Não é nenhuma surpresa que os ataques cibernéticos modernos estejam buscando maneiras de se mover lateralmente tanto dentro de um ambiente local quanto para os serviços, aplicativos e recursos baseados em nuvem de uma organização. Com a maioria dos ambientes alavancando alguma forma de configuração híbrida, quaisquer credenciais de identidade que sejam suscetíveis a técnicas de hacking fornecem ao invasor acesso potencialmente irrestrito tanto à nuvem quanto ao ambiente local.
E por que é tão fácil para uma identidade elevada ser comprometida? Fraquezas na configuração, gerenciamento e monitoramento da sua identidade são provavelmente a causa.
Pense além de uma senha insegura – contas, permissões e delegações não documentadas ou esquecidas; falta de autenticação fatores; privilégios de posição; e mais, tudo isso aflige a maioria das organizações (porque estamos todos muito focados em lidar com o “próximo” problema). São essas fraquezas que os cibercriminosos procuram e tiram vantagem… tudo porque sabem que você não as abordou.
Neste webinar, Yiftach Keshet, vice-presidente de marketing de produtos da Silverfort, mergulha mais profundamente no comum segurança de identidade lacunas existentes em ambientes locais que permitem que agentes de ameaças também acessem aplicativos e plataformas baseados em SaaS.
Primeiro, o quatro vezes MVP da Microsoft, Nick Cavalancia, discute por que a identidade continua sendo uma prioridade superfície de ataque, usando o MITRE ATT&CK Framework para demonstrar como quase todas as ações tomadas inevitavelmente remontam a uma superfície de ataque de identidade fraca.
A seguir, Yiftach mergulha nas lacunas de segurança mais comuns e mostra como elas podem ser usadas para fornecer acesso a ambientes on-prem e na nuvem. Elas incluem:
- Como os adversários abusam das fraquezas locais para se moverem lateralmente e comprometerem o ambiente de nuvem, obtendo acesso inicial a uma máquina e, em seguida, usam um caminho NTLM ou Kerberos caminho para obter acesso a ambientes de nuvem.
- Identificar usuários com privilégios de acesso excessivos: 1 em cada 7 usuários (em média) tem privilégios de acesso semelhantes aos dos administradores, apesar de não estar incluído em nenhum grupo de administradores. Naturalmente, também não há proteção para esses usuários, pois ninguém sabe que eles são privilegiados de fato. Os invasores podem aproveitar a chance e mirar esses usuários para "passar despercebidos" movimento lateral.
- Contas obsoletas e contas compartilhadas: má prática comum que cria uma enorme superfície de ataque. Contas obsoletas não são protegidas (mais de 15% de todos os usuários em muitos casos). Contas compartilhadas não podem ser protegidas com MFA. Ambos os tipos são amplamente visados.
Yiftach também demonstra como é possível detectar esses tipos de ataques, bem como discutir as melhores práticas de como mitigar fraquezas de identidade por meio de controles de segurança que incluem autenticação multifator e segmentação de identidade.