A segurança cibernética começa com um princípio importante: "Você não pode proteger o que não conhece". Isso é verdade para ativos como endpoints, servidores, etc., mas também se aplica a contas. Pergunte a si mesmo estas perguntas agora mesmo: você sabe quais contas existem em seu ambiente e o que elas fazem em sua rede? Além disso, você controla o que essas contas fazem e como gerencia a aplicação da segurança nelas?
Em postagens recentes, discutimos os diferentes riscos que identidades humanas e não humanas (NHIs) trazem para uma organização. Neste blog, focaremos no desafio de dimensionar o gerenciamento e a proteção de uma grande quantidade de NHIs em um ambiente, alavancando políticas de automação e segurança. Descobriremos por que automatizar conta de serviço a segurança é essencial para que as empresas melhorem a proteção, simplifiquem o gerenciamento e reduzam os riscos.
Protegendo identidades não humanas
Ao discutir contas, não se trata apenas de contas de usuários que representam pessoas usuários, mas também não-humano identidades.
Contas de usuário são, à primeira vista, fáceis de gerenciar, pois pertencem a uma pessoa real que usa a conta para autenticar serviços e recursos. Camadas de segurança adicionais podem ser adicionadas à conta, como políticas de rotação de senhas, limites de bloqueio de conta, MFA validação, etc.
Uma Identidade Não Humana (NHI) é um termo geral para descrever uma conta usada por uma máquina (ou aplicativo, serviço, automação, etc.) para executar atividades não interativas. autenticação em que nenhum usuário humano está envolvido. Nós nos referimos a elas como contas de serviço (Active Directory) ou princípio de serviço (Entra ID).
Embora as contas de serviço tendam a ter um padrão de uso distinto, limitar sua postura de segurança traz seus próprios desafios. Cada serviço em execução na organização pode precisar de uma ou mais contas de serviço, então a proteção precisa ser em escala.
Protegendo contas de serviço resume-se a alguns aspectos principais:
- Visibilidade: você tem uma visão geral clara de todas as contas?
- Propósito: você sabe por que eles existem no meio ambiente?
- Comportamento: você pode verificar e validar o uso?
- Privilégios: você pode validar e proteger as permissões de uma conta?
- Ataque Detecção: você pode se proteger contra ataques específicos baseados em contas de serviço?
- Segurança de grupos: você tem recursos de proteção claros para todas as suas contas?
Um passo atrás no tempo: Contas de serviço gerenciadas
Contas de serviço gerenciadas (MSAs) são contas de domínio gerenciadas especializadas em Active Directory projetado para fornecer um nível mais alto de segurança, como gerenciamento automatizado de senhas e gerenciamento simplificado de contas de serviço. Contas de Serviço Gerenciadas Autônomas (sMSAs) são usadas para serviços individuais em um único servidor e não podem ser compartilhadas entre vários servidores. Contas de serviço gerenciadas em grupo (gMSAs), por outro lado, são projetados para uso por vários servidores em um ambiente, como quando um serviço é fornecido por meio de um balanceador de carga.
No geral, os gMSAs aumentam a segurança, simplificam o gerenciamento de contas e reduzem a complexidade operacional associada a contas de serviço em ambientes corporativos. No entanto, nem todas as contas de serviço são adequadas para serem MSAs, e o gerenciamento de MSAs pode representar desafios, como garantir configurações corretas de aplicativos e entender os pré-requisitos de domínio. Muitos dos desafios de gerenciar contas de serviço regulares também se aplicam a MSAs, incluindo várias técnicas de ataque. Portanto, há espaço para mais aprimoramentos dos quais as equipes de identidade e de segurança podem se beneficiar.
Desafio de automatizar e dimensionar a proteção de contas de serviço
Ao embarcar na busca por controle total sobre as atividades e a proteção de suas contas de serviço, muitas vezes surge rapidamente um novo desafio: como gerenciar adequadamente essas contas?
Aqui estão os principais desafios que continuamos enfrentando com o gerenciamento de contas de serviço:
- Número de contas de serviço: o número de contas em uma organização pode aumentar rapidamente, especialmente quando se trata de contas de serviço. Um motivo para isso é que cada serviço ou aplicativo em execução em uma organização precisa de acesso específico a outros recursos e usará várias contas de serviço para atingir isso, conforme as melhores práticas definem. Um bom exemplo disso é o número de principais de serviço em um Microsoft Entra ID ambiente.
- Múltiplas responsabilidades da equipe: na maioria das vezes, a equipe que gerencia e configura os aplicativos não é a equipe responsável pelo provedor de identidade nem a equipe de segurança. Como resultado, várias equipes, como equipes de aplicativos, equipes de segurança, equipes de identidade, etc., precisam trabalhar juntas para proteger adequadamente as contas de serviço.
- Ciclo de vida da conta: contas de serviço crescem com o número de serviços e, como mencionamos acima, elas podem ser geradas automaticamente. Isso dificulta que um administrador de identidade acompanhe todas as contas e garanta que novas contas estejam corretamente protegidas. Aplicativos e serviços podem ser desativados e removidos do ambiente; no entanto, a limpeza de qualquer conta de serviço relacionada é frequentemente esquecida, resultando em contas órfãs que podem representar um risco de segurança.
- Visibilidade e documentação: contas de serviço são frequentemente mal documentadas, o que leva a um desafio ao aplicar políticas de segurança no topo. Proprietários de contas também são mal documentados e podem até levar a 'proprietários pendentes' quando as pessoas deixam a organização.
Para lidar com os desafios de dimensionar a proteção de contas de serviço, as organizações precisam de recursos de gerenciamento de contas de serviço mais claros e eficientes para fortalecer sua postura de segurança.
Dimensionamento de políticas de proteção de conta de serviço em Silverfort
Silverfort A Proteção de Conta de Serviço fornece uma visão geral de todas as suas contas de serviço em um único lugar, monitora suas atividades em seu ambiente e aplica políticas de proteção.
Para enfrentar o desafio de dimensionar suas políticas de conta de serviço, Silverfort fornece vários mecanismos para manter o controle sobre a camada de proteção de segurança da sua conta de serviço. Nesta seção, abordaremos brevemente essas capacidades.
Categorização de contas de serviço
SilverfortDetecção de conta de serviço O mecanismo detecta contas de serviço com base em padrões de comportamento de autenticação e as categoriza em categorias, incluindo contas M2M (máquina para máquina), contas híbridas, scanners e inativas. A classificação é o primeiro passo para identificar quais contas são baseadas em máquina e estão em uso.
O mecanismo de conta de serviço também detecta uso interativo, novas contas, contas amplamente utilizadas, etc. Todas essas informações ajudam na "triagem" inicial das contas, prontas para serem protegidas por uma política de segurança.
Silverfort aproveita as melhores práticas usadas em uma organização para gerenciar contas de serviço, ajudando o mecanismo não apenas na categorização, mas também na detecção. Implementar as melhores práticas no uso de contas de serviço dá a você uma vantagem inicial para colocar suas políticas de segurança em prática, então isso deve estar sempre em mente ao lidar com a proteção de contas de serviço.
Em quase todos os ambientes, inúmeras contas exibem padrões de comportamento mistos, funcionam de forma híbrida, sofrem de configurações incorretas ou permanecem como contas legadas. Essas contas exigem a atenção da equipe de identidade. A categorização é o primeiro passo para obter o foco certo.
Silverfort e contas de serviços gerenciadas
A Microsoft oferece MSAs para ajudar com o gerenciamento e a segurança de contas de serviço. Eles fornecem gerenciamento automático de senhas, gerenciamento simplificado de nome principal de serviço (SPN) e a capacidade de delegar o gerenciamento a outros administradores. Uma das principais medidas de segurança é que eles não têm permissão para login interativo, pois são destinados ao uso não interativo por serviços e aplicativos.
Combinado com SilverfortCom os recursos da política de proteção de contas de serviço, a postura de segurança dos gMSAs é ainda mais aprimorada, mantendo a simplicidade de gerenciá-los por meio de Active Directory.
Silverfort suporta recursos como gMSAs sob a política de proteção de conta de serviço. Essas contas são classificadas como máquina para máquina, e todos os recursos disponíveis na plataforma são aplicados a elas. Cada gMSA será detectado e tratado da mesma forma que qualquer conta de serviço. Isso significa que todos os recursos, incluindo políticas de conta de serviço, são aplicáveis sobre gMSAs no ambiente.
Políticas inteligentes: seu caminho para a proteção automatizada de contas de serviço
Para facilitar o gerenciamento de políticas de segurança, introduzimos recentemente nosso recurso Política Inteligente.
Uma Política Inteligente permite que você proteja automaticamente agrupamentos lógicos inteiros de contas de serviço com base em seu perfil de atividade. A Política Inteligente é executada em ciclos, verificando contas de serviço para alterações de linha de base e define a política de proteção de conta de serviço adequadamente. Essa alteração é automática e dinâmica, sem necessidade de intervenção manual.
Se o comportamento de uma conta permanecer consistente por um período definido, a política será
aplicar automaticamente uma camada de segurança sobre a conta. Silverfort protegerá qualquer autenticação que se desvie do comportamento de base conhecido.
Com uma Política Inteligente, Silverfort aumenta a resiliência de contas de serviço estáveis e consistentes, permitindo que você se concentre em contas de serviço mais complexas e dinâmicas. As políticas de conta de serviço são automaticamente aplicadas com base em suas definições de configuração, melhorando a postura de segurança de suas contas de serviço com esforço administrativo mínimo, mantendo ao mesmo tempo uma visão geral clara.
Integração com a API de política de conta de serviço
Uma abordagem diferente para um gerenciamento de política de conta de serviço mais automatizado e consistente é construir uma correlação automatizada entre SilverfortPolítica de Conta de Serviço e um serviço de terceiros. Isso pode ser estabelecido por meio de Silverfort integrações; por exemplo, usando SilverfortAplicativo de proteção de conta de serviço do ServiceNow no ServiceNow (veja abaixo).
As integrações da Service Account Protection Policy usam nossa Service Account Policy API, que permite controle total sobre as políticas de segurança da conta de serviço. Conforme discutido anteriormente, parte dessas políticas de segurança pode ser totalmente automatizada usando políticas inteligentes. Outras podem precisar de algumas informações ou instruções adicionais para serem eficazes. Da perspectiva da automação, tudo isso pode ser lido e controlado por meio da API.
Os recursos por meio de API são numerosos. Por exemplo, você pode aproveitar essa API dentro de um playbook ou executar suas próprias interações de API com base em eventos de terceiros.
Integração com CMDB (Configuration Management Database)
Um CMDB é frequentemente usado para mapear a infraestrutura completa de uma organização em um só lugar e fornecer um único sistema de registro sobre o ambiente. O CMDB consolida e mantém um conjunto combinado de dados complexos vindos de diferentes fontes. Um único local como um CMDB, onde esse tipo de informação é ativa e consultável, é um ativo muito valioso para cada departamento de uma empresa.
Um dos principais componentes de um CMDB é uma visão geral dos aplicativos e serviços em execução. Isso inclui as versões de software, mapeamento de hardware, fluxos de comunicação e propriedades. O CMDB contém uma vasta quantidade de dados sobre o que mantém um serviço ou aplicativo em execução.
No contexto da proteção de contas de serviço, Silverfort está interessado nas informações da conta de serviço relacionadas a um serviço ou aplicativo no CMDB. Aproveitar os dados da conta de serviço em relação aos dados do aplicativo em um CMDB permite Silverfort para melhorar a postura de segurança do NHI.
O CDMB não só pode atuar como o único ponto de verdade, mas também, ao alavancar SilverfortRecursos de detecção de contas de serviço, Silverfort também é capaz de fornecer um mecanismo de validação e se tornar uma das fontes de dados para a integridade e consistência dos dados do CMDB. Por exemplo, isso pode ajudar uma organização a detectar contas ativas que não estão documentadas em nenhum lugar do CMDB.
Exemplo: ServiceNow CMDB
Percebendo a necessidade de recursos de proteção de contas de serviço automatizados e escaláveis, Silverfort desenvolveu um aplicativo ServiceNow que se concentra especificamente em alavancar os dados do ServiceNow CMDB com o Silverfort Política de conta de serviço.
A integração entrega uma aplicação automatizada de nossos recursos de Service Account Policy sem nenhuma interação de administradores de segurança. Isso acontece em tempo real com base em dados de serviços e aplicativos do CMDB.
Ao utilizar a blockchain da Silverfort aplicativo de proteção de conta de serviço na sua instância do ServiceNow CMDB, você habilita:
Global: Amplie a proteção da conta de serviço aproveitando o CMDB como uma única fonte de verdade e imponha políticas de proteção da conta de serviço em tempo real.
Colaboração em equipe: aproveite a integração para fácil colaboração entre equipes na aplicação de segurança. As equipes de aplicativos que atualizam as informações do aplicativo CMDB podem ajustar as políticas de segurança para esses aplicativos sem nenhuma intervenção manual das equipes de segurança.
Minimizar erros humanos: erros são facilmente cometidos por humanos, mas não pela automação. Dados de origem refletem imediatamente em políticas correspondentes com os dados certos no lugar certo.
A integração pode ser instalada através da ServiceNow Store aqui..
Conclusão
Escalando Não-Humano Proteção de identidade o sucesso depende da consistência e da qualidade do comportamento da conta de serviço. SilverfortA detecção automatizada de comportamento, a categorização e a aplicação de Políticas Inteligentes tornam o passo inicial em direção a um ambiente de conta de serviço totalmente automatizado e protegido significativamente mais fácil.
Ambientes maiores têm um grande aumento em fontes de dados e, principalmente, registram um armazenamento de dados central (CMDB) como uma única fonte de verdade para infraestrutura de TI, incluindo dados de aplicativos e serviços. Aproveitando essas informações usando SilverfortOs recursos de integração da permitem uma aplicação precisa da segurança em tempo real, criando uma postura de segurança mais forte e resiliente para os NHIs no ambiente.