Os riscos de segurança das contas de serviço: por que os subscritores de seguros cibernéticos estão restringindo os requisitos

À medida que os ataques de ransomware continuam a disparar, tanto em frequência como em intensidade, os subscritores de apólices de seguro cibernético têm reforçado drasticamente os seus requisitos, a fim de conter perdas financeiras. Nos últimos três anos, por exemplo, o número de reclamações relacionadas a ataques cibernéticos dobraram, com as companhias de seguros registrando um recorde Taxa de perda cibernética de 72% em 2020. Enquanto isso, os ataques de ransomware aumentaram 105% no ano passado, até 623.3 milhões de ataques em todo o mundo, Com o o pagamento médio agora custa US$ 570,000. 

Em resposta, as seguradoras têm renovado os seus seguro cibernético as políticas sejam muito mais específicas sobre quais controles de segurança devem ser implementados. A primeira grande mudança ocorreu no ano passado, quando as empresas começaram a exigir que autenticação multifator (MFA) os controles sejam aplicáveis ​​em vários sistemas no ambiente, incluindo e-mail baseado em nuvem, acesso remoto à rede, bem como acesso administrativo a serviços de diretório, ambientes de backup e infraestrutura de rede.  

Recentemente, os subscritores deram um passo além, e muitos deles também exigem que todos contas privilegiadas estar protegido. Esta postagem examina por que as companhias de seguros estão agora focadas nessas contas em geral e especificamente em um subconjunto de contas privilegiadas: contas de serviço.

A ligação entre ataques de ransomware e contas de serviço

Os atores de ameaças têm usado cada vez mais uma tática particularmente furtiva para se movimentar livremente em um ambiente: movimento lateral. Movimento lateral é o estágio de um ataque que ocorre após o acesso inicial, onde os invasores usam credenciais de usuário comprometidas para acessar o maior número possível de máquinas, a fim de maximizar o resultado do ataque, criptografando várias máquinas simultaneamente.  

Ataques de ransomware bem-sucedidos geralmente fazem uso de um software comprometido conta de serviço, que é uma conta não humana usada para comunicação máquina a máquina (M2M) que executa um processo crítico (como uma verificação de rede ou uma atualização de software) repetida e automaticamente. Essas contas são alvos muito atraentes para os invasores, pois geralmente são altamente privilegiadas, com acesso de administrador a vários sistemas. 

Na verdade, vários ataques cibernéticos recentes de alto perfil envolveram uma conta de serviço comprometida, incluindo o Hack SolarWinds de 2021 e o Violação do Uber no início deste ano.  

Desafios de segurança das contas de serviço 

As contas de serviço são especialmente vulneráveis ​​ao comprometimento por dois motivos importantes. Primeiro, muitas vezes têm baixa visibilidade, uma vez que não existe nenhuma ferramenta de diagnóstico que possa descobri-los e monitorizar o seu comportamento. Em segundo lugar, as contas de serviço normalmente são excluídas da rotação de senhas, pois geralmente são incorporadas a scripts. O resultado é que, uma vez comprometida uma dessas contas, um invasor poderá se movimentar em um ambiente sem ser detectado e por um período de tempo ilimitado.  

É exatamente por isso seguradoras estão preocupadas com contas de serviço recentemente começaram a exigir que as empresas conduzissem inventários, bem como implementassem medidas de segurança específicas para evitar que invasores os utilizassem para acesso malicioso.

Os novos requisitos para obter uma apólice de seguro cibernético

Entre os requisitos que as empresas devem cumprir agora estão os seguintes: 

• Há um inventário de todas as contas de serviço privilegiadas, atualizado pelo menos trimestralmente – incluindo para que serve cada conta de serviço e por que ela exige direitos de administrador de domínio 
• As contas de serviço estão em níveis para que diferentes contas sejam usadas para interagir com estações de trabalho, servidores e servidores de autenticação 
• As contas de serviço são configuradas usando o princípio do menor privilégio e negar logins interativos 
• Existe um processo em vigor para revisar regularmente os requisitos de cada conta de serviço privilegiada para verifique se ainda requer permissões que possui 
• Há medidas sendo tomadas para mitigar qualquer exposição a configuração das contas de serviço cria que pode resultar na coleta de credenciais
• Específico regras de monitoramento estão em vigor para contas de serviço alertarem o Security Operations Center (SOC) sobre qualquer comportamento anormal 

Estes requisitos apresentam sérios desafios às empresas que procuram uma nova (ou que pretendem renovar uma) apólice de seguro cibernético existente. Conforme mencionado, não existe nenhum utilitário que possa gerar um relatório de todas as contas de serviços correntes, o que significa que as organizações podem achar impossível produzir uma contagem precisa delas e demonstrar uma contabilidade completa do seu comportamento.  

Mas mesmo para empresas com registros atualizados, configurar políticas específicas para monitorar todo o comportamento das contas de serviço seria extremamente trabalhoso e consumiria enormemente os recursos de TI. Além disso, implementar medidas para proteger as contas de serviço contra comprometimento é, na melhor das hipóteses, complicado, uma vez que a rotação das senhas das contas de serviço pode interromper processos críticos. 

Como funciona o dobrador de carta de canal Silverfort Permite que as empresas atendam aos requisitos da conta de serviço

Felizmente, o Silverfort unificado Proteção de identidade A plataforma foi desenvolvida para resolver exatamente essas questões – e pode ajudar as empresas a atender aos requisitos de seguro cibernético para contas de serviço.  

Silverfort dá às empresas a capacidade de descobrir e automaticamente proteger todas as contas de serviço no ambiente por meio de um mecanismo de IA que detecta qualquer conta que apresente comportamento repetitivo semelhante ao de uma máquina. Uma vez detectado, Silverfort pode então monitorar continuamente essas contas e todos os locais onde elas se autenticam, fornecendo às equipes de segurança insights em tempo real sobre suas atividades e nível de risco.

Silverfort também vem com políticas de acesso prontas para uso, adaptadas a cada conta de serviço com base em seu padrão específico de comportamento, com qualquer desvio detectado imediatamente e resultando em acesso bloqueado ou em um alerta enviado à equipe SOC – evitando assim que os agentes de ameaças as utilizem em ataques de movimento lateral.  

Além das políticas baseadas em regras, as políticas adaptativas baseadas no risco podem ser facilmente criadas para serem ativadas à medida que o nível de risco de uma conta aumenta. Este nível de proteção granular significa que as contas de serviço podem ser totalmente protegidas sem rotação de senhas, o que pode interromper processos de missão crítica.

Aqui está um resumo das capacidades Silverfort fornece em torno de contas de serviço:

Com o Silverfort em vigor, as organizações descobrirão que atender aos novos requisitos em torno das contas de serviço é simples e fácil, permitindo que se qualifiquem para uma apólice de seguro cibernético e recuperem a tranquilidade. Aprender mais, solicite uma demonstração aqui.