Silverfort

รายงานตัวตนใต้ดิน

ช่องว่างด้านความปลอดภัยของข้อมูลระบุตัวตนที่พบบ่อยที่สุดซึ่งนำไปสู่การประนีประนอม

รับรายงานฉบับเต็ม

การป้องกันของคุณสูงเสียดฟ้า - แต่ใต้ดินคุณถูกเปิดเผย

เราสังเกตเห็นช่องว่างในการวิจัยด้านความปลอดภัยทางไซเบอร์ รายงานภัยคุกคามส่วนใหญ่ที่มีอยู่ในปัจจุบันมีรายละเอียดที่ดีเกี่ยวกับมัลแวร์ ผู้ก่อภัยคุกคาม และห่วงโซ่การโจมตี แต่มีข้อมูลน้อยมากเกี่ยวกับช่องว่างและจุดอ่อนของตัวตนที่มีส่วนร่วมในการโจมตีทางไซเบอร์เกือบทุกครั้ง เราตัดสินใจที่จะเปลี่ยนแปลงสิ่งนั้น

Identity Underground เป็นความพยายามครั้งแรกในการจัดทำแผนผังจุดอ่อนด้านความปลอดภัยของข้อมูลระบุตัวตนที่สำคัญที่สุด ซึ่งนำไปสู่การขโมยข้อมูลประจำตัว การเพิ่มระดับสิทธิพิเศษ หรือการเคลื่อนไหวด้านข้าง ทั้งภายในองค์กรและในระบบคลาวด์ ไม่ใช่ช่องโหว่หรือการโจมตีในตัวเอง แต่เป็นจุดอ่อนโดยธรรมชาติในโครงสร้างพื้นฐานข้อมูลประจำตัวที่ผู้คุกคามใช้เป็นประจำในการโจมตี ด้วยเหตุนี้ เราจึงตัดสินใจเรียกช่องว่างเหล่านี้ว่า Identity Threat Exposures (ITE)

ข้อมูลในรายงานนี้รวบรวมจากสภาพแวดล้อมการใช้งานจริงหลายร้อยรายการ ความหวังของเราก็คือ Identity Underground สามารถช่วยทีมข้อมูลประจำตัวและทีมรักษาความปลอดภัยในการวัดประสิทธิภาพโปรแกรมความปลอดภัยของพวกเขา และช่วยให้พวกเขาตัดสินใจได้อย่างมีข้อมูลว่าจะลงทุนด้านการรักษาความปลอดภัยของข้อมูลประจำตัวที่ไหน

อาร์ตบอร์ด 1@3x

คุณรู้หรือไม่?

ของผู้ใช้ทั้งหมดคือบัญชีบริการที่มีสิทธิ์การเข้าถึงสูงและการมองเห็นต่ำ

0 %

ของบัญชีผู้ใช้เก่าและไม่ได้ดำเนินกิจกรรมใดๆ

0 %

ของบัญชีผู้ดูแลระบบได้รับการกำหนดค่าให้มีการมอบหมายที่ไม่จำกัด

0 %

Identity Threat Exposures (ITE) เปิดองค์กรของคุณให้พร้อมรับการโจมตี

Identity Underground จัดทำแผนที่ ITE ที่สำคัญที่สุดซึ่งอนุญาตให้ผู้โจมตีเข้าถึงข้อมูลประจำตัว ยกระดับสิทธิ์ และย้ายออกไปในแนวขวาง ทั้งภายในสถานที่และบนคลาวด์ เราได้แบ่งประเภทออกเป็นสี่ประเภท ได้แก่ ผู้เปิดเผยรหัสผ่าน ผู้เลื่อนระดับสิทธิ์ ผู้ย้ายในแนวขวาง และตัวหลบเลี่ยงการป้องกัน ITE กำจัดได้ยากและอาจเกิดจากการกำหนดค่าผิดพลาด การปฏิบัติที่ไม่เหมาะสม โครงสร้างพื้นฐานด้านข้อมูลประจำตัวที่ล้าสมัย หรือแม้แต่ฟีเจอร์ในตัว ITE เหล่านี้อยู่เบื้องหลังการขโมยข้อมูลประจำตัวและการย้ายในแนวขวางที่เพิ่มขึ้นอย่างรวดเร็ว ซึ่งเป็นฟีเจอร์ของการโจมตีเกือบทุกครั้ง ITE ในรายงานนี้ได้รับการพิสูจน์แล้วว่าแพร่หลาย มีผลกระทบ และพร้อมให้ผู้โจมตีใช้ประโยชน์ แม้ว่าจะมี ITE หลายประเภท แต่เราได้รวมเฉพาะ ITE ที่ก่อให้เกิดความเสี่ยงที่องค์กรทุกแห่งอาจประสบ

1

ผู้เปิดเผยรหัสผ่าน

ช่วยให้ผู้โจมตีเคลื่อนที่ไปด้านข้างโดยไม่ถูกตรวจพบ

เทคนิค MITER ATT&CK ที่เกี่ยวข้อง: การเพิ่มสิทธิพิเศษ

ตัวอย่าง:

  • การรับรองความถูกต้อง NTLM
  • การรับรองความถูกต้อง NTLMv1
  • ผู้ดูแลระบบที่มี SPN
2

สิทธิพิเศษบันไดเลื่อน

ช่วยให้ผู้โจมตีเคลื่อนที่ไปด้านข้างโดยไม่ถูกตรวจพบ

เทคนิค MITER ATT&CK ที่เกี่ยวข้อง: การเพิ่มสิทธิพิเศษ

ตัวอย่าง:

  • ผู้ดูแลระบบเงา
  • การมอบหมายที่ไม่มีข้อจำกัด
3

ตัวย้ายด้านข้าง

ช่วยให้ผู้โจมตีสามารถเพิ่มสิทธิ์การเข้าถึงที่มีอยู่ได้

เทคนิค MITER ATT&CK ที่เกี่ยวข้อง: การเคลื่อนไหวด้านข้าง

ตัวอย่าง:

  • บัญชีบริการ
  • ผู้ใช้ที่อุดมสมบูรณ์
5
1

ถอดรหัสได้อย่างง่ายดายด้วยการโจมตีแบบ brute-force การรับรองความถูกต้องของ NTLM เป็นเป้าหมายหลักสำหรับผู้โจมตีที่ต้องการขโมยข้อมูลประจำตัวและเจาะลึกเข้าไปในสภาพแวดล้อม

การวิจัยล่าสุดโดย การรักษาความปลอดภัยแบบพิสูจน์อักษร แสดงภัยคุกคาม TA577 ที่ขโมยข้อมูลการตรวจสอบสิทธิ์ NTLM เพื่อรับรหัสผ่าน นี่เป็นอีกตัวอย่างหนึ่งของ Password Exposer ITE

รับรายงานฉบับเต็ม

1

เป็นเรื่องปกติสำหรับ Active Directory (AD) เพื่อซิงค์แฮชของผู้ใช้กับ Cloud IdP เพื่อให้ผู้ใช้สามารถเข้าถึงแอป SaaS ด้วยข้อมูลประจำตัวเดียวกันกับทรัพยากรภายในองค์กร

ด้วยการซิงค์รหัสผ่านผู้ใช้ในลักษณะนี้ องค์กรจะย้ายจุดอ่อนของข้อมูลประจำตัวภายในองค์กรไปยังระบบคลาวด์โดยไม่ได้ตั้งใจ และสร้าง Password Exposer ITE ผู้โจมตีรวมทั้ง กลุ่มมัลแวร์เรียกค่าไถ่ Alphv BlackCatเป็นที่รู้กันว่าสามารถแฮ็กสภาพแวดล้อมคลาวด์จากการตั้งค่าภายในองค์กรได้

รับรายงานฉบับเต็ม

6
7
2

การกำหนดค่าผิดพลาดเพียงครั้งเดียวในไฟล์ Active Directory บัญชีสร้างผู้ดูแลระบบเงาใหม่โดยเฉลี่ย 109 คน 

ผู้ดูแลระบบ Shadow คือบัญชีผู้ใช้ที่มีอำนาจในการรีเซ็ตรหัสผ่านหรือจัดการบัญชีด้วยวิธีอื่น ผู้โจมตีถือว่า Privilege Escalators ใช้ Shadow Admins เพื่อเปลี่ยนการตั้งค่า การอนุญาต และให้สิทธิ์ตัวเองในการเข้าถึงเครื่องได้มากขึ้นเมื่อพวกเขาเจาะลึกเข้าไปในสภาพแวดล้อม

รับรายงานฉบับเต็ม

3

เกือบหนึ่งในสามของบัญชีผู้ใช้ทั้งหมดเป็นบัญชีบริการที่มีสิทธิพิเศษสูง 

บัญชีบริการใช้สำหรับการสื่อสารแบบเครื่องต่อเครื่อง และเป็นข้อมูลระบุตัวตนที่มีสิทธิ์เข้าถึงและสิทธิพิเศษมากมาย เป้าหมายของผู้โจมตี บัญชีบริการเนื่องจากมักถูกมองข้ามโดยทีมรักษาความปลอดภัย เท่านั้น 20% ของบริษัทมีความมั่นใจสูง พวกเขาสามารถเข้าถึงบัญชีบริการทุกบัญชีและสามารถปกป้องบัญชีเหล่านั้นได้ เราพิจารณาบัญชีบริการที่ไม่รู้จัก Lateral Mover ITE

รับรายงานฉบับเต็ม

6

สิ่งที่คุณสามารถทำได้ในวันนี้เพื่อปกป้ององค์กรของคุณ

ตัวตนยังคงเป็นส่วนที่แอบแฝงอยู่ในการโจมตีเกือบทุกครั้ง โลกใต้ดินของการเปิดเผยภัยคุกคามตัวตนมีส่วนทำให้การโจมตีตัวตนขององค์กรเกิดขึ้น ข่าวดีก็คือมีการดำเนินการบางอย่างที่คุณสามารถทำได้ตั้งแต่วันนี้เพื่อกำจัด ITE เหล่านี้และเสริมความปลอดภัยให้กับตัวตนของคุณ

01

รู้ว่าจุดใดที่คุณสัมผัสได้และกำจัดความเสี่ยงหากเป็นไปได้

มองเห็น ITE ในสภาพแวดล้อมของคุณ ปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดของ Microsoft และกำจัด ITE ใดๆ ที่เป็นผลมาจากการปฏิบัติที่ไม่เหมาะสมหรือการกำหนดค่าที่ไม่ถูกต้อง

02

ควบคุมและติดตามความเสี่ยงที่มีอยู่

สำหรับ ITE ที่ไม่สามารถกำจัดได้ เช่น บัญชีบริการหรือการใช้ NTLM ให้ตรวจสอบบัญชีเหล่านี้อย่างใกล้ชิดเพื่อหาสัญญาณของการประนีประนอม

03

ใช้มาตรการป้องกัน

ใช้กฎการแบ่งส่วนข้อมูลประจำตัวหรือนโยบาย MFA เพื่อปกป้องบัญชีผู้ใช้และบังคับใช้นโยบายการเข้าถึงกับบัญชีบริการของคุณ

04

เชื่อมต่อทีมข้อมูลประจำตัวและความปลอดภัย

รวมความเชี่ยวชาญด้านข้อมูลประจำตัวและทีมรักษาความปลอดภัยของคุณเพื่อจัดลำดับความสำคัญและดำเนินการแก้ไขกับ ITE 

รับรายงานฉบับแรกของโลก 100% ที่เน้นการเปิดเผยความเสี่ยงต่อภัยคุกคามด้านข้อมูลประจำตัว