Esta es una pregunta dif\u00edcil de responder: “\u00bfCu\u00e1ntas cuentas de servicio tiene en su entorno?”. Una m\u00e1s dif\u00edcil es: ‘\u00bfSabes lo que est\u00e1n haciendo estas cuentas?’. Y lo m\u00e1s dif\u00edcil es probablemente: ‘Si alguna de sus cuentas de servicio se viera comprometida y se usara para acceder a los recursos, \u00bfpodr\u00eda detectarlo y detenerlo en tiempo real?’. <\/p>\n
Dado que la mayor\u00eda de los equipos de identidad y seguridad dar\u00edan una respuesta negativa, no es de extra\u00f1ar que Una de las acciones inmediatas que realizan los atacantes de hoy en d\u00eda despu\u00e9s de un punto final inicial comprometido es buscar cuentas de servicio no vigiladas.<\/strong> Y es a\u00fan menos sorprendente que, en la mayor\u00eda de los casos, logren encontrar uno y lo aprovechen para propagarse en todo el entorno, siendo notados solo cuando es demasiado tarde, despu\u00e9s de que las estaciones de trabajo y el servidor fueron encriptados por ransomware o se robaron datos confidenciales. <\/p>\n En este art\u00edculo, desglosamos las razones que han causado que las cuentas de servicio se conviertan en una de las debilidades m\u00e1s peligrosas en un entorno de Active Directory, explicamos c\u00f3mo este poder de debilidad alimenta los ataques de ransomware y, finalmente, conocemos c\u00f3mo la plataforma de protecci\u00f3n de identidad unificada de Silverfort permite a las organizaciones superar lo que hasta ahora era un reto de seguridad insoluble.<\/p>\n Cuentas de usuario<\/strong> son uno de los pilares fundamentales del entorno empresarial. Intuitivamente, asociamos cuentas de usuario con personas reales. Sin embargo, tambi\u00e9n existen cuentas de usuario que no est\u00e1n asociadas a ning\u00fan ser humano. Estas cuentas se crean para la comunicaci\u00f3n de m\u00e1quina a m\u00e1quina, la automatizaci\u00f3n de tareas repetitivas y otras tareas que deben realizarse en segundo plano sin intervenci\u00f3n humana. Generalmente se conocen como ‘cuentas de servicio’ y, aparte de su disociaci\u00f3n de una persona real, son id\u00e9nticas en todos los aspectos a las otras cuentas de usuario ‘asociadas a personas’. <\/p>\n Estas cuentas de servicio se crean de dos maneras principales. El primero, es un personal de TI que determina que cierta higiene, monitoreo o cualquier otra tarea ser\u00eda mejor realizada de manera automatizada, en lugar de manual. El segundo, est\u00e1 en el curso de la instalaci\u00f3n de un software empresarial local. En ese caso, algunas cuentas de servicio se crean seg\u00fan las instrucciones del software espec\u00edfico, en el curso de la instalaci\u00f3n misma, y \u200b\u200bse encargan de escanear, distribuir actualizaciones y tareas de mantenimiento similares. <\/p>\n Comprendamos qu\u00e9 hace que las cuentas de servicio sean una superficie de ataque desatendida:<\/p>\n Hay innumerables cuentas de servicio en cualquier organizaci\u00f3n determinada. Estas cuentas pueden convertirse en activos de alto riesgo que, si no se controlan, pueden permitir que las amenazas se propaguen por toda la red sin ser detectadas. Consulte este libro electr\u00f3nico para descubrir 4 pasos simples que le ayudar\u00e1n a mantener seguras sus cuentas de servicio.<\/p>\n<\/div>\n <\/p>\n Supongamos que un actor de ransomware ha comprometido con \u00e9xito un punto final (la estaci\u00f3n de trabajo o el servidor son lo mismo). Esto, por supuesto, es solo el primer paso. El siguiente paso es comenzar a escanear el entorno para descubrir cuentas de usuario comprometidas que permitir\u00edan al adversario moverse lateralmente dentro del entorno y plantar la carga \u00fatil del ransomware en tantas m\u00e1quinas como sea posible. <\/p>\n Pero, \u00bfqu\u00e9 cuenta elegir? El adversario necesita una cuenta lo suficientemente privilegiada<\/strong> para acceder a otros servidores y estaciones de trabajo. Pero tambi\u00e9n debe ser un cuenta que se puede utilizar bajo el radar sin llamar la atenci\u00f3n no deseada.<\/strong><\/p>\n Esta es la raz\u00f3n por las cuentas de servicio son el mejor objetivo de compromiso. <\/strong>Los atacantes saben que existe una buena posibilidad, que nadie est\u00e1 mirando esta cuenta, o mejor a\u00fan, que nadie ni siquiera sabe<\/em> que esta cuenta existe. Podr\u00eda haber sido creado hace a\u00f1os por un administrador que desde entonces dej\u00f3 la empresa sin molestarse en eliminar las cuentas de servicio que cre\u00f3. <\/p>\n El siguiente diagrama muestra un ataque de muestra, uno de los muchos que hemos analizado en el \u00faltimo a\u00f1o, en el que el adversario utiliz\u00f3 una cuenta de servicio de Exchange Server comprometida para la primera parte de su movimiento lateral, seguido de un compromiso adicional de las credenciales de un administrador.<\/p>\n Vea los detalles de cada etapa a continuaci\u00f3n:<\/p>\n El famoso ataque a Uber ocurrido hace unos meses incorpor\u00f3 un importante uso de compromiso y uso de cuenta de servicio. En ese caso, era una cuenta de servicio que tiene acceso al PAM. Los atacantes encontraron el script con las credenciales de la cuenta de servicio en una unidad de red compartida y lo utilizaron para extraer contrase\u00f1as de m\u00faltiples recursos de la b\u00f3veda de PAM.<\/p>\n Vea los detalles de cada etapa a continuaci\u00f3n:<\/p>\n La plataforma de protecci\u00f3n de identidad unificada de Silverfort es la primera soluci\u00f3n que automatiza completamente el ciclo de vida de seguridad de la cuenta de servicio con un esfuerzo casi nulo por parte del usuario:<\/p>\n La integraci\u00f3n nativa de Silverfort con Active Directory le permite analizar cada intento de acceso y autenticaci\u00f3n entrante de todas las cuentas de usuario, y detectar f\u00e1cilmente si una cuenta presenta el comportamiento predecible y repetitivo que diferencia las cuentas de servicio de los usuarios est\u00e1ndar. Seg\u00fan este an\u00e1lisis, Silverfort genera una salida de todas las cuentas de servicio dentro del entorno. Adem\u00e1s, este descubrimiento va m\u00e1s all\u00e1 de una lista de cuentas para mostrar tambi\u00e9n los privilegios de la cuenta, sus or\u00edgenes y destinos, el nivel de actividad y otras caracter\u00edsticas de comportamiento. <\/p>\n Silverfort identifica el comportamiento b\u00e1sico de cada cuenta de servicio y monitorea continuamente su actividad. Para una cuenta de servicio, la indicaci\u00f3n m\u00e1s clara de compromiso es una desviaci\u00f3n de su comportamiento fijo, por lo que siempre que ocurra una desviaci\u00f3n, como acceder a una nueva estaci\u00f3n de trabajo o servidor, o aumentar repentinamente el volumen de actividad, el motor de Silverfort elevar\u00e1 el puntaje de riesgo de la cuenta. <\/p>\n Silverfort automatiza la creaci\u00f3n de una pol\u00edtica de acceso para cada una de las cuentas de servicio que descubre. Esta pol\u00edtica se activa cuando la cuenta de servicio se desv\u00eda de su comportamiento normal (como se explic\u00f3 anteriormente) o cuando su nivel de riesgo aumenta debido a amenazas de identidad detectadas (Pass-the-Hash, Kerberoasting, Pass-the-Ticket, etc.). La pol\u00edtica puede desencadenar una alerta o el bloqueo real del acceso a la cuenta de servicio, seg\u00fan la configuraci\u00f3n del usuario. La \u00fanica interacci\u00f3n requerida por parte del usuario es hacer clic en el bot\u00f3n de activaci\u00f3n de la pol\u00edtica.<\/p>\n \u00bfEst\u00e1 buscando una forma de proteger sus cuentas de servicio? programar una llamada<\/a> con uno de nuestros expertos para saber c\u00f3mo puede ayudar Silverfort.<\/p>\n <\/p>\nCuentas de servicio: cuentas de usuario que no est\u00e1n asociadas con ninguna persona real y se utilizan para la comunicaci\u00f3n de m\u00e1quina a m\u00e1quina<\/h3>\n
Desaf\u00edos de seguridad de la cuenta de servicio: invisible, altamente privilegiado y extremadamente dif\u00edcil de proteger<\/h3>\n
\n
4 pasos para la seguridad integral de la cuenta de servicio<\/h3>\n
C\u00f3mo los atacantes aprovechan las cuentas de servicio de bajo costo para el movimiento lateral y la propagaci\u00f3n del ransomware<\/h3>\n
Ejemplo de ataque de cuenta de servicio n.\u00ba 1: Patr\u00f3n de ataque de ransomware utilizando la cuenta de servicio de Microsoft Exchange Server comprometida<\/h3>\n
![\"Desaf\u00edo](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/04\/1681317286_900_El-desafio-de-las-cuentas-de-servicio-no-puede-verlas.png\" "\\"Desaf\u00edo")
<\/div>\n\n
Ejemplo de ataque a cuenta de servicio n.\u00ba 2: movimiento lateral en el entorno h\u00edbrido de Uber <\/h3>\n
![\"Desaf\u00edo](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/04\/1681317287_312_El-desafio-de-las-cuentas-de-servicio-no-puede-verlas.png\" "\\"Desaf\u00edo")
<\/div>\n\n
Descubrimiento, monitoreo y protecci\u00f3n automatizados de Silverfort para cuentas de servicio<\/h3>\n
Descubrimiento de todas las cuentas de servicio y mapeo de su actividad<\/strong><\/h4>\n
An\u00e1lisis de riesgo continuo para revelar si una cuenta de servicio muestra indicios de compromiso<\/strong><\/h4>\n
Protecci\u00f3n activa con pol\u00edticas creadas autom\u00e1ticamente, activadas con un solo clic<\/strong><\/h4>\n