Você já pensou em quantas contas em seu ambiente operam fora de sua visibilidade e controle? Uma das maiores segurança de identidade pontos cegos, muitas vezes ignorados pelas organizações, mas frequentemente usados pelos atacantes – é Contas locais.
Ao contrário das contas baseadas em domínio que as equipes de segurança podem detectar e monitorar facilmente, as contas locais são deixadas no escuro com visibilidade limitada ou nenhuma sobre suas atividades e privilégios. Essa lacuna se tornou um problema tão crítico que o O FBI emitiu recentemente um aviso, pedindo às organizações que desabilitem contas de administradores locais para reduzir o risco de ataques cibernéticos.
Neste blog, exploraremos os diferentes riscos de segurança representados por contas locais e como SilverfortO novo recurso de visibilidade de autenticação local da ajuda as organizações a fechar o ponto cego.
Compreendendo as contas locais: o que são e como funcionam
As contas locais existem em 2 tipos principais: local contas de usuário e contas de administrador local. Vamos descrever cada tipo em mais detalhes:
- Contas de usuários locais
Estas são contas padrão com permissões de acesso limitadas, normalmente usado para acesso básico a um ponto de extremidade. Usuários locais podem efetuar login e operar um sistema, mas falta privilégios administrativos para fazer quaisquer alterações em todo o sistema.
- Contas de administrador local
Essas contas têm controle total sobre um ponto de extremidade, permitindo que os usuários instalem software, modifiquem as configurações do sistema e criem novas contas. As contas de administrador local integradas (por exemplo, a conta padrão do Microsoft Windows “Administrador”) geralmente estão sob alto risco, pois podem ser exploradas por invasores para comprometimento e escalação de privilégios.
Embora as contas de domínio sejam gerenciadas centralmente por meio de Active Directory (AD) ou um Provedor de Identidade (IdP), contas locais existe apenas em endpoints individuais. De um gerenciamento de identidade perspectiva, a principal diferença entre contas locais e de domínio é quem as gerencia:
- Contas locais existem e são controlados no ponto final individual. O usuário tem controle total sobre o sistema, incluindo acesso privilegiado a configurações críticas, sem visibilidade das equipes de segurança.
- Contas de domínio, por outro lado, são gerenciados centralmente por administradores de domínio dentro Active Directory (AD) ou um Identity Provider (IdP). As equipes de segurança têm mais visibilidade nas contas de domínio e a capacidade de impor controles de segurança em cada usuário, com políticas específicas e configuração de restrições.
Contas locais são frequentemente usadas para tarefas administrativas ou sistemas legados para fornecer acesso a um computador ou dispositivo específico, mas falta monitoramento e controles de segurança avançados oferecidos por contas baseadas em domínio.
Os riscos ocultos das contas locais
De uma perspectiva de segurança, contas locais por si só não causarão grandes riscos de segurança. Mas não gerenciá-las adequadamente pode ter um impacto sério na organização. O principal desses riscos é falta de visibilidade, gestão centralizada limitada e controles de segurança mais fracos. Esses desafios tornam as contas locais um alvo principal para invasores que buscam mover lateralmente e aumentar privilégios sem ser detectado.
Vamos nos concentrar nos riscos de segurança de identidade de contas locais com mais detalhes:
- Falta de visibilidade: um ponto cego em autenticação monitoração
Um dos maiores riscos das contas locais é que as equipes de segurança não conseguem ver o que não conseguem rastrear. Ao contrário das autenticações baseadas em domínio, que são registradas e armazenadas centralmente, as atividades das contas locais são isoladas em endpoints individuais e não têm nenhum registro nos logs do AD ou IdP. Isso significa que qualquer atividade maliciosa, incluindo logins com falha, padrões de acesso incomuns ou credenciais comprometidas, torna quase impossível detectá-lo antes que seja tarde demais.
- Gestão centralizada limitada: um pesadelo operacional e de segurança
Contas locais são armazenadas fora do escopo de gerenciamento de identidade baseado em diretório. E as equipes de segurança lutam não apenas para impor políticas, mas até mesmo para rastrear quem tem acesso a quê. Muitas organizações dependem de senhas padrão ou credenciais estáticas para contas locais sem a rotação adequada de credenciais, o que aumenta o risco de acesso não autorizado. Sem qualquer gerenciamento de autenticação central, as organizações têm controles de segurança fragmentados que os invasores podem facilmente explorar para comprometimento.
- Controles de segurança mais fracos: uma porta aberta para invasores
Contas locais raramente são protegidas com controles de segurança fortes, como autenticação multifator (MFA) ou outros controles de segurança, resultando em um alvo fácil para invasores. Uma vez que uma conta local é comprometida, ela pode ser usada para escalar privilégios ou mover-se lateralmente pelo ambiente sem disparar nenhum alerta de segurança. Isso torna as contas locais um ponto cego crítico na postura de segurança de identidade da organização.
Como funciona o dobrador de carta de canal Silverfort permite visibilidade de contas locais
Com Silverfort agora você pode aumentar sua visibilidade nas autenticações de contas locais, começando por Silverfort for Versão 2.1.3 do Windows Logon.
Quando um usuário local acessa uma máquina Windows com Silverfort para o logon do Windows instalado, a autenticação será registrada com o tipo de autenticação “Local”, e você obterá visibilidade completa dessas tentativas de acesso da Silverfort Tela de logs filtrando por tipo de autenticação = “Local”.
Esta nova capacidade do produto permite que você rastrear logons locais para Windows. Ao filtrar tentativas de acesso de conta local, você pode identificar rapidamente quaisquer atividades maliciosas, incluindo possível uso indevido de credenciais.
Destacar as contas locais: o primeiro passo para a proteção
Contas locais sempre foram vistas como um ponto cego de segurança que os invasores podem utilizar para criar uma entrada fácil para comprometer um ambiente e permanecer despercebidos. Sem visibilidade das atividades de autenticação das contas, você não poderia detectar ou responder a nenhuma dessas atividades maliciosas antes que elas aumentassem.
Com Silverfortvisibilidade em tempo real das autenticações de contas locais, você pode finalmente desbloquear uma nova camada oculta de segurança de identidade de ser completamente invisível para monitorar, rastrear e investigar essas identidades. Esta é uma base sólida para começar em direção à segurança e proteção completas de contas locais.
Pronto para explorar contas locais ocultas em seu ambiente? Se você já é um cliente, entre em contato com seu gerente de sucesso do cliente ou agendar uma chamada com um de nossos especialistas