiento lateral

Ejemplos:

  • Cuentas de servicio
  • Usuarios prolíficos

 

Es una práctica común para Active Directory (AD) para sincronizar hashes de usuario con el IdP en la nube para que los usuarios puedan acceder a aplicaciones SaaS con las mismas credenciales que los recursos locales.

Al sincronizar las contraseñas de los usuarios de esta manera, las organizaciones migran sin darse cuenta las debilidades de identidad locales a la nube y crean un ITE de exposición de contraseñas. Los atacantes, incluido el Grupo de ransomware Alphv BlackCat, son conocidos por piratear entornos de nube desde configuraciones locales.

La autenticación NTLM, que se puede descifrar fácilmente con ataques de fuerza bruta, es un objetivo principal para los atacantes que buscan robar credenciales y adentrarse más en un entorno.

Investigaciones recientes de Seguridad de punto de prueba muestra al actor de amenazas TA577 robando información de autenticación NTLM para obtener contraseñas. Este es otro ejemplo de un ITE de exposición de contraseñas.

Una única mala configuración en un Active Directory La cuenta genera 109 nuevos administradores en la sombra en promedio. 

Los administradores en la sombra son cuentas de usuario con el poder de restablecer contraseñas o manipular cuentas de otras maneras. Considerados escaladores de privilegios, los atacantes utilizan Shadow Admins para cambiar configuraciones, permisos y darse más acceso a las máquinas a medida que se adentran en un entorno.

Casi un tercio de todas las cuentas de usuario son cuentas de servicios con privilegios elevados. 

Las cuentas de servicio se utilizan para la comunicación de máquina a máquina y son identidades que tienen mucho acceso y privilegios. Objetivo de los atacantes cuentas de servicio, ya que los equipos de seguridad suelen pasarlos por alto. Solo El 20% de las empresas tienen mucha confianza que tengan visibilidad de cada cuenta de servicio y puedan protegerlas. Consideramos cuentas de servicios desconocidas ITE de Lateral Mover.

Qué puede hacer hoy para proteger su organización

La identidad sigue siendo una parte insidiosa de casi todos los ataques. Un mundo subterráneo de exposiciones a amenazas de identidad contribuye a la seguridad de una organización. ataque de identidad superficie. La buena noticia es que existen medidas que puede tomar hoy para eliminar estos ITE y reforzar la seguridad de su identidad.

1

Sepa dónde está expuesto y elimine el riesgo cuando sea posible

Obtenga visibilidad de los ITE en su entorno, siga las mejores prácticas de Microsoft y elimine cualquier ITE que resulte de malas prácticas o configuraciones incorrectas. 
Encuentre más información aquí

2

Contener y monitorear los riesgos existentes.

Para los ITE que no se pueden eliminar, como las cuentas de servicio o el uso de NTLM, supervise estas cuentas de cerca para detectar cualquier signo de compromiso.
Encuentre más información aquí

3

Tomar medidas preventivas

Aplique reglas de segmentación de identidad o políticas MFA para proteger las cuentas de usuario y aplicar políticas de acceso en sus cuentas de servicio. 
Encuentre más información aquí

4

Conecte los equipos de identidad y seguridad

Combine las áreas de especialización de sus equipos de identidad y seguridad para priorizar e implementar correcciones contra los ITE. 
Encuentre más información aquí

Obtenga el primer informe del mundo 100% dedicado a revelar exposiciones a amenazas de identidad.