Destacando os riscos crescentes das identidades não humanas

Início » Blog » Destacando os riscos crescentes das identidades não humanas

Active Directory Contas de Serviço: Uma análise mais detalhada de um dos NHIs mais comuns e seu papel no movimento lateral

A segurança das Identidades Não-Humanas (NHIs) é agora uma prioridade para as partes interessadas na segurança. Mas o que exatamente é um identidade não humanae como eles impactam a postura de segurança cibernética de uma organização? NHI é um termo amplo usado para descrever quando uma máquina, aplicativo ou serviço recebe credenciais para executar uma tarefa ou ação automatizada. Existem muitos tipos de NHIs, incluindo chaves de API, contas de serviço, contas de sistema, tokens OAuth, entre outros. Digamos que o gerente de TI Bob escreva um script solicitando que uma máquina execute um backup diário em um servidor. Bob está fornecendo credenciais e acesso à máquina para realizar o backup automatizado. Este é um INSS.

Na pesquisa de hoje, vamos nos concentrar no tipo de doença mais prevalente e regularmente comprometida INSS: Active Directory contas de serviço. Dentro do grande conjunto de tipos de NHI, as contas de serviço — usadas para comunicação máquina a máquina dentro do Microsoft Active DirectoryOs ambientes de (AD) - são os mais preocupantes. Estas identidades são tão vulneráveis ​​a possíveis comprometimentos e abusos quanto as humanas. Na verdade, devido à falta histórica de visibilidade e protecção, podem até estar em risco mais grave. Normalmente, eles têm acesso privilegiado a máquinas confidenciais, tornando-os efetivamente contas de administrador.

Descobrimos dados dos últimos 12 meses que nos ajudam a responder a essas perguntas. Em nossa pesquisa, desvendamos o escopo das contas de serviço AD, sua exposição ao comprometimento e a confiança dos segurança de identidade equipes em sua capacidade de descobri-los e protegê-los.

Por que os NHIs – contas de serviço AD – são os melhores amigos do invasor

Por padrão, os invasores terão como alvo contas de serviço para movimento lateral devido aos seus altos privilégios de acesso, baixa visibilidade e desafios de proteção. E, em muitos casos, as contas de serviço passam despercebidas pelas equipes de segurança e identidade porque elas nem sabem que existem. Usando o mesmo exemplo acima, quando o gerente de TI Bob automatiza o backup de um servidor, mas depois sai da empresa, essa tarefa automatizada de máquina a máquina continua invisível e monitorada. A conta de serviço ainda tem acesso ao servidor e ao servidor de backup, o que a torna um alvo atraente para um malfeitor.

Os riscos associados a uma conta de serviço violada são imensos porque também podem comprometer todo o ambiente SaaS da organização. Embora as contas de serviço não devam ser sincronizadas do AD com o provedor de identidade em nuvem (IdP), é extremamente comum que as equipes de identidade as sincronizem inadvertidamente. Embora essas contas não possam ser usadas para acessar recursos SaaS por padrão, um invasor que obteve privilégios de acesso de administrador ao IdP da nuvem pode ativá-las e atribuir-lhes privilégios de acesso.

Exemplo de fluxo de ataque:

  1. O invasor obtém privilégios de acesso de administrador ao console de gerenciamento do IdP na nuvem.
  2. Uma vez dentro, o invasor procura contas de serviço sincronizadas (as convenções de nomenclatura são um guia útil) até encontrar uma.
  3. O invasor configura uma política de acesso para a conta de serviço escolhida e atribui privilégios de acesso a aplicativos SaaS.
  4. O invasor então usa a conta de serviço para acessar e agir no ambiente SaaS.

O grande volume de contas de serviço AD é alarmante

As contas de serviço representam uma grande parte do total de usuários no AD de uma empresa

Em média, cerca de um terço dos usuários do AD são contas de serviço. A proporção de contas de serviços em relação ao total de identidades em empresas maiores é menor, mas isso não significa que elas tenham menos contas de serviços quando se trata de valor absoluto. Para colocar isso em contexto, uma grande empresa com 100,000 mil usuários no AD provavelmente teria aproximadamente 23,000 mil contas de serviço ativas.

Em organizações menores, quase metade de todos os usuários do AD são contas de serviço com altos privilégios e acesso.

Exposição das contas de serviço ao comprometimento

Protocolos de autenticação fracos tornam as contas de serviço vulneráveis

O NTLM ainda existe em muitos domínios do Windows, apesar de ser um sistema muito fraco. autenticação protocolo que é suscetível a acesso de credenciais e movimento lateral. Na verdade, 46% das contas de serviço autenticam regularmente por meio desse protocolo obsoleto, deixando-os mais expostos a comprometimentos. 

A visibilidade das contas de serviço é, na melhor das hipóteses, obscura

As equipes não têm certeza se possuem um inventário preciso de contas de serviço

Visibilidade completa de todos os seus aspectos humanos e identidades não humanas é fundamental para uma boa segurança de identidade. No entanto, um whitepaper recente da Osterman Research revelou que apenas 5.7% das organizações têm visibilidade total de suas contas de serviço, enquanto 62% têm visibilidade apenas parcial. 

A maioria dos NHI, incluindo contas de serviço, não podem ser protegidos com MFA, e a falta de visibilidade das suas actividades elimina a possibilidade de os proteger de uma forma PAM - Gestão de Acesso Privilegiado (PAM) cofre com rotação de senha.

A confiança na proteção das contas de serviço é mínima

A proteção de contas de serviço é um sério desafio para as organizações

Apenas 1 em cada 5 organizações está altamente confiante de que pode impedir que adversários usem uma conta de serviço para acesso malicioso. Isto deixa 80% das organizações incapazes de evitar o uso indevido de contas de serviço em tempo real devido à visibilidade e segurança esporádica ou ausente. 

Movimentação lateral continua sendo uma pedra no sapato do zagueiro

Mover-se lateralmente em uma organização é uma aposta importante para um invasor, e as contas de serviço são um dos principais alvos para isso. De forma alarmante, apenas 22.4% das organizações estão confiantes de que podem interromper o movimento lateral com credenciais comprometidas em seus ambientes.

Olhando para o futuro: os SNS representam um desafio, mas existem soluções 

Os NHIs constituem uma parcela significativa do total de identidades de uma organização. O volume de NHIs continuará a aumentar à medida que aceleramos o ritmo da automação, da inovação e do grande amplificador – a inteligência artificial. Hoje, analisamos um único tipo de SNS utilizado numa organização típica, mas não é difícil imaginar uma série de resultados semelhantes se alargássemos o nosso âmbito e aplicássemos a análise a outros tipos de NHI regularmente utilizados em organizações a nível global. O comprometimento de uma única conta de serviço do NHI poderia dar aos invasores acesso a vários recursos, tornando-o um alvo ideal para invasores – sofisticados ou não. E raramente enfrentarão muita resistência, já que os controles de segurança padrão, como os tradicionais MFA normalmente só pode proteger identidades humanas. 

Juntamente com o fato de que apenas uma em cada cinco organizações está altamente confiante na prevenção de ameaças de identidade, isto representa um quadro alarmante.

Passos para proteger suas identidades não humanas

1. Esforce-se para Ultimo privilégio: Limite o acesso no nível mais granular, especialmente em contas não humanas privilegiadas, com base na origem, destino, protocolo, horário e outros fatores. Privilégios excessivos podem levar a riscos não intencionais em uma organização, como perda ou roubo de dados, bem como criar mais alvos desnecessários para ataques de phishing.

2. Defina o seu “normal”: Para estabelecer um risco, ou o que é considerado atividade anormal numa rede, estabeleça claramente uma linha de base de como é o comportamento “normal” para todas as identidades, tanto humanas como não humanas. Isto deverá ser particularmente fácil para contas de serviços, cujo comportamento é altamente previsível e repetitivo – assumindo, claro, que já tenha visibilidade dos seus NHIs.

3. Identifique rapidamente atividades anormais:  Com o ferramentas certas para monitorá-los e alertá-los proativamente a essas atividades anormais, as equipes podem responder rapidamente. Isto ajuda a identificar e prevenir quaisquer desvios adicionais, e se os invasores e guarante que os mesmos estão Ao tentar invadir a rede, a equipe de segurança pode mitigar e conter com eficiência o escopo do ataque.

4. Bloqueie automaticamente tentativas de acesso atípicas de contas de serviço: A detecção não é suficiente. Você também deve ser capaz de bloquear ativamente uma conta de serviço suspeita de comprometimento de obter acesso ao recurso de destino.

5. Procure uma ferramenta que estenda a AMF para além das identidades humanas. O MFA é um controle de segurança testado e comprovado que comprovadamente impede invasores. Ao estender a MFA a recursos que antes eram inprotegíveis, você finalmente realiza uma “verificação dupla” em cada solicitação de autenticação – mesmo para NHIs. Saiba mais sobre como Silverfort pode ajudar a proteger seus NHIs.

Metodologia de Relatório

In SilverfortRelatório de Identidade Subterrânea, analisamos centenas de milhares de pontos de dados de centenas de clientes de diferentes tamanhos e setores para determinar o escopo do problema de identidade não humana, com foco em dados altamente privilegiados e difundidos. Active Directory contas de serviço.

Também conduzimos uma pesquisa com a Osterman Research, que incluiu respostas de 637 pessoas em funções de identidade durante maio-junho de 2023. Para se qualificarem, os entrevistados tiveram que trabalhar em organizações com pelo menos 1,000 funcionários. Os inquéritos foram realizados em seis países, tendo os inquéritos em França e na Alemanha sido realizados em francês e alemão, respetivamente. A pesquisa foi transversal a todos os setores e nenhum setor foi excluído ou restringido.

Pare as ameaças à identidade agora