Proteção contra o risco de administradores sombra

Os administradores de sombra são uma das principais superfícies de ataque das quais os adversários se aproveitam regularmente. O padrão de descobrir um usuário que recebeu inadvertidamente altos privilégios de acesso é muito comum nas operações cibernéticas atuais. Isso torna a capacidade de detectar e prevenir o abuso dessas contas uma prioridade máxima para as equipes de identidade e de SecOps. Neste artigo explicaremos detalhadamente como SilverfortOs recursos de detecção e ameaça de identidade (ITDR) permitem a descoberta rápida de contas de administrador shadow existentes, a capacidade de monitorar novas à medida que aparecem e a proteção de seu acesso com MFA e envios.

Recapitulação dos administradores de sombra: o que são e quais riscos apresentam

Administradores de sombra são contas de usuário que tenham acesso de administrador ou tenham uma maneira de obtê-lo sem realmente fazer parte de um grupo de administradores documentado. Como tal, nem as equipas de Identidade nem de Segurança têm conhecimento da sua existência e, portanto, não lhes aplicam a monitorização e a proteção padrão que todas as contas de administrador exigem.

O exemplo mais comum disso são contas de usuário que têm o privilégio de redefinir a senha de usuários administradores. Se o adversário obtiver o controle desse tipo de conta, ele poderá usá-lo para redefinir as senhas dos administradores e abusar do alto nível de privilégio que o acompanha para acessar recursos à vontade.

Para uma explicação detalhada sobre administradores shadow, leia Este artigo.

Silverfort visão geral da proteção do administrador shadow

Silverfort permite que as equipes de identidade e SecOps descubram facilmente administradores sombra em seus ambientes e os excluam ou removam suas permissões redundantes. Além disso, as equipes têm a capacidade de monitorar continuamente o surgimento de novas contas de administrador paralelo, bem como tomar medidas de proteção proativas contra a tentativa de qualquer conta de administrador paralelo de obter acesso a um recurso específico, inclusive indo tão granular quanto a aplicação de políticas de MFA em tentativas de redefinição de senha para administradores shadow.   

Essas proteções são igualmente eficazes tanto para contas às quais foi atribuído inadvertidamente acesso com privilégios mais altos, quanto contra qualquer manipulação de conta que invasores possam realizar, incluindo modificação das permissões e privilégios originais da conta.

Vamos ver exatamente como isso é feito em Silverfortconsole:

Descoberta e remoção de administradores sombra

Propósito: elimine todos os administradores shadow presentes

In Silverfort'S Detecção de ameaças tela, sob o Superfície de Ataque Assistência Domiciliária seção, procure por Administradores de sombra. Neste exemplo, existem dois deles.

Clicando sobre o Administradores de sombra space abre uma janela que mostra todos os detalhes dessas contas.

Agora que temos os nomes desses administradores sombra, podemos localizá-los em Active Directory e remova suas permissões extras ou exclua-as completamente.

Monitoramento contínuo de administradores sombra

Propósito: detecte novos administradores shadow assim que eles aparecerem

On Silverfort'S Registros de autenticação tela, adicione um Indicador de risco filtrar e verificar Administradores de sombra.

Clique Aplicar e ajuste o intervalo de tempo para se adequar à sua cadência de monitoramento. Isso mostrará todos os administradores shadow que foram adicionados ao ambiente dentro desse período.

Após a descoberta, você pode clicar no ícone de investigação de cada conta para ver exatamente quais recursos ela tentou acessar desde a sua criação.

Em seguida, você pode excluir a conta ou fazer downgrade de suas permissões, semelhante ao que foi descrito na seção sobre descoberta e remoção de administradores sombra. 

Prevenção de riscos nº 1: MFA em todos os acessos de administrador paralelo

Propósito: evita que administradores shadow se conectem a recursos sem verificação explícita do usuário

On Silverfort'S Políticas internas tela, crie uma nova política. Verificar Active Directory como o Tipo de Autorização

e então verifique Kerberos/NTLM or LDAP, dependendo de suas necessidades (ou se ambas forem necessárias, crie duas políticas). Escolher Baseado em Risco para o tipo de política e acioná-la por Indicador de risco. No Indicadores de risco verificação de caixa Administrador de sombra.

Uma vez ativada, esta política imporá a verificação de MFA de qualquer conta que SilverfortO mecanismo de risco do identifica-se como um administrador sombra. Se esta conta for comprometida, esta política privará um adversário da capacidade de usar esta conta para acesso malicioso.

Silverfort é a única solução que pode estender a proteção MFA a esse tipo de autenticação.

Prevenção de riscos nº 2: MFA na tentativa de redefinição de senha do administrador shadow

Propósito: evita que adversários usem administradores sombra para redefinir a senha de outras contas.

Conforme mencionado anteriormente, o uso de um administrador sombra para redefinir a senha de contas de administrador adicionais com privilégios de acesso mais elevados é uma tática comum dos agentes de ameaças. 

Silverfort permite que os usuários mitiguem esse risco da seguinte maneira:

In Silverfort'S Políticas internas tela, crie uma nova política. Verificar Active Directory como o Tipo de Autorização,

então verifique Kerberos/NTLM,escolher Baseado em Risco como o tipo de política e, em seguida, verifique o Administrador sombra indicador de risco.

No Destino campo, em vez de colocar nomes ou grupos de máquinas como na política anterior, escolha krbtgt. Isso aplicará a política a qualquer tentativa de acesso à conta krbtgt nos controladores de domínio do ambiente.

Depois de escolher krbtgt como destino, clique nele para exibir a lista de serviços. Verifica a kadmin/changepw e deixe os outros em branco. (Este é o serviço que realiza a redefinição de senha.)

A ativação da política agora acionará uma MFA sempre que qualquer conta Silverfort marcou como um administrador sombra tenta redefinir a senha de outra conta – mitigando totalmente esse risco.

Silverfort é a única solução que pode estender a proteção MFA a esse tipo de autenticação.

A descoberta automatizada e a proteção em tempo real são as chaves para mitigar o risco de administradores sombra

SilverfortA proteção da empresa contra o uso malicioso de administradores sombra faz parte de sua visão de como  Proteção de identidade devem ser projetados e praticados. Silverfort é a primeira solução que fornece end-to-end ITDR capacidades em Active Directory ambientes. Ao aplicar monitoramento contínuo, análise de risco e aplicação ativa de políticas em cada tentativa de autenticação e acesso, Silverfort pode automatizar a descoberta de administradores ocultos e fornecer proteção em tempo real contra abusos.

Procurando resolver desafios de administração sombra em seu ambiente? Fale com um de nossos especialistas SUA PARTICIPAÇÃO FAZ A DIFERENÇA.