ฉายแสงสปอตไลท์เกี่ยวกับความเสี่ยงที่เพิ่มขึ้นของอัตลักษณ์ที่ไม่ใช่มนุษย์

Active Directory บัญชีบริการ: เจาะลึกหนึ่งใน NHI ที่พบบ่อยที่สุดและบทบาทของพวกเขาในการเคลื่อนไหวด้านข้าง

ขณะนี้การรักษาความปลอดภัยของข้อมูลระบุตัวตนที่ไม่ใช่มนุษย์ (NHI) เป็นสิ่งสำคัญที่สุดสำหรับผู้มีส่วนได้ส่วนเสียด้านความปลอดภัย แต่สิ่งที่แน่นอนคือ ตัวตนที่ไม่ใช่มนุษย์และสิ่งเหล่านี้ส่งผลต่อมาตรการรักษาความปลอดภัยทางไซเบอร์ขององค์กรอย่างไร NHI เป็นคำกว้างๆ ที่ใช้อธิบายเมื่อเครื่องจักร แอปพลิเคชัน หรือบริการได้รับข้อมูลประจำตัวเพื่อดำเนินงานหรือดำเนินการแบบอัตโนมัติ NHI มีหลายประเภท รวมถึงคีย์ API, บัญชีบริการ, บัญชีระบบ, โทเค็น OAuth และอื่นๆ อีกมากมาย สมมติว่า Bob ผู้จัดการฝ่ายไอทีเขียนสคริปต์เพื่อขอให้เครื่องทำการสำรองข้อมูลรายวันไปยังเซิร์ฟเวอร์ Bob ให้สิทธิ์แก่เครื่องและสิทธิ์ในการสำรองข้อมูลอัตโนมัติ นี่คือสถาบันสุขภาพแห่งชาติ

ในการวิจัยวันนี้ เราจะเน้นไปที่ประเภทที่แพร่หลายที่สุดและถูกบุกรุกเป็นประจำ สถาบันวิจัยแห่งชาติ: Active Directory บัญชีบริการ. ภายในกลุ่มประเภท NHI ขนาดใหญ่ บัญชีบริการ - ใช้สำหรับการสื่อสารระหว่างเครื่องภายใน Microsoft Active Directoryสภาพแวดล้อมของ (AD) — เป็นสิ่งที่น่ากังวลมากที่สุด ตัวตนเหล่านี้มีความเสี่ยงต่อการประนีประนอมและการละเมิดที่อาจเกิดขึ้นได้พอๆ กับของมนุษย์ ในความเป็นจริง เนื่องจากขาดการมองเห็นและการป้องกันในอดีต พวกมันจึงอาจตกอยู่ในความเสี่ยงที่หนักหนาสาหัส โดยทั่วไปแล้ว พวกเขามีสิทธิ์เข้าถึงเครื่องที่มีความละเอียดอ่อน ซึ่งทำให้เป็นบัญชีผู้ดูแลระบบได้อย่างมีประสิทธิภาพ

เราค้นพบข้อมูลจากช่วง 12 เดือนที่ผ่านมาที่ช่วยเราตอบคำถามเหล่านั้น ในการวิจัยของเรา เราได้เปิดเผยขอบเขตของบัญชีบริการ AD การถูกประนีประนอม และความเชื่อมั่นของ ความปลอดภัยของข้อมูลประจำตัว ทีมที่มีความสามารถในการค้นพบและปกป้องพวกเขา

เหตุใด NHIs — บัญชีบริการ AD — จึงเป็นเพื่อนที่ดีที่สุดของผู้โจมตี

ตามค่าเริ่มต้น ผู้โจมตีจะกำหนดเป้าหมายบัญชีบริการให้ การเคลื่อนไหวด้านข้าง เนื่องจากสิทธิ์ในการเข้าถึงสูง การมองเห็นต่ำ และความท้าทายในการป้องกัน และในหลายกรณี บัญชีบริการตกอยู่ภายใต้เรดาร์ของทีมรักษาความปลอดภัยและข้อมูลระบุตัวตน เพราะพวกเขาไม่รู้ด้วยซ้ำว่ามีอยู่ จากตัวอย่างข้างต้น เมื่อ Bob ผู้จัดการฝ่ายไอทีทำการสำรองข้อมูลเซิร์ฟเวอร์โดยอัตโนมัติแต่จากนั้นก็ลาออกจากบริษัท งานแบบเครื่องต่อเครื่องแบบอัตโนมัตินั้นจะไม่ถูกมองเห็นและไม่ได้รับการตรวจสอบ บัญชีบริการยังคงสามารถเข้าถึงทั้งเซิร์ฟเวอร์และเซิร์ฟเวอร์สำรอง ทำให้เป็นเป้าหมายที่น่าดึงดูดสำหรับผู้ไม่ประสงค์ดี

ความเสี่ยงที่เกี่ยวข้องกับบัญชีบริการที่ถูกละเมิดนั้นมีมากมาย เนื่องจากสามารถนำไปสู่การประนีประนอมต่อสภาพแวดล้อม SaaS ทั้งหมดขององค์กรได้เช่นกัน แม้ว่าบัญชีบริการไม่ควรซิงค์จาก AD ไปยังผู้ให้บริการข้อมูลประจำตัวบนคลาวด์ (IdP) แต่ก็เป็นเรื่องปกติอย่างยิ่งที่ทีมข้อมูลประจำตัวจะซิงค์บัญชีเหล่านั้นโดยไม่ได้ตั้งใจ แม้ว่าบัญชีเหล่านี้จะไม่สามารถใช้เข้าถึงทรัพยากร SaaS ตามค่าเริ่มต้นได้ แต่ผู้โจมตีที่ได้รับสิทธิ์การเข้าถึงของผู้ดูแลระบบไปยัง Cloud IdP สามารถเปิดใช้งานและกำหนดสิทธิ์การเข้าถึงให้พวกเขาได้

ตัวอย่างขั้นตอนการโจมตี:

1. ผู้โจมตีได้รับสิทธิ์ผู้ดูแลระบบในการเข้าถึงคอนโซลการจัดการ Cloud IdP
2. เมื่อเข้าไปข้างในแล้ว ผู้โจมตีจะค้นหาบัญชีบริการที่ซิงค์กัน (แบบแผนการตั้งชื่อเป็นแนวทางที่เป็นประโยชน์) จนกว่าจะพบบัญชีดังกล่าว
3. ผู้โจมตีกำหนดค่านโยบายการเข้าถึงสำหรับบัญชีบริการที่เลือกและกำหนดสิทธิ์การเข้าถึงให้กับแอป SaaS
4. จากนั้นผู้โจมตีจะใช้บัญชีบริการเพื่อเข้าถึงและดำเนินการภายในสภาพแวดล้อม SaaS

ปริมาณบัญชีบริการ AD ที่แท้จริงกำลังน่าตกใจ

บัญชีบริการประกอบขึ้นเป็นส่วนใหญ่ของผู้ใช้ทั้งหมดภายใน AD ของบริษัท

โดยเฉลี่ยแล้ว ประมาณหนึ่งในสามของผู้ใช้ภายใน AD เป็นบัญชีบริการ อัตราส่วนของบัญชีบริการต่อข้อมูลเฉพาะตัวทั้งหมดในบริษัทขนาดใหญ่นั้นน้อยกว่า แต่นั่นไม่ได้หมายความว่าพวกเขามีบัญชีบริการน้อยลงเมื่อพิจารณาถึงมูลค่าที่แท้จริง เพื่อให้เข้าใจถึงบริบทนี้ องค์กรขนาดใหญ่ที่มีผู้ใช้ 100,000 รายใน AD น่าจะมีบัญชีบริการที่ใช้งานอยู่ประมาณ 23,000 บัญชี

ในองค์กรขนาดเล็ก ผู้ใช้ AD เกือบครึ่งหนึ่งเป็นบัญชีบริการที่มีสิทธิ์และการเข้าถึงสูง

การเปิดเผยบัญชีบริการต่อการประนีประนอม

โปรโตคอลการตรวจสอบความถูกต้องที่อ่อนแอทำให้บัญชีบริการมีช่องโหว่

NTLM ยังคงมีอยู่ในโดเมน Windows หลายแห่งแม้ว่าจะอ่อนแอมากก็ตาม การรับรอง โปรโตคอลที่ไวต่อการเข้าถึงข้อมูลประจำตัวและการเคลื่อนย้ายด้านข้าง ในความเป็นจริง, 46% ของบัญชีบริการ ตรวจสอบสิทธิ์เป็นประจำผ่านโปรโตคอลที่เลิกใช้งานแล้ว ทำให้พวกเขาเสี่ยงต่อการถูกโจมตีมากขึ้น 

การมองเห็นบัญชีบริการนั้นมืดมนที่สุด

ทีมงานไม่แน่ใจว่าตนมีรายการบัญชีบริการที่ถูกต้อง

มองเห็นมนุษย์ทุกคนของคุณและ ตัวตนที่ไม่ใช่มนุษย์ เป็นพื้นฐานของการรักษาความปลอดภัยของข้อมูลประจำตัวที่ดี เอกสารไวท์เปเปอร์ล่าสุดโดย Osterman Research เปิดเผยว่า เพียง 5.7% ขององค์กร มองเห็นบัญชีบริการของตนได้อย่างสมบูรณ์ ในขณะที่ 62% มองเห็นได้เพียงบางส่วนเท่านั้น 

NHIs ส่วนใหญ่ รวมถึงบัญชีบริการ ไม่สามารถได้รับการปกป้องด้วย MFA และการขาดการมองเห็นกิจกรรมของพวกเขาจะขจัดความเป็นไปได้ในการปกป้องพวกเขาใน สิทธิ์การเข้าถึงการจัดการ (PAM) ห้องนิรภัยที่มีการหมุนเวียนรหัสผ่าน

ความมั่นใจในการปกป้องบัญชีบริการมีน้อยมาก

การปกป้องบัญชีบริการถือเป็นความท้าทายที่สำคัญสำหรับองค์กร

มีเพียง 1 ใน 5 องค์กรเท่านั้นที่มั่นใจอย่างยิ่งว่าสามารถป้องกันไม่ให้ฝ่ายตรงข้ามใช้บัญชีบริการเพื่อการเข้าถึงที่เป็นอันตรายได้ ส่งผลให้องค์กร 80% ไม่สามารถป้องกันการใช้บัญชีบริการในทางที่ผิดแบบเรียลไทม์ได้ เนื่องจากการมองเห็นและการรักษาความปลอดภัยเป็นระยะๆ หรือขาดหายไป 

การเคลื่อนไหวด้านข้างยังคงเป็นหนามแหลมในฝั่งกองหลัง

การเคลื่อนผ่านองค์กรในแนวขวางถือเป็นความเสี่ยงสำหรับผู้โจมตี และบัญชีบริการก็เป็นหนึ่งในเป้าหมายสูงสุดของพวกเขาที่จะดำเนินการดังกล่าว น่าตกใจที่มีองค์กรเพียง 22.4% เท่านั้นที่มั่นใจว่าสามารถหยุดการเคลื่อนไหวด้านข้างได้ ข้อมูลประจำตัวที่ถูกบุกรุก ในสภาพแวดล้อมของพวกเขา

มองไปข้างหน้า: NHIs นำเสนอความท้าทาย แต่ก็มีทางแก้ไข 

NHIs เป็นส่วนสำคัญของอัตลักษณ์ทั้งหมดขององค์กร ปริมาณของ NHI จะยังคงเพิ่มขึ้นต่อไปในขณะที่เราเร่งความเร็วของระบบอัตโนมัติ นวัตกรรม และเครื่องขยายเสียงที่ยอดเยี่ยม นั่นก็คือปัญญาประดิษฐ์ วันนี้ เราได้วิเคราะห์ NHI ประเภทเดียวที่ใช้ในองค์กรทั่วไป แต่ก็ไม่ยากที่จะจินตนาการถึงผลลัพธ์ที่คล้ายกันจำนวนหนึ่งหากเราขยายขอบเขตและนำการวิเคราะห์ไปใช้กับ NHI ประเภทอื่นๆ ที่ใช้เป็นประจำในองค์กรทั่วโลก การบุกรุกบัญชีบริการ NHI บัญชีเดียวอาจทำให้ผู้โจมตีสามารถเข้าถึงทรัพยากรต่างๆ ได้ ทำให้เป็นเป้าหมายในอุดมคติสำหรับผู้โจมตี ไม่ว่าจะซับซ้อนหรือไม่ก็ตาม และพวกเขาจะไม่ค่อยเผชิญกับการต่อต้านมากนัก เนื่องจากการควบคุมความปลอดภัยมาตรฐานเหมือนแบบดั้งเดิม MFA ได้ทุกที่ โดยทั่วไปสามารถปกป้องอัตลักษณ์ของมนุษย์เท่านั้น 

ประกอบกับความจริงที่ว่า มีเพียงหนึ่งในห้าองค์กรเท่านั้น มีความมั่นใจสูงในการป้องกันภัยคุกคามด้านข้อมูลประจำตัว ซึ่งทำให้เกิดภาพที่น่าตกใจ

ขั้นตอนในการปกป้องตัวตนที่ไม่ใช่มนุษย์ของคุณ

1. แสวง สิทธิพิเศษน้อยที่สุด: จำกัดการเข้าถึงในระดับที่ละเอียดที่สุด โดยเฉพาะอย่างยิ่งในบัญชีที่ไม่ใช่มนุษย์ที่ได้รับสิทธิพิเศษ โดยขึ้นอยู่กับแหล่งที่มา ปลายทาง โปรโตคอล เวลา และปัจจัยอื่น ๆ สิทธิพิเศษที่มากเกินไปอาจนำไปสู่ความเสี่ยงโดยไม่ได้ตั้งใจในองค์กร เช่น ข้อมูลสูญหายหรือถูกขโมย รวมถึงสร้างเป้าหมายการโจมตีแบบฟิชชิ่งเพิ่มมากขึ้นและไม่จำเป็น

2. กำหนด "ปกติ" ของคุณ: หากต้องการสร้างความเสี่ยงหรือสิ่งที่ถือว่าเป็นกิจกรรมที่ผิดปกติในเครือข่าย ให้สร้างบรรทัดฐานอย่างชัดเจนว่าพฤติกรรม "ปกติ" จะเป็นอย่างไรสำหรับตัวตนทั้งหมด ทั้งของมนุษย์และไม่ใช่มนุษย์ นี่ควรเป็นเรื่องง่ายเป็นพิเศษสำหรับบัญชีบริการซึ่งมีพฤติกรรมที่สามารถคาดเดาได้สูงและเกิดซ้ำๆ แน่นอนว่า สมมติว่าคุณมองเห็น NHI ของคุณได้แล้ว

3. ตรวจพบกิจกรรมที่ผิดปกติอย่างรวดเร็ว:  กับ มีเครื่องมือที่เหมาะสมในการติดตามและแจ้งเตือนในเชิงรุก ต่อกิจกรรมที่ผิดปกติเหล่านี้ ทีมจึงสามารถตอบสนองได้อย่างรวดเร็ว ซึ่งจะช่วยระบุและป้องกันการเบี่ยงเบนใด ๆ เพิ่มเติมและหากผู้โจมตี เป็น เมื่อพยายามเจาะเข้าไปในเครือข่าย ทีมรักษาความปลอดภัยสามารถบรรเทาและจำกัดขอบเขตการโจมตีได้อย่างมีประสิทธิภาพ

4. บล็อกความพยายามในการเข้าถึงบัญชีบริการที่ผิดปกติโดยอัตโนมัติ: การตรวจจับไม่เพียงพอ คุณควรจะสามารถบล็อกบัญชีบริการที่น่าสงสัยที่ถูกบุกรุกไม่ให้เข้าถึงทรัพยากรเป้าหมายได้สำเร็จ

5. ค้นหาเครื่องมือที่ขยายขอบเขต MFA ไปไกลกว่าอัตลักษณ์ของมนุษย์- MFA คือการควบคุมความปลอดภัยที่ผ่านการทดลองและทดสอบแล้ว ซึ่งพิสูจน์แล้วว่าสามารถขัดขวางผู้โจมตีได้ครั้งแล้วครั้งเล่า ด้วยการขยาย MFA ไปยังทรัพยากรที่ครั้งหนึ่งเคยไม่สามารถป้องกันได้ ในที่สุดคุณก็ดำเนินการ “ตรวจสอบซ้ำ” ในทุกคำขอการรับรองความถูกต้อง แม้แต่สำหรับ NHI ก็ตาม เรียนรู้เพิ่มเติมเกี่ยวกับวิธี Silverfort สามารถช่วยปกป้อง NHI ของคุณได้.

ระเบียบวิธีรายงาน

In Silverfortรายงานตัวตนใต้ดินของ, เราพิจารณาจุดข้อมูลนับแสนจุดจากลูกค้าหลายร้อยรายในขนาดและประเภทธุรกิจที่แตกต่างกัน เพื่อกำหนดขอบเขตของปัญหาอัตลักษณ์ที่ไม่ใช่มนุษย์ โดยมุ่งเน้นไปที่สิทธิพิเศษสูงและแพร่หลาย Active Directory บัญชีบริการ

นอกจากนี้เรายังทำการวิจัยกับ Osterman Research ซึ่งรวมถึงคำตอบจากบุคคลที่มีบทบาทด้านการระบุตัวตนจำนวน 637 คนในช่วงเดือนพฤษภาคม-มิถุนายน 2023 ผู้ตอบแบบสอบถามต้องทำงานในองค์กรที่มีพนักงานอย่างน้อย 1,000 คนจึงจะมีคุณสมบัติ การสำรวจได้ดำเนินการใน XNUMX ประเทศ โดยการสำรวจในฝรั่งเศสและเยอรมนีเป็นภาษาฝรั่งเศสและเยอรมันตามลำดับ การสำรวจนี้เป็นการสำรวจข้ามอุตสาหกรรม และไม่มีอุตสาหกรรมใดได้รับการยกเว้นหรือจำกัด