Avez-vous déjà pensé au nombre de comptes dans votre environnement qui fonctionnent en dehors de votre visibilité et de votre contrôle ? L'un des plus grands sécurité d'identité les angles morts, souvent ignorés par les organisations mais fréquemment utilisés par les attaquants, sont Comptes locaux.
Contrairement aux comptes basés sur des domaines que les équipes de sécurité peuvent facilement détecter et surveiller, les comptes locaux sont laissés dans l'ignorance avec une visibilité limitée, voire inexistante, sur leur activité et leurs privilèges. Cette lacune est devenue un problème si critique que Le FBI a récemment émis un avertissement, exhortant les organisations à désactiver les comptes d’administrateur locaux pour réduire le risque de cyberattaques.
Dans ce blog, nous explorerons les différents risques de sécurité posés par les comptes locaux et comment SilverfortLa nouvelle fonctionnalité de visibilité des authentifications locales aide les organisations à combler l'angle mort.
Comprendre les comptes locaux : ce qu'ils sont et comment ils fonctionnent
Les comptes locaux existent en 2 types principaux : locaux des comptes d'utilisateurs ou administrateurs et les comptes d'administrateur local. Décrivons chaque type plus en détail :
- Comptes d'utilisateurs locaux
Ce sont des comptes standards avec autorisations d'accès limitées, généralement utilisé pour l'accès de base à un point de terminaison. Les utilisateurs locaux peuvent se connecter et utiliser un système, mais manque de privilèges administratifs pour apporter des modifications à l’échelle du système.
- Comptes d'administrateur local
Ces comptes ont le plein contrôle sur un point de terminaison, permettant aux utilisateurs d'installer des logiciels, de modifier les paramètres du système et de créer de nouveaux comptes. Les comptes d'administrateur locaux intégrés (par exemple, le compte « Administrateur » par défaut de Microsoft Windows) sont souvent à haut risque car ils peuvent être exploités par des attaquants pour compromettre et les déplacements verticaux et élévations de privilèges.
Alors que les comptes de domaine sont gérés de manière centralisée via Active Directory (AD) ou un fournisseur d'identité (IdP), comptes locaux existe uniquement sur un point de terminaison individuel. À partir d'un gestion de l'identité Du point de vue de la perspective, la principale différence entre les comptes locaux et les comptes de domaine réside dans la personne qui les gère :
- Comptes locaux existent et sont contrôlés sur le point final individuelL'utilisateur dispose d'un contrôle total sur le système, y compris d'un accès privilégié aux paramètres critiques, sans aucune visibilité de la part des équipes de sécurité.
- Comptes de domaine, d'autre part, sont gérés de manière centralisée par les administrateurs de domaine dans les Active Directory (AD) ou un fournisseur d'identité (IdP). Les équipes de sécurité ont plus de visibilité sur les comptes de domaine et la possibilité d'appliquer des contrôles de sécurité à chaque utilisateur, avec des politiques et des restrictions spécifiques.
Les comptes locaux sont souvent utilisés pour des tâches administratives ou des systèmes hérités afin de fournir l'accès à un ordinateur ou à un appareil spécifique, mais ils manquent de surveillance et de contrôles de sécurité avancés offerts par les comptes basés sur un domaine.
Les risques cachés des comptes locaux
D'un point de vue de la sécurité, les comptes locaux ne présentent pas à eux seuls de risques majeurs en matière de sécurité. Mais ne pas les gérer correctement peut avoir de graves conséquences sur l'organisation. Les principaux risques sont les suivants : manque de visibilité, gestion centralisée limitée et des contrôles de sécurité plus faiblesCes défis font des comptes locaux une cible de choix pour les attaquants qui cherchent à déplacer latéralement et augmenter les privilèges sans être détecté.
Concentrons-nous plus en détail sur les risques de sécurité d’identité des comptes locaux :
- Manque de visibilité : un angle mort dans protocoles d'authentification Stack monitoring
L'un des plus grands risques des comptes locaux est que les équipes de sécurité ne peuvent pas voir ce qu'elles ne peuvent pas suivre. Contrairement aux authentifications basées sur le domaine, qui sont enregistrées et stockées de manière centralisée, les activités des comptes locaux sont isolées dans des points de terminaison individuels et n'ont aucun enregistrement dans les journaux AD ou IdP. Cela signifie que toute activité malveillante, y compris les échecs de connexion, les modèles d'accès inhabituels ou identifiants compromis, rend presque impossible sa détection avant qu'il ne soit trop tard.
- Gestion centralisée limitée : un cauchemar sécuritaire et opérationnel
Les comptes locaux sont stockés en dehors du périmètre de gestion des identités basé sur l'annuaire. Les équipes de sécurité peinent non seulement à appliquer les politiques, mais aussi à déterminer qui a accès à quoi. De nombreuses organisations utilisent des mots de passe par défaut ou des identifiants statiques pour les comptes locaux, sans rotation appropriée des identifiants, ce qui augmente le risque d'accès non autorisé. Sans gestion centralisée des authentifications, les organisations disposent de contrôles de sécurité fragmentés que les attaquants peuvent facilement exploiter pour compromettre leurs données.
- Des contrôles de sécurité plus faibles : une porte ouverte aux attaquants
Les comptes locaux sont rarement sécurisés par des contrôles de sécurité solides, comme l’authentification multifacteur (authentification multi-facteur) ou d'autres contrôles de sécurité, ce qui en fait une cible facile pour les attaquants. Une fois un compte local compromis, il peut être utilisé pour élever les privilèges ou se déplacer latéralement dans l'environnement sans déclencher d'alertes de sécurité. Les comptes locaux constituent donc un angle mort critique pour la sécurité des identités des organisations.
Comment Silverfort permet la visibilité des comptes locaux
Avec Silverfort vous pouvez désormais améliorer votre visibilité sur les authentifications des comptes locaux, à partir de Silverfort pour Ouverture de session Windows version 2.1.3.
Lorsqu'un utilisateur local accède à une machine Windows avec Silverfort pour la connexion Windows installée, l'authentification sera enregistrée avec le type d'authentification « Local », et vous gagnerez visibilité complète sur ces tentatives d'accès de Silverfort Écran des journaux en filtrant par type d’authentification = « Local ».
Cette nouvelle fonctionnalité du produit vous permet de suivre les connexions locales pour Windows. En filtrant les tentatives d'accès aux comptes locaux, vous pouvez rapidement identifier toute activité malveillante, y compris une éventuelle utilisation abusive des identifiants.
Mettre en lumière les comptes locaux : la première étape vers la protection
Les comptes locaux ont toujours été considérés comme un angle mort en matière de sécurité que les attaquants peuvent exploiter pour créer un moyen simple de compromettre un environnement et de passer inaperçus. Sans visibilité sur les activités d'authentification des comptes, vous ne pourriez pas détecter ou répondre à aucune de ces activités malveillantes avant qu'elles ne s'aggravent.
Avec SilverfortGrâce à la visibilité en temps réel des authentifications des comptes locaux, vous pouvez enfin accéder à une nouvelle couche de sécurité d'identité invisible pour surveiller, suivre et analyser ces identités. C'est un excellent point de départ pour une sécurité et une protection complètes des comptes locaux.
Prêt à explorer les comptes locaux cachés dans votre environnement ? Si vous êtes déjà client, veuillez contacter votre responsable de la réussite client ou planifier un appel avec un de nos experts