Mettre en lumière les risques croissants liés aux identités non humaines

d'accueil » Blog » Mettre en lumière les risques croissants liés aux identités non humaines

Active Directory Comptes de service : examen plus approfondi de l'un des NHI les plus courants et de leur rôle dans les mouvements latéraux

La sécurité des identités non humaines (NHI) est désormais une priorité pour les acteurs de la sécurité. Mais qu'est-ce qu'au juste un identité non humaine, et quel est leur impact sur la posture de cybersécurité d'une organisation ? NHI est un terme général utilisé pour décrire le moment où une machine, une application ou un service reçoit des informations d'identification pour effectuer une tâche ou une action automatisée. Il existe de nombreux types de NHI, notamment les clés API, les comptes de service, les comptes système, les jetons OAuth, entre autres. Disons que le responsable informatique Bob écrit un script demandant à une machine d'effectuer une sauvegarde quotidienne sur un serveur. Bob donne les informations d'identification et l'accès à la machine pour effectuer la sauvegarde automatisée. Il s'agit d'un NHI.

Dans la recherche d'aujourd'hui, nous allons nous concentrer sur le type de virus le plus répandu et régulièrement compromis. INH : Active Directory privilégiés. Au sein du vaste pool de types NHI, les comptes de service — utilisés pour la communication de machine à machine au sein de Microsoft Active DirectoryLes environnements de (AD) – sont les plus préoccupants. Ces identités sont tout aussi vulnérables aux compromissions et aux abus potentiels que les identités humaines. En fait, en raison du manque historique de visibilité et de protection, ils pourraient même être confrontés à des risques encore plus graves. En règle générale, ils disposent d’un accès privilégié aux machines sensibles, ce qui en fait des comptes d’administrateur.

Nous avons découvert des données des 12 derniers mois qui nous aident à répondre à ces questions. Dans notre recherche, nous examinons la portée des comptes de service AD, leur risque de compromission et la confiance des utilisateurs. sécurité d'identité équipes dans leur capacité à les découvrir et à les protéger.

Pourquoi les NHI (comptes de service AD) sont les meilleurs amis des attaquants

Par défaut, les attaquants cibleront les comptes de service pour mouvement latéral en raison de leurs privilèges d’accès élevés, de leur faible visibilité et de leurs problèmes de protection. Et, dans de nombreux cas, les comptes de service passent inaperçus des équipes de sécurité et d'identité parce qu'elles ne savent même pas qu'ils existent. En reprenant le même exemple que ci-dessus, lorsque le responsable informatique Bob automatise la sauvegarde d'un serveur mais quitte ensuite l'entreprise, cette tâche automatisée de machine à machine se poursuit sans être vue ni surveillée. Le compte de service a toujours accès au serveur et au serveur de sauvegarde, ce qui en fait une cible attrayante pour un mauvais acteur.

Les risques associés à une violation de compte de service sont immenses, car ils peuvent également conduire à compromettre l'ensemble de l'environnement SaaS de l'organisation. Même si les comptes de service ne sont pas censés être synchronisés d'AD vers le fournisseur d'identité cloud (IdP), il est extrêmement courant que les équipes d'identité les synchronisent par inadvertance. Bien que ces comptes ne puissent pas être utilisés par défaut pour accéder aux ressources SaaS, un attaquant ayant obtenu des privilèges d'accès administrateur à l'IdP du cloud peut les activer et leur attribuer des privilèges d'accès.

Exemple de flux d'attaque :

  1. L’attaquant obtient des privilèges d’accès administrateur à la console de gestion Cloud IdP.
  2. Une fois à l’intérieur, l’attaquant recherche les comptes de service synchronisés (les conventions de dénomination sont un guide utile) jusqu’à en trouver un.
  3. L'attaquant configure une politique d'accès pour le compte de service choisi et lui attribue des privilèges d'accès aux applications SaaS.
  4. L'attaquant utilise ensuite le compte de service pour accéder et agir dans l'environnement SaaS.

Le volume considérable de comptes de service AD ​​est alarmant

Les comptes de service représentent une grande partie du nombre total d'utilisateurs au sein de l'AD d'une entreprise.

En moyenne, environ un tiers des utilisateurs d’AD sont des comptes de service. Le ratio des comptes de service par rapport aux identités totales dans les grandes entreprises est plus faible, mais cela ne signifie pas qu'elles ont moins de comptes de service en valeur absolue. Pour mettre cela en contexte, une grande entreprise comptant 100,000 23,000 utilisateurs dans AD aurait probablement environ XNUMX XNUMX comptes de service actifs.

Dans les petites organisations, près de la moitié de tous les utilisateurs AD sont des comptes de service dotés de privilèges et d’accès élevés.

Exposition des comptes de service à des compromis

Les protocoles d'authentification faibles rendent les comptes de service vulnérables

NTLM existe toujours dans de nombreux domaines Windows bien qu'il s'agisse d'un système très faible. protocoles d'authentification protocole sensible à l’accès aux informations d’identification et aux mouvements latéraux. En fait, 46 % des comptes de services s'authentifier régulièrement via ce protocole obsolète, les laissant plus exposés aux compromissions. 

La visibilité sur les comptes de service est au mieux trouble

Les équipes ne sont pas sûres de disposer d'un inventaire précis des comptes de service

Visibilité complète sur tous vos aspects humains et identités non humaines est fondamental pour une bonne sécurité de l’identité. Pourtant, un récent livre blanc d'Osterman Research a révélé que seulement 5.7 % des organisations ont une visibilité complète sur leurs comptes de service, tandis que 62 % n'ont qu'une visibilité partielle. 

La plupart des NHI, y compris les comptes de service, ne peuvent pas être protégés par MFA, et le manque de visibilité sur leurs activités élimine la possibilité de les protéger de manière efficace. Privileged Access Management (PAM) Coffre-fort (PAM) avec rotation des mots de passe.

La confiance dans la protection des comptes de service est minime

La protection des comptes de service est un défi de taille pour les organisations

Seule une organisation sur cinq est convaincue qu'elle peut empêcher les adversaires d'utiliser un compte de service à des fins d'accès malveillant. Cela laisse 1 % des organisations incapables d’empêcher l’utilisation abusive des comptes de service en temps réel en raison d’une visibilité et d’une sécurité sporadiques ou absentes. 

Le mouvement latéral continue d'être une épine dans le pied du défenseur

Se déplacer latéralement au sein d'une organisation est un enjeu majeur pour un attaquant, et les comptes de service sont l'une de leurs principales cibles pour ce faire. Il est alarmant de constater que seules 22.4 % des organisations sont convaincues de pouvoir arrêter les mouvements latéraux grâce à identifiants compromis dans leurs environnements.

Regard vers l’avenir : les institutions nationales de santé présentent un défi, mais il existe des solutions 

Les NHI représentent une part importante de l’identité totale d’une organisation. Le volume des NHI continuera d’augmenter à mesure que nous accélérons le rythme de l’automatisation, de l’innovation et du grand amplificateur qu’est l’intelligence artificielle. Aujourd’hui, nous avons analysé un seul type de NHI utilisé dans une organisation typique, mais il n’est pas difficile d’imaginer une multitude de résultats similaires si nous élargissions notre champ d’application et appliquions l’analyse à d’autres types de NHI régulièrement utilisés dans les organisations du monde entier. La compromission d'un seul compte de service NHI pourrait donner aux attaquants l'accès à plusieurs ressources, ce qui en ferait une cible idéale pour les attaquants, sophistiqués ou non. Et ils rencontreront rarement beaucoup de résistance, car les contrôles de sécurité standards comme les contrôles traditionnels MFA ne peut généralement protéger que l’identité humaine. 

Couplé au fait que seulement une organisation sur cinq est très confiant dans la prévention des menaces d’identité, cela dresse un tableau alarmant.

Étapes pour protéger vos identités non humaines

1. Efforcez-vous de moindre privilège: Limitez l'accès au niveau le plus granulaire, en particulier sur les comptes non humains privilégiés, en fonction de la source, de la destination, du protocole, de l'heure et d'autres facteurs. Des privilèges excessifs peuvent entraîner des risques involontaires dans une organisation, tels que la perte ou le vol de données, ainsi que créer des cibles supplémentaires et inutiles pour les attaques de phishing.

2. Définissez votre « normal » : Pour établir un risque, ou ce qui est considéré comme une activité anormale dans un réseau, établissez clairement une base de référence de ce à quoi ressemble un comportement « normal » pour toutes les identités, humaines et non humaines. Cela devrait être particulièrement simple pour les comptes de service, dont le comportement est hautement prévisible et répétitif – en supposant, bien sûr, que vous ayez déjà une visibilité sur vos NHI.

3. Repérez rapidement les activités anormales :  Le les bons outils sont en place pour les surveiller et les alerter de manière proactive à ces activités anormales, les équipes peuvent alors réagir rapidement. Cela permet d'identifier et de prévenir tout écart supplémentaire, et si les attaquants En essayant de pénétrer dans le réseau, l'équipe de sécurité peut efficacement atténuer et contenir la portée de son attaque .

4. Bloquez automatiquement les tentatives d'accès aux comptes de service atypiques : La détection ne suffit pas. Vous devriez également être en mesure d’empêcher activement un compte de service suspecté d’être compromis d’accéder à la ressource ciblée.

5. Recherchez un outil qui étend l’AMF au-delà des identités humaines. MFA est un contrôle de sécurité éprouvé qui a fait ses preuves à maintes reprises pour contrecarrer les attaquants. En étendant l'authentification multifacteur à des ressources qui n'étaient auparavant pas protégées, vous effectuez enfin une « double vérification » sur chaque demande d'authentification, même pour les NHI. En savoir plus sur la façon dont Silverfort peut vous aider à protéger vos NHI.

Méthodologie du rapport

In SilverfortRapport sur l'identité clandestine de, nous avons examiné des centaines de milliers de points de données provenant de centaines de clients de différentes tailles et secteurs verticaux pour déterminer l'ampleur du problème de l'identité non humaine, en mettant l'accent sur les identités hautement privilégiées et omniprésentes. Active Directory comptes de services.

Nous avons également mené une recherche avec Osterman Research, qui a inclus les réponses de 637 personnes occupant des rôles identitaires entre mai et juin 2023. Pour être éligibles, les personnes interrogées devaient travailler dans des organisations comptant au moins 1,000 XNUMX employés. Les enquêtes ont été menées dans six pays, les enquêtes en France et en Allemagne étant respectivement réalisées en français et en allemand. L'enquête était intersectorielle et aucun secteur n'a été exclu ou restreint.

Arrêtez les menaces sur l'identité