A referência do ANSSI publicada por o MagIT para as entidades sujeitas à diretiva NIS2 em França, mencione à plusieurs reprises os riscos, liés aux accès des «processus automatiques».
Objetivo nº 10: A entidade proteger os acessos distantes dos regulamentos do SI
Na ausência de um objeto de telefone, a entidade é exposta, por exemplo, aos volumes de segredos de autenticação e ao acesso ilegítimo ao seu senhor através dos acessos distantes legítimos do pessoal da entidade, do processo automaticamente ou de prestatários de entidade, pode causar degradação e interromper atividades ou serviços que forneçam ou encore a divulgação de informações sensatas.
Objetivo nº 13: A entidade gera as identidades e o acesso dos usuários aos regulamentos do SI
A obtenção deste objetivo permite à entidade de maîtriser os usuários que utilizam seus sistemas de informação regulamentados, que esses últimos são internos ou externos à entidade (por exemplo: os prestatários) e os processos automáticos (por exemplo : os agentes de supervisão ou de segurança) através dos mecanismos de identificação e autenticação no estado da arte. A atenção a esse objetivo permite também à entidade de mestre o acesso para que esses usuários não tenham acesso a seus únicos recursos úteis para o cumprimento de suas missões.
O que o ANSSI se refere a esta expressão?
Il s'agit clairement de contas de serviço – contas em parte inteira dos anuários das empresas, indiscerníveis a priori das contas de empregados ordinários.
Mais ao contrário das contas «humanas», essas contas de serviço cumprem tarefas automatizadas pré-definidas. Por exemplo, um agente de segurança é autenticado todos os dias à mesma hora para extrair os dados do regulamento SI e os salva em uma base de dados externa para mitigar os dados de um ransomware.
Você faz com que se abram entre diferentes sistemas de informática sem a intervenção de um ser humano, cujo design seja esse acesso pelo anglicismo «máquina a máquina».
No objetivo nº 13 da transposição do NIS2, aplicado a todas as entidades (às vezes 'essenciais' e 'importantes') relacionadas à diretiva, a ANSSI exige a mise em operação de medidas adicionais censuradas para mitigar risques liés à ces « processus automatiques ». Isso inclui a anotação dos seguintes pontos:
- Os usuários e os processos automáticos que utilizam recursos dos sistemas de informação regulamentados (SIR) da entidade importante ou essencial à disposição de contas individuais. Os usuários podem, em caso positivo, descartar contas extras individualmente.
- O emprego de uma conta individual do SIR é reservado ao usuário ou ao processo automático após a conta que foi atribuída.
- Quando razões técnicas ou operacionais não permitem a criação de contas individuais para os usuários ou para processos automáticos, a entidade é tomada no lugar de medidas que permitem reduzir o risco, como a utilização de contas compartilhadas e garantir a traçabilidade da utilização destas contas.
- A entidade desativa sem atraso as contas que não são mais necessárias.
- A entidade protege o acesso dos usuários e o processo automático de recursos dos sistemas de informação regulamentados (SIR) ao meio de um mecanismo de autenticação (por exemplo: um mecanismo de autenticação mono ou multifator) implícito em menos um elemento secreto (por exemplo: um fato de conhecimento sobre o que é uma senha).
- Para cada usuário ou cada processo automático, a entidade não atribui os direitos de acesso a todos os recursos necessários à realização de atividades e serviços da entidade ou à manutenção em condições operacionais ou de segurança.
- Quando as razões técnicas ou operacionais não permitem modificar o elemento secreto [d'un compte humain ou d'un processus automatique], a entidade realizou um controle de acesso apropriado ao recurso em questão, além de medidas de redução de risco relacionadas à utilização de um elemento secreto de autenticação fixo.
- Para cada recurso do SIR, a entidade não atribui os direitos de acesso aos seus usuários e processos automáticos que justificam um pedido em relação às suas missões.
Il vaut la peine de se pencher sur les raisons justifiant of tes medidas, et sur les dificuldades a superar no quadro de sua implementação. Enfin, nous montrerons, comentário Silverfort pode ajudar a responder a essas exigências de forma simples e rápida.
Para proteger contas de serviço?
As contas de serviço são imunizadas contra mais tipos de ataques em relação às contas humanas. Eles são incapazes de clicar em garantias maliciosas ou de serem enganados por tentativas de usurpação de identidade e de hameçonnage. Mais cela não se rende para outros invulneráveis. Na verdade, constatou-se que foram utilizados mais e mais em cenários de ataques para realizar movimentos posteriores.
Para mencionar um exemplo bem conhecido, prenons ataque implícito SolarWinds em 2020, isso afetou mais de 18 clientes da sociedade (incluindo Microsoft, Cisco e vários departamentos governamentais dos EUA). Os atacantes russos, denominados CozyBear, estabeleceram uma porta restrita no lógico Orion que a SolarWinds vende para seus clientes, eles permitem que você se infiltre no SI de cada entidade que opera a ferramenta. O lógico em questão emprega contas de serviço para digitalizar a rede e acessar outros recursos. CozyBear colocou esse acesso para se propagar e implantar suas vítimas.
Este exemplo ilustra muito bem os riscos que representam essas máquinas. Ele é aberto geralmente sem grande supervisão. Seu comportamento é completo pré-determinado e previsível: a intervenção geralmente ocorre à mesma hora, desde a mesma fonte, e em relação ao mesmo destino, em intervalos regulares (por exemplo, todos os dias às 15h) para cumprir o «processo automático» que ele é confie. O processo em questão é tanto da ordem administrativa, que é necessário que ele seja octroyés de privilégios elevados.
Quando as contas de serviço são agitadas na nuvem, sua traçabilidade é garantida e as equipes de vigilância podem detectar todo comportamento anormal. Mais na infraestrutura local, mais antiga, os riscos são mais elevados.
Tudo de bom, no ano Active Directory da empresa, a única maneira de distinguir as contas humanas é por meio de uma convenção de nomenclatura específica.
Em segundo lugar, é difícil monitorar suas atividades cotidianas, trocar suas senhas ou impedir que um indivíduo possua os identificadores que você conta e acessa gratuitamente.
No final, eles não podem responder a uma demanda de autenticação multifatorial, como a fonte dos usuários humanos para garantir que sua conta não foi usurpada.
Ao compreender os atacantes, e também a ANSSI, considere as contas de serviço como uma estratégia cível. En devinant ou trouvant suas senhas (parfois stockés neggligemment dans des partages de fichiers réseaux), essas contas deviennent une clé passepartout permitem se propagar livremente na infraestrutura de suas vítimas e instalar códigos mal-intencionados.
Que medidas as sociedades podem fazer para mitigar esses riscos? E quais limites são risquent-elles de reencontrer en chemin ?
Obstáculos a superar
As boas práticas de higiene do SI e o princípio do «menos privilégio» permitem reduzir consideravelmente os custos por parte dos atacantes, podendo obter os identificadores das contas de serviço e desviá-los para os mal-intencionados.
É conveniente seguir as convenções de nomenclatura para esclarecer o identificador das contas que são eficazes nas contas de serviço e distinguir os acessos humanos comuns, e, em parte, analisar seus privilégios para garantir que eles são apropriados para eles missão.
No entanto, mesmo essas medidas simples podem ser difíceis de serem implementadas retroativamente para as contas mais antigas, com créditos como “legados”. A maior parte do mundo foi criada antes do estabelecimento de uma convenção de nommage semelhante. Nas grandes empresas, na contagem provável de centenas de milhares de dólares, um projeto de análise e compensação é extremamente cronófago.
Em seu SI, é raro que sejam as contas de serviço, que funcionam como cumpridoras, que é sua senha, e também de suíte. Ele continua operando no plano final, parfois depuis des décennies, à l'insu desresponsables informatique.
A ANSSI exige que cada conta de serviço seja reservada automaticamente para o que foi criado, e portanto não será desviado para outros fins. Ao tentar realizar as críticas, os administradores passam geralmente por um posto de administrador dédié (PAW), por um bastião através das quais suas ações são vigiadas e registradas. Em teoria, nenhum usuário usa o direito de acesso a recursos sensíveis devido a uma conta comum - toda tentativa de ser rejeitada.
No entanto, os meios queActive Directory propor nativo para limitar os privilégios de diferentes contas de serviço que são difíceis de implementar, e a opacidade ambiente de sua atividade no cotidiano traz riscos na elaboração de políticas de acesso (GPO). Se uma política vena, por exemplo, impedir uma dessas contas de acesso a um recurso, ela pode trazer a falha do processo – souvent crítica – no que depende.
As contas de serviço são obrigadas a recorrer a restrições às contas de administração humana (PAW, bastião…), lançando a porta aberta ao seu desvio por administradores com poucos escrúpulos ou atacantes. Nos casos esperados, há poucas oportunidades para vigiar suas ações e garantir que não sejam apresentadas vulnerabilidades no sistema.
No que diz respeito aos códigos de passe, no final, a Microsoft forneceu as taxas de criação de contas de serviço «administradas de grupo» (gMSA) com alterações de códigos de passe. No entanto, certos limites são demeurent: as contas de serviço operam em outros sistemas que Windows (notadamente Unix/Linux) não são compatíveis, e certas contas têm uma senha de código que é impossível de modificar.
Para resumir, a ANSSI afirma que as entidades envolvidas no NIS2 protegem suas contas de serviço e garantem:
- que são utilizados exclusivamente para o processo para que eles sejam criados;
- qu'ils soient désactivés dès qu'ils ne sont plus nécessaires ;
- que suas senhas mudam de acordo com a regulamentação;
- que seus privilégios são proporcionais à sua missão.
Infelizmente, para atender a essas exigências, as limitações nos termos de visibilidade tornam-se rapidamente mais difíceis na implementação dessas medidas. Caso aconteça, a ANSSI exige que os controles apropriados sejam colocados em operação para mitigar riscos ocasionais.
Comentário Silverfort proteger as contas de serviço
tecnologia Silverfort permite identificar e proteger contas de serviço de maneira rápida e eficaz.
Para resolver as dificuldades relacionadas à visibilidade e traçabilidade do acesso, Silverfort se posiciona atrás deleActive Directory (ainda que outros anuários compatíveis), consolide e monitore a integração das autenticações no seu SI.
Então, no espaço de algumas semanas, somos alguns na medida do identificador quando uma conta é previsível e repetitiva, característica de uma conta de serviço.
Nous les etiquetons, fornissant ainsi rapidement un inventaire completo de todas as contas de serviço da organização, incluindo aqueles que não obedecem à convenção de nommage.
Nós identificamos igualmente as contas «híbridas»: aquelas que são aparentes a uma máquina de contas, mas não o comportamento diferente do normal de maneira espontânea – sinais que são igualmente utilizados pelos seres humanos; e inverteu as contas nominativas dos administradores após a abertura do processo automático.
Finalmente, nós mettons en lumière todas as fontes depuis lesquelles essas contas são autênticas, assim como seu(s) destino(s). Cela é acompanhada por uma pontuação de risco para medir antes de contas com recursos sensíveis, antes de privilégios muito elevados, ou não le mot de passe n'a pas été change depuis longtemps.
A plataforma também fornece visibilidade às equipes responsáveis pela identidade e pela segurança. Em menos de um mês, eles colocaram à sua disposição uma lista completa de contas que violaram as recomendações da ANSSI, que eles poderiam priorizar em suas iniciativas de redução de riscos.
Au-delà de l'hygiène, Silverfort propomos também ferramentas redoutáveis para proteger o acesso à máquina.
Ao monitorar apenas as autenticações no tempo real, nossa plataforma pode alertar o SOC sobre uma conta de serviço desviada de seu comportamento habitual.
Além disso, Silverfort você pode colocar controles de acesso granulares nessas contas, de maneira bem mais simples e cirúrgica que as políticas configuráveis noActive Directory.
As pessoas responsáveis pela configuração específica de todas as fontes e destinos são autorizadas para cada conta de serviço e também restringem suas permissões de acordo com parâmetros específicos.
Então, podemos bloquear todas as tentativas de desvio de uma conta de serviço fora das funções para aqueles que foram criados. Se um administrador tentar autenticar por meio de uma postagem não autorizada ou de contornar o bastião, ou um atacante deseja realizar movimentos posteriores por seu intermediário, sua tentativa será automaticamente bloqueada.
Esta função é realizada na integração das contas de serviço operadas nos anuários compatíveis, notando-se oActive Directory, mesmo que suas senhas sejam codificadas durante ou sejam usadas em ambientes fora do Windows.
Por esses meios, Silverfort pode ajudar todas as entidades afetadas pelo NIS2 em seus projetos de mise em conformidade com o relatório de medidas aplicadas ao “processo automático”.