รายงาน Identity Underground: ข้อมูลเชิงลึกเกี่ยวกับช่องว่างด้านความปลอดภัยของข้อมูลประจำตัวที่สำคัญที่สุด
มีนาคม 26th, 2024 ยิฟทัคเคเชท
เราภูมิใจที่จะเปิดตัวรายงานฉบับแรกตาม Silverfortข้อมูลที่เป็นกรรมสิทธิ์ของ: รายงานตัวตนใต้ดิน ข้อมูลนี้รวบรวมและวิเคราะห์จากสภาพแวดล้อมการผลิตหลายร้อยรายการ โดยจะเปิดเผยช่องว่างด้านความปลอดภัยที่สำคัญ – หรือ การเปิดเผยข้อมูลภัยคุกคาม (ITE) – ศัตรูที่แสวงหาผลประโยชน์เพื่อปล่อยภัยคุกคามด้านอัตลักษณ์ เช่น การเข้าถึงข้อมูลประจำตัว การเพิ่มระดับสิทธิพิเศษ และการเคลื่อนไหวด้านข้าง
นี่เป็นการวิเคราะห์จุดอ่อนเหล่านี้อย่างครอบคลุมครั้งแรก ในความเป็นจริง ITE เหล่านี้บางส่วนไม่เคยได้รับการเปิดเผยเลย จนถึงขณะนี้
ผลลัพธ์ที่ได้น่าตกใจ: ไม่มีสภาพแวดล้อมใดที่ปราศจากช่องว่างที่ทำให้ผู้โจมตีมีโอกาสเข้าถึงข้อมูลประจำตัว ขยายสิทธิ์พิเศษ และเคลื่อนที่ไปด้านข้างโดยแทบไม่มีการต่อต้านหรือแทบไม่มีเลย
คุณเป็น CISO หรือไม่? จากนั้น คุณจะต้องถามทีมของคุณว่าช่องว่างทั่วไปในรายงานมีผลกับสภาพแวดล้อมของคุณด้วยหรือไม่ สิ่งเหล่านี้คือสาเหตุเบื้องหลังการโจมตีที่ทำให้คุณตื่นในเวลากลางคืน การรู้จักพวกเขาควรกลายเป็นปัจจัยในการตัดสินใจของคุณ
คุณเป็นสถาปนิกด้านความปลอดภัยหรือผู้จัดการ SOC หรือไม่? คุณรู้อยู่แล้วว่าตัวตนนั้นถูกละเมิดมากที่สุด พื้นผิวการโจมตี ในการครอบครองบัญชี การเคลื่อนไหวด้านข้าง และการแพร่กระจายของแรนซัมแวร์ ตอนนี้คุณสามารถรับข้อมูลเชิงลึกทั้งหมดเกี่ยวกับสิ่งที่คุณต้องการปกป้องได้แล้ว
และสุดท้าย คุณต้องรับผิดชอบต่อการรักษาความปลอดภัยของข้อมูลประจำตัวในองค์กรของคุณหรือไม่? จากนั้นคุณจะพบกับความท้าทายทั้งหมดที่คุณกำลังเผชิญอยู่ทุกวัน: ผู้ดูแลระบบเงา, NTLMv1, การมอบหมายที่ไม่มีข้อจำกัด, บัญชีบริการ, การซิงค์รหัสผ่าน และอื่นๆ อีกมากมาย
ช่องว่างเหล่านี้ช่วยให้ผู้คุกคามสามารถชนะสงครามกับภัยคุกคามตัวตนได้
ภัยคุกคามตัวตนมีขนาดใหญ่ การเคลื่อนไหวด้านข้าง นำหน้าด้วยการขโมยข้อมูลประจำตัวและ การเพิ่มระดับสิทธิ์ตอนนี้เป็นส่วนสำคัญของแคมเปญแรนซัมแวร์เกือบทุกรายการ
แต่ความเข้าใจอย่างถ่องแท้เกี่ยวกับขอบเขตและลักษณะของช่องว่างที่ทำให้การโจมตีเหล่านี้เกิดขึ้นไม่ได้เป็นส่วนหนึ่งของแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ขององค์กร ในความเป็นจริงพวกเขาไม่มีชื่อด้วยซ้ำ ไม่ใช่ช่องโหว่ของซอฟต์แวร์ที่ได้รับมอบหมาย CVE และไม่ใช่มัลแวร์ แต่เป็นผลที่หลีกเลี่ยงไม่ได้จากการกำหนดค่าที่ไม่ถูกต้อง การประพฤติมิชอบ โครงสร้างพื้นฐานแบบเดิม และคุณลักษณะในตัวที่ไม่ปลอดภัย โดยแต่ละส่วนจะเปิดเผยสภาพแวดล้อมของตนต่อ TTP ที่เกี่ยวข้องกับข้อมูลประจำตัว เช่น การเข้าถึงข้อมูลรับรอง การเพิ่มระดับสิทธิ์ หรือการเคลื่อนย้ายด้านข้าง นี่คือเหตุผลที่เราเรียกพวกเขา การเปิดเผยข้อมูลภัยคุกคาม (ITE)
รายงานตัวตนใต้ดิน เป็นรายงานฉบับแรกที่ให้ความกระจ่างในมุมมืดของโครงสร้างพื้นฐานด้านการระบุตัวตน โดยเผยให้เห็น ITE ที่แพร่หลาย มีผลกระทบ และใช้ประโยชน์ได้มากที่สุด พูดง่ายๆ ก็คือ อย่างน้อยก็มีบางส่วนอาศัยอยู่ในสภาพแวดล้อมของคุณ
รายงานไฮไลท์: Active Directory ITE เป็นอันตรายต่อสภาพแวดล้อม SaaS
ข้อมูลเชิงลึกที่สำคัญ #1: Active Directory (AD) กำลังเผชิญกับภัยคุกคามด้านข้อมูลประจำตัวอย่างร้ายแรง
ประมาณ 90% ขององค์กรใช้ระบบไฮบริด โครงสร้างพื้นฐานด้านข้อมูลประจำตัว. ซึ่งหมายความว่า Active Directory (AD) ยังคงมีบทบาทสำคัญในไดเร็กทอรีระบบคลาวด์หรือเซิร์ฟเวอร์รวม
อย่างไรก็ตาม AD เต็มไปด้วยการกำหนดค่าที่ไม่ถูกต้อง โครงสร้างพื้นฐานแบบเดิม และฟีเจอร์ที่ไม่ปลอดภัยในตัว สิ่งเหล่านี้ร่วมกับการทุจริตต่อหน้าที่ทั่วไป ทำให้กลายเป็นพื้นที่การโจมตีที่มีความยืดหยุ่นต่ำมาก กล่าวง่ายๆ ก็คือ ผู้โจมตีสามารถใช้สภาพแวดล้อม AD เพื่อแอบผ่านไปยังสภาพแวดล้อมเป้าหมายสำหรับแรนซัมแวร์ การโจรกรรมข้อมูล หรือวัตถุประสงค์อื่นใดได้อย่างง่ายดาย รายงานนี้เปิดเผยสิ่งที่โดดเด่นที่สุด
ข้อมูลเชิงลึกที่สำคัญ #2: การเปิดเผยของ AD ต่อภัยคุกคามด้านข้อมูลประจำตัวยังเป็นอันตรายต่อสภาพแวดล้อม SaaS อีกด้วย
แนวทางปฏิบัติทั่วไปในการซิงค์รหัสผ่าน AD กับ Cloud Identity Provider (IdP) ขององค์กรมีประโยชน์ด้านประสิทธิภาพการทำงานอย่างมาก นอกจากนี้ยังสามารถสร้างความเสี่ยงต่อภัยคุกคามร้ายแรงได้
พิจารณาสิ่งนี้: เมื่อมีการซิงค์รหัสผ่าน ผู้โจมตีสามารถใช้รหัสผ่านที่พวกเขาละเมิดในสภาพแวดล้อม AD สำหรับการเข้าถึงสภาพแวดล้อม SaaS โดยประสงค์ร้าย ตามรายงานแสดงให้เห็นว่า ITE ที่เปิดเผยรหัสผ่านผู้ใช้ในสภาพแวดล้อม AD นั้นแพร่หลายอย่างมาก ทำให้ผู้โจมตีสามารถใช้การตั้งค่าภายในองค์กรเพื่อละเมิดระบบคลาวด์ได้
ความรู้มีความสำคัญ: ความเสี่ยงต่อภัยคุกคามด้านข้อมูลประจำตัวในสภาพแวดล้อมของฉันคืออะไร
บทบาทหลักของรายงานคือการช่วยให้คุณดำเนินการได้ สภาพแวดล้อมของคุณเทียบกับตัวเลขโดยเฉลี่ยอย่างไร คุณมีผู้ดูแลระบบเงา ผู้ใช้ที่ใช้ร่วมกัน หรือมีการรับส่งข้อมูลการตรวจสอบสิทธิ์ NTLM จำนวนมากหรือไม่ มีบัญชีบริการที่ซิงค์กับ Cloud IdP ของคุณโดยไม่ได้ตั้งใจหรือไม่ และอื่น ๆ และอื่น ๆ.
รายงานตัวตนใต้ดิน จะไม่ให้คำตอบเหล่านี้แก่คุณ แต่จะนำคุณไปสู่คำถามที่ถูกต้องเพื่อขอให้ค้นพบความยืดหยุ่นในตัวตนที่แท้จริงของคุณ