Pesquisar

Língua

Silverfort

O RELATÓRIO SUBTERRÂNEO DE IDENTIDADE

As lacunas de segurança de identidade mais comuns que levam ao comprometimento

Suas defesas estão nas alturas – mas no subsolo você está exposto.

Percebemos uma lacuna na pesquisa sobre segurança cibernética. A maioria dos relatórios de ameaças disponíveis hoje detalham detalhadamente o malware, os atores das ameaças e as cadeias de destruição de ataques, mas incluem muito poucos dados sobre as lacunas de identidade e os pontos fracos que desempenham um papel em quase todos os ataques cibernéticos. Decidimos mudar isso.

 

O Identity Underground é a primeira tentativa de mapear as fraquezas mais críticas de segurança de identidade que levam ao roubo de credenciais, escalonamento de privilégios ou movimentação lateral — tanto no local quanto na nuvem. Não são vulnerabilidades ou ataques em si, mas sim fraquezas inerentes à infraestrutura de identidade regularmente usada pelos agentes de ameaças em seus ataques. Como tal, decidimos chamar essas lacunas de Exposições à Ameaça à Identidade (ITEs).

 

Os dados deste relatório são coletados de centenas de ambientes de produção ativos. Nossa esperança é que o Identity Underground possa ajudar as equipes de identidade e segurança a avaliar seus programas de segurança e capacitá-las a tomar decisões informadas sobre onde investir em segurança de identidade.

Sabia que?

31%

de todos os usuários são contas de serviço com altos privilégios de acesso e baixa visibilidade.

13%

das contas de usuário estão obsoletas e não realizam nenhuma atividade.

12%

das contas de administrador estão configuradas para ter delegação irrestrita

As exposições a ameaças de identidade (ITEs) abrem sua organização para ataques

O Identity Underground mapeia os ITEs mais críticos que permitem que invasores acessem credenciais, aumentem privilégios e se movam lateralmente, tanto no local quanto na nuvem. Nós os classificamos em quatro categorias: Expositores de Senhas, Escadas Rolantes de Privilégios, Movimentadores Laterais e Dodgers de Proteção. Os ITEs são difíceis de eliminar e podem resultar de configuração incorreta, negligência, infraestrutura de identidade legada ou até mesmo recursos integrados. Eles estão por trás do aumento acentuado no roubo de credenciais e movimento lateral, uma característica de quase todos os ataques. Os ITEs neste relatório são comprovadamente predominantes, impactantes e estão disponíveis para serem explorados por invasores. Embora existam vários ITEs de diferentes tipos, incluímos apenas aqueles que apresentam um risco que toda organização provavelmente enfrentará.

ITE 1

Expositores de senha

Permite que invasores acessem a senha em texto não criptografado de uma conta de usuário.

Técnica MITRE ATT&CK relacionada: acesso à credencial

Exemplos:

  • Autenticação NTLM
  • Autenticação NTLMv1
  • Administradores com SPN

ITE 2

Escadas rolantes privilegiadas

Permite que os invasores se movam lateralmente sem serem detectados.

Técnica MITRE ATT&CK relacionada: escalonamento de privilégios

Exemplos:

  • Administradores sombra
  • Delegação irrestrita

 

ITE 3

Movimentadores laterais

Permite que invasores aumentem os privilégios de acesso existentes.

Técnica MITRE ATT&CK relacionada: Movimento lateral

Exemplos:

  • Contas de serviço
  • Usuários prolíficos

 

É uma prática comum para Active Directory (AD) para sincronizar hashes de usuário com o IdP da nuvem para que os usuários possam acessar aplicativos SaaS com as mesmas credenciais dos recursos locais.

Ao sincronizar as senhas dos usuários dessa forma, as organizações migram inadvertidamente os pontos fracos da identidade local para a nuvem e criam um Password Expor ITE. Os atacantes, incluindo Grupo de ransomware Alphv BlackCat, são conhecidos por hackear ambientes de nuvem a partir de configurações locais.

Facilmente quebrada com ataques de força bruta, a autenticação NTLM é o principal alvo para invasores que buscam roubar credenciais e se aprofundar em um ambiente.

Pesquisa recente por Segurança do ponto de prova mostra o agente de ameaça TA577 roubando informações de autenticação NTLM para obter senhas. Este é outro exemplo de um Password Exposer ITE.

Uma única configuração incorreta em um Active Directory conta gera 109 novos administradores shadow em média. 

Administradores sombra são contas de usuário com o poder de redefinir senhas ou manipular contas de outras maneiras. Considerados Privilege Escalators, os invasores usam Shadow Admins para alterar configurações, permissões e obter mais acesso às máquinas à medida que se aprofundam em um ambiente.

Quase um terço de todas as contas de usuário são contas de serviço altamente privilegiadas. 

As contas de serviço são usadas para comunicação máquina a máquina e são identidades que possuem muitos acessos e privilégios. Alvo dos atacantes contas de serviço, pois são frequentemente ignorados pelas equipes de segurança. Apenas 20% das empresas estão altamente confiantes que eles tenham visibilidade de todas as contas de serviço e possam protegê-las. Consideramos contas de serviço desconhecidas ITEs do Lateral Mover.

O que você pode fazer hoje para proteger sua organização

A identidade continua sendo uma parte insidiosa de quase todos os ataques. Um mundo subterrâneo de exposições a ameaças de identidade contribui para a ataque de identidade superfície. A boa notícia é que existem ações que você pode tomar hoje para eliminar esses ITEs e reforçar a segurança de sua identidade.

1

Saiba onde você está exposto e elimine riscos sempre que possível

Obtenha visibilidade dos ITEs em seu ambiente, siga as práticas recomendadas da Microsoft e elimine quaisquer ITEs resultantes de más práticas ou configurações incorretas. 
Saiba mais aqui

2

Conter e monitorar os riscos existentes

Para ITEs que não podem ser eliminados, como contas de serviço ou uso de NTLM, monitore essas contas de perto em busca de qualquer sinal de comprometimento.
Saiba mais aqui

3

Tome medidas preventivas

Aplique regras de segmentação de identidade ou políticas de MFA para proteger contas de usuários e impor políticas de acesso às suas contas de serviço. 
Saiba mais aqui

4

Conecte as equipes de identidade e segurança

Combine as áreas de especialização de suas equipes de identidade e segurança para priorizar e implementar correções em ITEs. 
Saiba mais aqui

Obtenha o primeiro relatório do mundo 100% dedicado a revelar exposições a ameaças de identidade.