Shadow Admins são usuários não administrativos que possuem privilégios confidenciais que efetivamente lhes concedem direitos de nível de administrador. Esses privilégios podem incluir acesso direto a recursos ou a capacidade de modificar as configurações de outros usuários (por exemplo, redefinir senhas, obter permissões de “Gravar todas as propriedades”, etc.). Nesta postagem do blog, vamos nos concentrar no segundo tipo.
Existem vários motivos pelos quais as contas de administrador shadow são criadas: erro humano, má gestão, uma necessidade temporária ou por um invasor que conseguiu obter acesso e deseja ocultar sua presença.
Os administradores sombra são um risco conhecido para quase todos os provedores de identidade (IdP), incluindo a Microsoft Active Directory (AD), Microsoft Entra ID (anteriormente Azure AD) e Okta, entre outros. Aqui, discutiremos administradores sombra no AD.
As equipes de identidade procuram continuamente contas de administrador paralelo para revogar seus privilégios de administrador. Mas esse processo costuma ser demorado e tedioso, especialmente se uma organização tiver um grande número de administradores paralelos. Minha equipe e eu estávamos curiosos sobre as configurações de permissão comuns que poderiam fazer com que um usuário se tornasse um administrador sombra, bem como as melhores maneiras de identificá-las e mitigá-las.
Nesta postagem do blog, usaremos ferramentas algorítmicas e teoria dos grafos para apresentar um novo método para revelar administradores sombra dentro de uma organização, analisá-los e resolvê-los.
Compreendendo a ameaça dos administradores sombra
A conta de usuário torna-se um administrador sombra se tiver privilégios fortes sobre uma conta de administrador existente. Da mesma forma, qualquer outra conta com fortes privilégios sobre o administrador sombra também se torna um administrador sombra.
Por exemplo, se Alice tivesse uma conta normal com permissões de administrador, ela seria uma administradora sombra. Se Bob obtivesse permissões fortes sobre as de Alice, ele também se tornaria um administrador sombra.
Essa cadeia de permissões causa muitas complicações, e a realidade mostra que muitos administradores shadow, na verdade, têm mais de uma maneira de se tornarem administradores. O que torna as contas de administrador shadow desafiadoras e arriscadas é que elas não são monitoradas ou supervisionadas e sua atividade pode potencialmente passar despercebida.
Interessado em aprender mais sobre administradores sombra e como eles ameaçam sua organização? Leia esta postagem do blog: https://www.silverfort.com/blog/the-hidden-dangers-of-shadow-admins/
Portanto, para resolver o risco dos administradores sombra, precisamos revogar algumas de suas permissões excessivas, o que exige tempo e esforço. Portanto, faz sentido que qualquer organização com muitos administradores sombra procure resolver o número máximo de administradores sombra com o mínimo de esforço (ou seja, alterações nas permissões organizacionais).
Para fazer isso de forma eficiente, podemos recuperar informações sobre as permissões de usuários e grupos em um conjunto selecionado de permissões de modificação e monitorá-las. Usando logs, podemos construir cadeias de permissões e obter detalhes sobre os administradores sombra da organização.
Em qualquer organização com administradores sombra, existem diversas cadeias de permissões que criam um caminho de conexão entre os usuários e as contas administrativas que eles poderiam assumir.
O objetivo que definimos para a organização é fazer o mínimo possível de alterações nas permissões, ao mesmo tempo que resolve uma grande parte de seus administradores sombra. A questão, portanto, é: que permissões são essas?
Então, vamos reformular o problema: identifique o conjunto ideal de permissões K que, se revogadas, atenuariam o número máximo de administradores sombra.
Agora que temos essa definição, podemos converter o problema em um problema visual usando a teoria dos grafos. Fazemos isso representando cada conta ou grupo como um nó em um gráfico e cada permissão como uma aresta direcionada entre esses nós. Isso permite que todas as nossas cadeias de permissão sejam exibidas e conectadas em um único gráfico junto com seus respectivos privilégios e atributos.
Usando as informações contidas nas cadeias de permissão, podemos identificar quem são os administradores e grupos administrativos das organizações e marcá-los em nosso gráfico, pois são o objetivo final de um administrador sombra.
Nesta fase, tal gráfico ficaria assim:
A seguir, reescreveremos a declaração do problema mais uma vez: Encontre o conjunto de K arestas que, após a remoção, desconectariam o maior número possível de administradores de sombra do restante do grafo (ou seja, os atenuariam).
Quebrando a abordagem
À primeira vista, vemos um Gráfico Acíclico Direcionado (DAG) que representa uma rede conectando nossas diversas cadeias de permissão. Mas vamos pensar na representação do grafo e das conexões, bem como em como cada entidade pode ter permissão sobre outra. De certa forma, podemos imaginar um shadow admin “se movendo” em nosso gráfico de um nó para outro em suas bordas. Talvez até mais de um único administrador sombra possa ser capaz de tal movimento.
Agora vamos imaginar que todos os shadow admins da organização começam a se mover em direção aos nossos nós vermelhos (os administradores), então em cada caminho um certo número de shadow admins está “fluindo” em direção ao seu objetivo final.
Observemos também que não importa se vários administradores de sombra estão fluindo em direção a um único nó em seu caminho ou se o nó é uma conta única. Isso ocorre porque, quando todos os administradores sombra chegarem a esse ponto, apenas uma única conta poderá continuar o caminho.
A propósito, isso lembra o famoso “Problema de Fluxo”, um cenário em dinâmica de fluidos onde temos um sistema no qual o líquido corre através de tubos de alguns nós de origem até alguns nós de destino.
Então, vamos agora voltar nossos olhos para um teorema chamado “Corte Mínimo – Fluxo Máximo”. Isto afirma que a quantidade máxima de fluxo em um sistema que passa dos nós de origem para os nós de destino é igual ao peso total das arestas em um corte mínimo.
Definiremos o seguinte:
- Capacidade de fluxo de uma aresta — para cada aresta existe um limite superior para o fluxo que passa por ela.
- Conservação do fluxo – o fluxo de entrada para um nó deve ser igual ao fluxo de saída.
- Cut - a partição de nós de forma que divide a rede em duas partes:
- um corte não pode conter os nós de origem e de destino.
- o peso de um corte é igual à soma da capacidade das arestas de saída.
O objetivo do algoritmo é encontrar o fluxo máximo em uma rede de um nó fonte para um nó coletor, minimizando ao mesmo tempo a capacidade do corte que os separa. O algoritmo aumenta iterativamente o fluxo ao longo dos caminhos da origem até o destino até que nenhum outro caminho de aumento possa ser encontrado.
Resolver o problema do fluxo usando este teorema nos dá uma solução de corte mínimo que equivale a identificar o conjunto de K arestas a serem removidas - uma vez que o problema da dualidade é o fluxo máximo possível através do sistema, o que significa que estamos encontrando um corte que minimiza o peso do corte enquanto maximiza a partição. O gráfico resultante onde o algoritmo será aplicado ficará mais ou menos assim:
Resultados e Conclusões
Aplicando nosso método a um grupo de mais de 30 organizações, descobrimos que a mediana era de cerca de 30 contas ativas por organização identificadas como administradores sombra, com algumas organizações tendo até 1,000 dessas contas.
A aplicação do algoritmo resultou em um corte mínimo de um conjunto de arestas que, se removidas, atenuariam a maioria dos administradores sombra com alterações mínimas nas permissões da organização.
Os resultados são assim:
Em média, conseguimos resolver cerca de 70% dos administradores sombra de uma organização com uma única iteração do algoritmo. Além disso, para isso bastava a revogação de três permissões em média!
Isso significa que podemos fornecer o conjunto exato de vantagens (ou seja, permissões) que a organização deve considerar revogar, o que proporcionaria a melhor mitigação de administradores sombra com o mínimo de esforço.
Pensamentos de Encerramento
Os administradores sombra são uma ameaça séria que muitas vezes é ignorada e não é facilmente mitigada pelos métodos tradicionais. Ter uma cadeia de privilégios que leva a um administrador de domínio nem sempre está bem documentado.
Um dos padrões comuns que observamos foi que, na realidade, existem várias maneiras de um usuário se tornar um administrador sombra. Uma abordagem diferente era muito mais simples de implementar, mas não conseguia resolver esses padrões e produzia resultados abaixo do ideal.
Nossa solução monitora as permissões concedidas em um ambiente IdP e pode criar dinamicamente o melhor conjunto de privilégios a serem resolvidos, a fim de reduzir o número de administradores sombra com ação mínima.
Um método como esse pode ajudar a identificar o conjunto de permissões ideais a serem resolvidas com o mínimo esforço, pegando um problema real do domínio da segurança cibernética e visualizando-o utilizando um algoritmo conhecido para chegar a uma solução.