Hasta hace apenas un par de años, solo un puñado de profesionales de IAM sabían qué eran las cuentas de servicio. En los últimos años, estas cuentas silenciosas de identidades no humanas (NHI) se han convertido en Una de las superficies de ataque más específicas y comprometidas.Las evaluaciones indican que las cuentas de servicio comprometidas desempeñan un papel clave en el movimiento lateral en más del 70 % de los ataques de ransomware. Sin embargo, existe una desproporción alarmante entre la exposición a la vulneración de las cuentas de servicio y el impacto potencial, y las medidas de seguridad disponibles para mitigar este riesgo.
En este artículo, exploramos qué hace que las cuentas de servicio sean un objetivo tan lucrativo, por qué están más allá del alcance de la mayoría de los controles de seguridad y cómo el nuevo enfoque de seguridad de identidad unificada puede Evitar que las cuentas de servicio se vean comprometidas y sean objeto de abuso.
Cuentas de servicio de Active Directory 101: identidades no humanas utilizadas para M2M
En un Entorno de Active Directory (AD)Las cuentas de servicio son cuentas de usuario que no están asociadas con seres humanos, pero se utilizan para la comunicación entre máquinas. Las crean los administradores para automatizar tareas repetitivas o durante el proceso de instalación de software local. Por ejemplo, si tiene un EDR en su entorno, hay una cuenta de servicio que es responsable de obtener actualizaciones para el agente de EDR en su punto final y servidores. Además de ser una NHI, las cuentas de servicio no son diferentes a cualquier otra cuenta de usuario en AD.
¿Por qué los atacantes atacan las cuentas de servicio?
Los actores de ransomware se basan en cuentas de AD comprometidas (preferentemente, las privilegiadas) para el movimiento lateral. Un actor de ransomware llevaría a cabo dicho movimiento lateral hasta obtener un punto de apoyo lo suficientemente fuerte como para cifrar varias máquinas con un solo clic. Por lo general, lo lograrían accediendo a un controlador de dominio u otro servidor que se use para la distribución de software y abusando del recurso compartido de red para ejecutar la carga útil del ransomware en tantas máquinas como sea posible.
Si bien cualquier cuenta de usuario es adecuada para este propósito, las cuentas de servicio son las más adecuadas debido a las siguientes razones:
Privilegios de acceso elevados
La mayoría de las cuentas de servicio se crean para acceder a otras máquinas, lo que implica inevitablemente que tienen los privilegios de acceso necesarios para iniciar sesión y ejecutar código en esas máquinas. Esto es exactamente lo que buscan los actores de amenazas, ya que comprometer estas cuentas les daría la capacidad de acceder y ejecutar su carga maliciosa.
Baja visibilidad
Algunas cuentas de servicio, especialmente aquellas que están asociadas con un software instalado localmente, son conocidas por el personal de TI y de IAM. Sin embargo, muchas son creadas ad hoc por el personal de TI y de identidad sin documentación. Esto hace que la tarea de mantener una El inventario monitoreado de cuentas de servicio es casi imposibleEsto resulta beneficioso para los atacantes, ya que comprometer y abusar de una cuenta no monitoreada tiene muchas más posibilidades de pasar desapercibido para la víctima del ataque.
Falta de controles de seguridad
Las medidas de seguridad comunes que se utilizan para prevenir la vulneración de cuentas son MFA y PAM. MFA no se puede aplicar a las cuentas de servicio porque no son humanas y no poseen un teléfono, un token de hardware ni ningún otro factor adicional que se pueda utilizar para verificar su identidad más allá de su nombre de usuario y contraseñas. Las soluciones PAM también tienen problemas con la protección de las cuentas de servicio. La rotación de contraseñas, que es el principal control de seguridad que utilizan las soluciones PAM, no se puede aplicar a las cuentas de servicio debido a la preocupación de que su autenticación falle y se interrumpan los procesos críticos que administran. Esto deja a las cuentas de servicio prácticamente desprotegidas.
¿Quiere obtener más información sobre cómo proteger sus cuentas de servicio? Explore nuestro libro electrónico, Cómo superar los puntos ciegos de seguridad de las cuentas de serviciopara obtener más información sobre los desafíos de proteger las cuentas de servicio y obtener orientación sobre cómo combatir estos problemas.
Realidad en bytes: Toda empresa es una víctima potencial, independientemente de su vertical y tamaño.
Se dijo alguna vez que el ransomware es el gran democratizador que no discrimina entre las víctimas en función de ninguna característica. Esto es más cierto que nunca en lo que respecta a las cuentas de servicio. En los últimos años, Hemos investigado incidentes En empresas de 200 a 200.000 empleados en los sectores financiero, manufacturero, minorista, de telecomunicaciones y muchos otros. En 8 de cada 10 casos, su intento de movimiento lateral implicó la vulneración de cuentas de servicios.
Como siempre, los atacantes nos enseñan mejor dónde están nuestros eslabones más débiles.
La solución de Silverfort: Plataforma de seguridad de identidad unificada
La categoría emergente de seguridad de la identidad presenta la posibilidad de dar vuelta la situación y poner fin a la libertad de acción que hasta ahora han tenido los adversarios en las cuentas de servicio. La plataforma de seguridad de la identidad de Silverfort está construida sobre una tecnología patentada que le permite tener visibilidad continua, análisis de riesgos y aplicación activa de cualquier autenticación de AD, incluidas, por supuesto, las realizadas por las cuentas de servicio.
Veamos cómo se utiliza esto para evitar que los atacantes los utilicen para obtener acceso malicioso.
Protección de cuentas de servicio de Silverfort: detección, creación de perfiles y protección automatizados
Silverfort permite a los equipos de identidad y seguridad Mantener seguras sus cuentas de servicio de la siguiente manera:
Descubrimiento automatizado
Silverfort ve y analiza cada autenticación de AD. Esto facilita que su motor de inteligencia artificial identifique las cuentas que presentan el comportamiento determinista y predecible que caracteriza a las cuentas de servicio. Después de un breve período de aprendizaje, Silverfort proporciona a sus usuarios un inventario completo de sus cuentas de servicio, incluidos sus niveles de privilegio, orígenes y destinos, y otros datos que trazan el comportamiento de cada una.
Análisis del comportamiento
Para cada cuenta de servicio identificada, Silverfort define una línea base de comportamiento que incluye las fuentes y los destinos que utiliza normalmente. El motor de Silverfort aprende y enriquece continuamente esta línea base para capturar el comportamiento de la cuenta con la mayor precisión posible.
Esgrima virtual
En función de la línea base de comportamiento, Silverfort crea automáticamente una política para cada cuenta de servicio que activa una acción de protección ante cualquier desviación de la cuenta de su comportamiento estándar. Esta acción puede ser una simple alerta o incluso un bloqueo total del acceso. De esa manera, incluso si las credenciales de la cuenta de servicio se ven comprometidas, el adversario no podrá usarlas para acceder a ningún recurso más allá de los incluidos en la línea base. Todo lo que debe hacer el usuario de Silverfort es habilitar la política sin ningún esfuerzo adicional.
Conclusión: es el momento de actuar. Asegúrese de que sus cuentas de servicio estén protegidas
Es mejor que controle sus cuentas de servicio antes de que lo hagan sus atacantes. Esta es la verdadera vanguardia del panorama de amenazas actual. ¿Tiene una forma de ver, monitorear y proteger sus cuentas de servicio para que no sean atacadas? Si la respuesta es no, es solo cuestión de tiempo antes de que se una a las estadísticas de ransomware.
¿Quiere obtener más información sobre la protección de cuentas de servicio de Silverfort? Visite nuestra sitio web o comuníquese con uno de nuestros expertos para obtener una manifestación.