Les risques de sécurité des comptes de service : pourquoi les souscripteurs de cyberassurances durcissent leurs exigences

Alors que les attaques de ransomwares continuent de monter en flèche, tant en fréquence qu'en intensité, les souscripteurs de polices d'assurance cyber ont considérablement resserré leurs exigences afin d'endiguer les pertes financières. Au cours des trois dernières années, par exemple, le nombre de les réclamations liées aux cyberattaques ont doublé, les compagnies d'assurance affichant un record 72 % de taux de cyber-pertes en 2020. Pendant ce temps, les attaques de ransomwares ont augmenté de 105 % l'année dernière, jusqu'à 623.3 millions d'attaques dans le monde, Avec le le paiement moyen coûte maintenant 570,000 XNUMX $. 

En réponse, les assureurs ont réorganisé leur cyber assurance les politiques doivent être beaucoup plus précises sur les contrôles de sécurité qui doivent être mis en place. Le premier changement majeur est survenu l'année dernière, lorsque les entreprises ont commencé à exiger que MFA les contrôles soient exécutables sur de nombreux systèmes de l'environnement, y compris les e-mails basés sur le cloud, l'accès au réseau à distance, ainsi que l'accès administrateur aux services d'annuaire, aux environnements de sauvegarde et à l'infrastructure réseau.  

Récemment, les souscripteurs sont allés plus loin, bon nombre d'entre eux exigeant également que tous comptes privilégiés protége toi. Cet article examine pourquoi les compagnies d'assurance se concentrent désormais sur ces comptes en général et plus particulièrement sur un sous-ensemble de comptes privilégiés : les comptes de service.

Le lien entre les attaques de ransomware et les comptes de service

Les auteurs de menaces utilisent de plus en plus une tactique particulièrement furtive pour se déplacer librement dans un environnement : mouvement latéral. Mouvement latéral est l'étape d'une attaque qui survient après l'accès initial, où les attaquants utilisent des informations d'identification d'utilisateur compromises pour accéder à autant de machines que possible afin de maximiser le gain de l'attaque en chiffrant plusieurs machines simultanément.  

Les attaques de rançongiciels réussies utilisent souvent un compte de service, qui est un compte non humain utilisé pour la communication machine à machine (M2M) qui exécute un processus critique (tel qu'une analyse du réseau ou une mise à jour logicielle) de manière répétée et automatique. Ces comptes sont des cibles très attrayantes pour les attaquants car ils sont généralement hautement privilégiés, avec un accès de niveau administrateur à de nombreux systèmes. 

En fait, plusieurs cyberattaques récentes de grande envergure ont impliqué un compte de service compromis, y compris le Piratage SolarWinds de 2021 et le Violation d'Uber plus tôt cette année.  

Défis de sécurité des comptes de service 

Les comptes de service sont particulièrement vulnérables aux compromis pour deux raisons importantes. Premièrement, ils ont souvent une faible visibilité, car il n'existe aucun outil de diagnostic capable de les découvrir et de surveiller leur comportement. Deuxièmement, les comptes de service sont généralement exclus de la rotation des mots de passe car ils sont souvent intégrés dans des scripts. Le résultat est qu'une fois l'un de ces comptes compromis, un attaquant pourra se déplacer dans un environnement sans être détecté et pendant une durée illimitée.  

C'est exactement pourquoi les assureurs s'inquiètent des comptes de service ont récemment commencé à obliger les entreprises à effectuer des inventaires et à mettre en place des mesures de sécurité spécifiques pour empêcher les attaquants de les utiliser pour un accès malveillant.

Les nouvelles exigences pour obtenir une police d'assurance cyber

Parmi les exigences auxquelles les entreprises doivent désormais répondre figurent les suivantes : 

• Il y a un inventaire de tous les comptes de service privilégiés, mis à jour au moins tous les trimestres - y compris à quoi sert chaque compte de service et pourquoi il nécessite des droits d'administrateur de domaine 
• Les comptes de service sont hiérarchisés afin que différents comptes soient utilisés pour interagir avec les postes de travail, les serveurs et les serveurs d'authentification 
• Les comptes de service sont configurés à l'aide de principe du moindre privilège et de refuser les connexions interactives 
• Un processus est en place pour revoir régulièrement les exigences de chaque compte de service privilégié afin de vérifiez qu'il nécessite toujours des autorisations qu 'il présente 
• Des mesures sont prises pour atténuer toute exposition la configuration des comptes de service crée ce qui pourrait entraîner la collecte d'informations d'identification
• Autres ingrédients des règles de surveillance sont en place pour les comptes de service afin d'alerter le Security Operations Center (SOC) de tout comportement anormal 

Ces exigences présentent de sérieux défis pour les entreprises à la recherche d'une nouvelle police d'assurance cyber (ou qui cherchent à renouveler une police existante). Comme mentionné, aucun utilitaire ne peut générer un rapport de tous les comptes de service actuels, ce qui signifie que les organisations peuvent trouver impossible de produire un décompte précis d'entre eux et de démontrer une comptabilité complète de leur comportement.  

Mais même pour les entreprises disposant d'enregistrements à jour, la configuration de politiques spécifiques pour surveiller le comportement de tous les comptes de service serait extrêmement laborieuse et épuiserait énormément les ressources informatiques. De plus, la mise en place de mesures pour protéger les comptes de service contre la compromission est au mieux compliquée, car la rotation des mots de passe des comptes de service peut interrompre des processus critiques. 

Comment Silverfort Permet aux entreprises de répondre aux exigences du compte de service

Heureusement, le Silverfort Sécurité Protection d'identité a été développée pour répondre exactement à ces problèmes - et peut aider les entreprises à répondre aux exigences de cyberassurance pour les comptes de service.  

Silverfort donne aux entreprises la possibilité de découvrir et sécuriser tous les comptes de service dans l'environnement via un moteur d'IA qui détecte tout compte affichant un comportement répétitif de type machine. Une fois détecté, Silverfort peut ensuite surveiller en continu ces comptes et tous les endroits où ils s'authentifient, fournissant aux équipes de sécurité des informations en temps réel sur leur activité et leur niveau de risque.

Silverfort est également livré avec des politiques d'accès prêtes à l'emploi adaptées à chaque compte de service en fonction de son modèle de comportement spécifique, tout écart étant immédiatement détecté et entraînant soit un accès bloqué, soit une alerte envoyée à l'équipe SOC - empêchant ainsi les pirates de les utiliser dans les attaques de mouvement latéral.  

En plus des politiques basées sur des règles, des politiques adaptatives basées sur le risque peuvent être facilement créées pour être activées à mesure que le niveau de risque d'un compte augmente. Ce niveau de protection granulaire signifie que les comptes de service peuvent être entièrement protégés sans rotation des mots de passe, ce qui peut interrompre les processus critiques.

Voici un résumé des capacités Silverfort fournit autour des comptes de service :

Avec Silverfort en place, les organisations trouveront que répondre aux nouvelles exigences concernant les comptes de service est simple et simple, ce qui leur permettra de se qualifier pour une police d'assurance cyber et de retrouver la tranquillité d'esprit. Pour en savoir plus, demander une démo ici.