Conhecimento é Poder: A Importância da Avaliação de Risco de Identidade

Início » Blog » Conhecimento é Poder: A Importância da Avaliação de Risco de Identidade

Mais de 80% das organizações sofreram uma violação relacionada à identidade que envolveu credenciais comprometidas. Credenciais comprometidas são um dos pontos fracos mais procurados pelos invasores para facilitar violações de identidade, como movimentação lateral e disseminação de ransomware.

Para determinar e resolver as suas vulnerabilidades e exposições de identidade, as organizações precisam de realizar uma avaliação de risco de identidade.

Neste artigo, examinaremos os principais componentes de uma avaliação de risco de identidade eficaz e discutiremos como obter total visibilidade e insights sobre seu segurança de identidade postura com Silverfort.

Os riscos de identidade começam com fraquezas de identidade

As organizações estão enfrentando ameaças de identidade, como invasões de contas, movimento lateral e ransomware. De acordo com um relatório recente da Silverfort e Pesquisa Osterman, mais de 80% das organizações sofreram uma violação relacionada à identidade que envolveram credenciais comprometidas, com mais da metade dessas violações somente no ano passado.

O sucesso contínuo destes ataques implica que existem elos fracos ou lacunas de segurança que os atacantes visam comprometer credenciais, aumentar privilégios e mover-se lateralmente. O objetivo de uma avaliação de risco de identidade é descobrir essas lacunas. Por exemplo, um relatório recente intitulado “The Identity Underground” revelou os mais críticos e predominantes desses elos fracos e revelou algumas descobertas alarmantes, incluindo:

  • A sincronização insegura de senhas locais é um fator que contribui para o comprometimento de aplicativos SaaS em 67% das organizações.
  • 37% dos administradores usam NTLM para autenticação e outros 7% usam NTLMv1.
  • 31% de todos os usuários de uma organização são contas de serviço.
  • 7% dos usuários regulares têm privilégios de acesso de administrador sem pertencer a nenhum grupo de administrador.

Os dados acima são apenas uma pequena amostra que ilustra a magnitude da exposição a ameaças de identidade desafios.

Elementos-chave da avaliação de risco de identidade

As organizações realizam avaliações de riscos de segurança para obter insights sobre seus pontos fracos e exposições. O processo de realização de uma avaliação de risco envolve a coleta e análise de dados. Especificamente, este artigo concentra-se em dados relacionados à identidade, como contas, autenticações e privilégios de acesso. Uma avaliação de risco de identidade normalmente inclui os seguintes componentes:

Inventário de conta de usuário

Visibilidade total de todos contas de usuário, contas de serviço e contas de administrador. Um inventário detalhado normalmente incluirá informações como nomes, descrições, associações de grupos e aplicações associadas a cada item.

configurações

Uma visão geral abrangente das configurações de usuários e diretórios locais e baseadas na nuvem.

Padrões de acesso

Visibilidade total de todas as autenticações e padrões de acesso de usuários e recursos ativos, tanto no local quanto na nuvem, incluindo contas de serviço e autenticação Histórico.

Análise de risco

Acesso de credencial

A estrutura MITRE ATT&CK define acesso credencial como as técnicas que os invasores usam para roubar credenciais, como nomes de contas e senhas. As técnicas de acesso a credenciais incluem keylogging, dumping de credenciais e força bruta, entre outras.

Os protocolos de autenticação mais recentes são projetados para evitar tais ataques, mas os protocolos mais antigos, como o NTLMv1, têm criptografia fraca, que pode ser facilmente forçada de forma bruta. A avaliação de risco de identidade visa descobrir essas fraquezas que permitem aos invasores usar técnicas de acesso a credenciais.

Escalonamento de Privilégios

Conforme descrito em MITRE ATT&CK, escalação de privilégios consiste em técnicas que os invasores usam para obter permissões de nível superior em um sistema ou rede. Mesmo depois de obterem acesso inicial ao ambiente da organização, os invasores ainda podem precisar de privilégios mais elevados para realizar o ataque. Por esta razão, contas privilegiadas são frequentemente visados.

Os invasores geralmente tentarão tirar vantagem das fraquezas e configurações incorretas do sistema; por exemplo, administradores sombra, que são usuários regulares que receberam, sem saber, privilégios de administrador ou privilégios de configuração/redefinição em contas de administrador. Os administradores shadow podem redefinir as senhas dos administradores reais, mas são usuários regulares em todos os outros aspectos. O seu anonimato também significa que não estão sujeitos aos mesmos controlos de segurança.

Movimento lateral

O movimento lateral, conforme definido na estrutura MITRE, são as técnicas utilizadas pelos invasores para entrar e controlar sistemas remotos. Dessa forma, os invasores podem entrar no ambiente e se mover sem serem detectados de um ponto a outro até atingirem seu alvo. Por esse motivo, os invasores estão muito interessados ​​em contas que carecem de visibilidade e proteção das soluções de segurança existentes.

As contas de serviço, por exemplo, são difíceis de controlar, muitas vezes são altamente privilegiadas e não podem ser protegidas por rotação de senha, o que significa que podem ser exploradas para movimentação lateral.

Lacunas na cobertura de segurança

Existem contas e recursos que os controlos de segurança não conseguem cobrir e certas fraquezas que não podem ser eliminadas.

Por exemplo, muitas organizações ainda usam sistemas legados que não suportam nativamente MFA. Mesmo a tentativa de implementar manualmente soluções de segurança de identidade em cada aplicativo ou servidor legado é difícil, pois adulterá-las pode resultar em mau funcionamento ou até mesmo no encerramento de processos.

Próximas etapas: acompanhamento de uma avaliação de risco

Priorização

Riscos diferentes representam ameaças diferentes. Para resolver eficazmente os riscos identificados, as organizações devem priorizá-los com base no seu potencial impacto e probabilidade, a fim de alocar os recursos de forma mais eficiente. Por exemplo, uma organização pode começar com contas altamente privilegiadas, aplicações críticas e quaisquer outros fatores que considere necessários.

Mitigação

Os riscos podem ser abordados com base na sua causa raiz: configurações incorretas, práticas ilícitas e lacunas na cobertura de segurança. Podem ser tomadas medidas de mitigação em conformidade, a fim de reduzir estes riscos e melhorar a postura de segurança da identidade da organização; por exemplo:

  • Configurações erradas: configurações incorretas ocorrem quando configurações incorretas ou inadequadas são aplicadas durante a criação do usuário, o que pode resultar em falhas de segurança. As configurações incorretas são inevitáveis, ainda mais em ambientes maiores. Administradores shadow, por exemplo, são uma configuração incorreta comum. As configurações incorretas podem ser resolvidas restaurando as configurações adequadas, por exemplo, removendo os privilégios excessivos concedidos a um administrador sombra.
  • Práticas ilícitas: O termo negligência médica refere-se a ações tomadas de forma não intencional ou inadequada que podem resultar em deficiências substanciais, como contas de serviços híbridos ou excesso de NTLM autenticações. As contas de serviço híbridas acontecem quando um administrador usa um conta de serviço para login interativo ou uma conta pessoal para automatizar tarefas. Para resolver tais práticas ilícitas, é necessário garantir que a TI e os administradores sigam as melhores práticas de segurança.
  • Lacunas na cobertura de segurança: Contas e recursos não cobertos por controles de segurança criam enormes lacunas de segurança. Estas lacunas conduzem a riscos de identidade que são muito difíceis de resolver. Por exemplo, MFA para aplicativos legados e rotação de senha para contas de serviço. As organizações devem procurar uma solução para superar estes riscos ou, alternativamente, garantir que a equipa de segurança monitoriza de perto esses utilizadores e recursos.

Avaliação de risco de identidade com Silverfort

Silverfort fornece uma plataforma unificada de segurança de identidade que evita ameaças de identidade em tempo real. Isso permite que as organizações tenham visibilidade total de todas as tentativas de acesso e neguem acesso a recursos, independentemente do protocolo de autenticação, para todos os ambientes de identidade locais, em nuvem e híbridos.

Através da SilverfortCom a plataforma unificada de segurança de identidade, as organizações podem realizar uma avaliação abrangente de risco de identidade para revelar e mitigar todas as lacunas de segurança, configurações incorretas e práticas ilícitas que os invasores podem explorar para acesso a credenciais, escalonamento de privilégios e movimentação lateral.

Gerenciamento de postura de segurança de identidade (ISPM)

Visibilidade abrangente sobre exposições a ameaças de identidade, como contas de serviço, administradores sombra e protocolos legados como NTLMv1, entre outros. Isto inclui monitorar e analisar autenticações, padrões de acesso e comportamentos para coletar insights sobre a postura de segurança de identidade da organização e fornecer recomendações sobre como remover os riscos, como implementar soluções de monitoramento e remover permissões excessivas de contas privilegiadas.

Firewall de autenticação

O firewall de autenticação é um método de controlar o acesso do usuário aos recursos, impondo controles rígidos de acesso e autenticação. SilverfortO firewall de autenticação do permite que as organizações apliquem políticas baseadas em risco e segmentação de identidade para bloquear tentativas de acesso não autorizado e garantir que os usuários acessem apenas os recursos de que precisam. Não são necessárias alterações na infraestrutura subjacente e as políticas do firewall de autenticação podem ser implementadas de forma rápida e contínua.

AMF para todos

Silverfort integra-se com Active Directory encaminhar todas as solicitações de acesso para Silverfort, permitindo impor a verificação de MFA em todos os sistemas na infraestrutura de identidade da organização, incluindo sistemas legados.

Proteção de Contas de Serviço (Service Accounts)

Descoberta e gerenciamento automáticos de contas de serviço. Silverfort pode detectar contas de serviço analisando seus padrões de comportamento e configurar automaticamente políticas de acesso caso uma conta de serviço comprometida seja detectada.

Para discutir como Silverfort pode ajudar sua organização a avaliar seu risco de identidade, preencha esta forma e agende uma reunião com um Silverfort especialista em segurança de identidade.

Pare as ameaças à identidade agora