ช่องว่างด้านความปลอดภัยของข้อมูลระบุตัวตนที่พบบ่อยที่สุดซึ่งนำไปสู่การประนีประนอม
เราสังเกตเห็นช่องว่างในการวิจัยด้านความปลอดภัยทางไซเบอร์ รายงานภัยคุกคามส่วนใหญ่ที่มีอยู่ในปัจจุบันมีรายละเอียดที่ดีเกี่ยวกับมัลแวร์ ผู้ก่อภัยคุกคาม และห่วงโซ่การโจมตี แต่มีข้อมูลน้อยมากเกี่ยวกับช่องว่างและจุดอ่อนของตัวตนที่มีส่วนร่วมในการโจมตีทางไซเบอร์เกือบทุกครั้ง เราตัดสินใจที่จะเปลี่ยนแปลงสิ่งนั้น
Identity Underground เป็นความพยายามครั้งแรกในการจัดทำแผนผังจุดอ่อนด้านความปลอดภัยของข้อมูลระบุตัวตนที่สำคัญที่สุด ซึ่งนำไปสู่การขโมยข้อมูลประจำตัว การเพิ่มระดับสิทธิพิเศษ หรือการเคลื่อนไหวด้านข้าง ทั้งภายในองค์กรและในระบบคลาวด์ ไม่ใช่ช่องโหว่หรือการโจมตีในตัวเอง แต่เป็นจุดอ่อนโดยธรรมชาติในโครงสร้างพื้นฐานข้อมูลประจำตัวที่ผู้คุกคามใช้เป็นประจำในการโจมตี ด้วยเหตุนี้ เราจึงตัดสินใจเรียกช่องว่างเหล่านี้ว่า Identity Threat Exposures (ITE)
ข้อมูลในรายงานนี้รวบรวมจากสภาพแวดล้อมการใช้งานจริงหลายร้อยรายการ ความหวังของเราก็คือ Identity Underground สามารถช่วยทีมข้อมูลประจำตัวและทีมรักษาความปลอดภัยในการวัดประสิทธิภาพโปรแกรมความปลอดภัยของพวกเขา และช่วยให้พวกเขาตัดสินใจได้อย่างมีข้อมูลว่าจะลงทุนด้านการรักษาความปลอดภัยของข้อมูลประจำตัวที่ไหน
ของผู้ใช้ทั้งหมดคือบัญชีบริการที่มีสิทธิ์การเข้าถึงสูงและการมองเห็นต่ำ
ของบัญชีผู้ใช้เก่าและไม่ได้ดำเนินกิจกรรมใดๆ
ของบัญชีผู้ดูแลระบบได้รับการกำหนดค่าให้มีการมอบหมายที่ไม่จำกัด
Identity Underground แมป ITE ที่สำคัญที่สุดที่อนุญาตให้ผู้โจมตีเข้าถึงข้อมูลประจำตัว เพิ่มระดับสิทธิ์ และย้ายด้านข้าง ทั้งภายในองค์กรและในระบบคลาวด์ เราได้จำแนกพวกมันออกเป็นสี่ประเภท: ผู้เปิดเผยรหัสผ่าน, ตัวเลื่อนสิทธิพิเศษ, ตัวย้ายด้านข้าง และตัวหลบการป้องกัน ITE นั้นกำจัดได้ยากและอาจเป็นผลมาจากการกำหนดค่าที่ไม่ถูกต้อง การทุจริตต่อหน้าที่ โครงสร้างพื้นฐานข้อมูลประจำตัวแบบเดิม หรือแม้แต่คุณลักษณะในตัว พวกเขาอยู่เบื้องหลังการเพิ่มขึ้นของการขโมยข้อมูลประจำตัวและ การเคลื่อนไหวด้านข้างซึ่งเป็นคุณลักษณะหนึ่งของการโจมตีเกือบทุกรูปแบบ ITE ในรายงานนี้ได้รับการพิสูจน์แล้วว่าแพร่หลาย มีผลกระทบ และพร้อมให้ผู้โจมตีใช้ประโยชน์ได้ แม้ว่าจะมี ITE หลายประเภท แต่เรารวมเฉพาะประเภทที่ก่อให้เกิดความเสี่ยงที่ทุกองค์กรน่าจะประสบเท่านั้น
ไอที 1
อนุญาตให้ผู้โจมตีเข้าถึงรหัสผ่านข้อความที่ชัดเจนของบัญชีผู้ใช้
เทคนิค MITER ATT&CK ที่เกี่ยวข้อง: การเข้าถึงข้อมูลประจำตัว
ตัวอย่าง:
ไอที 2
ช่วยให้ผู้โจมตีเคลื่อนที่ไปด้านข้างโดยไม่ถูกตรวจพบ
เทคนิค MITER ATT&CK ที่เกี่ยวข้อง: การเพิ่มสิทธิพิเศษ
ตัวอย่าง:
ไอที 3
ช่วยให้ผู้โจมตีสามารถเพิ่มสิทธิ์การเข้าถึงที่มีอยู่ได้
เทคนิค MITER ATT&CK ที่เกี่ยวข้อง: การเคลื่อนไหวด้านข้าง
ตัวอย่าง:
เป็นเรื่องปกติสำหรับ Active Directory (AD) เพื่อซิงค์แฮชของผู้ใช้กับ Cloud IdP เพื่อให้ผู้ใช้สามารถเข้าถึงแอป SaaS ด้วยข้อมูลประจำตัวเดียวกันกับทรัพยากรภายในองค์กร
ด้วยการซิงค์รหัสผ่านผู้ใช้ในลักษณะนี้ องค์กรจะย้ายจุดอ่อนของข้อมูลประจำตัวภายในองค์กรไปยังระบบคลาวด์โดยไม่ได้ตั้งใจ และสร้าง Password Exposer ITE ผู้โจมตีรวมทั้ง กลุ่มมัลแวร์เรียกค่าไถ่ Alphv BlackCatเป็นที่รู้กันว่าสามารถแฮ็กสภาพแวดล้อมคลาวด์จากการตั้งค่าภายในองค์กรได้
ถอดรหัสได้อย่างง่ายดายด้วยการโจมตีแบบ brute-force การรับรองความถูกต้องของ NTLM เป็นเป้าหมายหลักสำหรับผู้โจมตีที่ต้องการขโมยข้อมูลประจำตัวและเจาะลึกเข้าไปในสภาพแวดล้อม
การวิจัยล่าสุดโดย การรักษาความปลอดภัยแบบพิสูจน์อักษร แสดงภัยคุกคาม TA577 ที่ขโมยข้อมูลการตรวจสอบสิทธิ์ NTLM เพื่อรับรหัสผ่าน นี่เป็นอีกตัวอย่างหนึ่งของ Password Exposer ITE
การกำหนดค่าผิดพลาดเพียงครั้งเดียวในไฟล์ Active Directory บัญชีสร้างผู้ดูแลระบบเงาใหม่โดยเฉลี่ย 109 คน
ผู้ดูแลระบบ Shadow คือบัญชีผู้ใช้ที่มีอำนาจในการรีเซ็ตรหัสผ่านหรือจัดการบัญชีด้วยวิธีอื่น ผู้โจมตีถือว่า Privilege Escalators ใช้ Shadow Admins เพื่อเปลี่ยนการตั้งค่า การอนุญาต และให้สิทธิ์ตัวเองในการเข้าถึงเครื่องได้มากขึ้นเมื่อพวกเขาเจาะลึกเข้าไปในสภาพแวดล้อม
เกือบหนึ่งในสามของบัญชีผู้ใช้ทั้งหมดเป็นบัญชีบริการที่มีสิทธิพิเศษสูง
บัญชีบริการใช้สำหรับการสื่อสารแบบเครื่องต่อเครื่อง และเป็นข้อมูลระบุตัวตนที่มีสิทธิ์เข้าถึงและสิทธิพิเศษมากมาย เป้าหมายของผู้โจมตี บัญชีบริการเนื่องจากมักถูกมองข้ามโดยทีมรักษาความปลอดภัย เท่านั้น 20% ของบริษัทมีความมั่นใจสูง ว่าพวกเขาสามารถมองเห็นทุกบัญชีบริการและสามารถปกป้องพวกเขาได้ เราพิจารณาบัญชีบริการที่ไม่รู้จัก ITE ของผู้เสนอญัตติด้านข้าง
1
มองเห็น ITE ในสภาพแวดล้อมของคุณ ปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดของ Microsoft และกำจัด ITE ใดๆ ที่เป็นผลมาจากการปฏิบัติที่ไม่เหมาะสมหรือการกำหนดค่าที่ไม่ถูกต้อง
ค้นหาข้อมูลเพิ่มเติมที่นี่
2
สำหรับ ITE ที่ไม่สามารถกำจัดได้ เช่น บัญชีบริการหรือการใช้ NTLM ให้ตรวจสอบบัญชีเหล่านี้อย่างใกล้ชิดเพื่อหาสัญญาณของการประนีประนอม
ค้นหาข้อมูลเพิ่มเติมที่นี่
3
ใช้กฎการแบ่งส่วนข้อมูลประจำตัวหรือนโยบาย MFA เพื่อปกป้องบัญชีผู้ใช้และบังคับใช้นโยบายการเข้าถึงกับบัญชีบริการของคุณ
ค้นหาข้อมูลเพิ่มเติมที่นี่
4
รวมความเชี่ยวชาญด้านข้อมูลประจำตัวและทีมรักษาความปลอดภัยของคุณเพื่อจัดลำดับความสำคัญและดำเนินการแก้ไขกับ ITE
ค้นหาข้อมูลเพิ่มเติมที่นี่