As exposições a ameaças de identidade (ITEs) são pontos fracos de segurança que expõem um ambiente a ameaças de identidade: roubo de credenciais, escalonamento de privilégios ou movimentação lateral. Um ITE pode resultar de uma configuração incorreta, legado infraestrutura de identidade, ou até mesmo recursos integrados.
Os invasores usam esses ITEs como co-conspiradores para realizar roubo de credenciais, escalonamento de privilégios e movimento lateral. Além do mais, devido à prática comum de sincronização do AD contas de usuário para o IdP da nuvem, isso exposição subterrânea também pode fornecer aos invasores acesso direto ao seu ambiente SaaS.
Por que as exposições a ameaças de identidade são perigosas?
A grande maioria das organizações hoje emprega uma infraestrutura de identidade híbrida, com Active Directory (AD) para recursos locais e um IdP na nuvem para SaaS.
A prática comum é que o AD sincronize os hashes dos usuários com o IdP da nuvem, para que os usuários possam acessar aplicativos SaaS com as mesmas credenciais que os recursos locais. Isso aumenta significativamente o potencial do ambiente SaaS superfície de ataque, já que qualquer ataque que resulte na obtenção de senhas em texto não criptografado pelo adversário abre caminho para ativos na nuvem.
ITEs que expõem hashes de senha descriptografados fracamente (NTLM, NTLMv1, administradores com SPN) ou permitem que invasores redefinam senhas de usuários (administradores sombra) já são amplamente explorados pelos adversários.
Quais tipos de exposições a ameaças de identidade existem?
Classificamos os ITEs em quatro grupos, com base nas ações maliciosas que permitem aos invasores realizar:
- Expositores de senha: ITEs que permitem que adversários acessem a senha em texto não criptografado de uma conta de usuário.
- Escadas rolantes privilegiadas: ITEs que permitem que adversários aumentem quaisquer privilégios de acesso que já possuam.
- Movimentadores laterais: ITEs que permitem que adversários usem contas comprometidas para realizar movimentos laterais não detectados.
- Dodgers de proteção: ITEs que tornam os controles de segurança menos eficazes no monitoramento e proteção de contas de usuários.
Exemplos de exposições a ameaças de identidade
| Categoria | Relacionado MITER ATT & CK | Exemplos |
| Expositores de senha | Acesso de credencial | NTLM autenticação Autenticação NTLMv1Admins com SPN |
| Escadas rolantes privilegiadas | Escalonamento de privilégios | Administradores sombraDelegação irrestrita |
| Movimentadores laterais | Movimento lateral | Contas de serviço Usuários prolíficos |
| Dodgers de proteção | Não existe uma técnica MITRE ATT&CK exata que corresponda a esta categoria. Ele permite que os invasores passem despercebidos por longos períodos de tempo. | Novas contas de usuárioContas compartilhadasUsuários obsoletos |
Como se proteger contra exposições a ameaças à identidade?
- Saiba onde você está exposto
Certifique-se de ter visibilidade de todos os diferentes tipos de ITEs em seu ambiente. Se você estiver sincronizando usuários do AD com seu IdP na nuvem, certifique-se de que ele siga as práticas recomendadas da Microsoft e não crie uma massa de usuários ociosos. - Elimine o risco onde puder
Certifique-se de ter visibilidade de todos os diferentes tipos de ITEs em seu ambiente. Se você estiver sincronizando usuários do AD com seu IdP na nuvem, certifique-se de que ele siga as práticas recomendadas da Microsoft e não crie uma massa de usuários ociosos. - Conter e monitorar os riscos existentes
Para ITEs que não podem ser eliminados, como contas de serviço ou o uso de NTLM, garanta que a equipe de SecOps tenha um processo em vigor para monitorar de perto essas contas em busca de qualquer sinal de comprometimento. - Tome medidas preventivas
Inscreva-se segmentação de identidade regras ou aplicar políticas de MFA para evitar que contas de usuários sejam vítimas de ITEs em destaque, sempre que possível. Implemente políticas de acesso em seu contas de serviço que os impediria de acessar qualquer destino além de seus recursos pré-designados. - Conecte as equipes de identidade e segurança
A responsabilidade por Proteção de identidade é distribuído entre as equipes de identidade e de segurança, onde o conhecimento destas últimas lhes permite priorizar quais ITEs resolver, enquanto as primeiras podem colocar essas correções em prática, criando na verdade um sistema integrado segurança de identidade postura.