Do prije samo nekoliko godina, samo je nekolicina IAM profesionalaca znala šta su to servisni nalozi. Poslednjih godina, ovi tihi nalozi neljudskih identiteta (NHI) postali su jedna od najciljanijih i najkompromitovanijih površina za napad. Procjene pokazuju da kompromitovani uslužni računi igraju ključnu ulogu u bočnom kretanju u preko 70% napada na ransomware. Međutim, postoji alarmantna nesrazmera između izloženosti i potencijalnog uticaja na račun usluga koje su ugrožene, kao i dostupnih bezbednosnih mera za ublažavanje ovog rizika.
U ovom tekstu istražujemo šta uslužne račune čini tako unosnom metom, zašto su izvan doseže većine sigurnosne kontrole i kako novi pristup objedinjene sigurnosti identiteta može spriječiti uslužne račune od kompromitovanja i zloupotrebe.
Active Directory Service nalozi 101: Ne-ljudski identiteti koji se koriste za M2M
U okruženju Active Directory (AD), uslužni nalozi su korisnički nalozi koji nisu povezani sa ljudskim bićima, ali se koriste za komunikaciju između mašina. Kreiraju ih administratori ili za automatizaciju zadataka koji se ponavljaju, ili tokom procesa instaliranja softvera na licu mjesta. Na primjer, ako imate EDR u svom okruženju, postoji uslužni račun koji je odgovoran za dohvaćanje ažuriranja EDR agenta na vašoj krajnjoj tački i serverima. Osim što su NHI, uslužni nalozi se ne razlikuju od bilo kojeg drugog korisničkog računa u AD.
Zašto napadači traže servisne naloge?
Hakeri ransomware-a oslanjaju se na kompromitovane AD naloge – po mogućnosti privilegovane – za bočno kretanje. Haker ransomware-a provodio bi takvo bočno kretanje sve dok ne dobije uporište koje je dovoljno snažno da šifrira više mašina u jednom kliku. Obično bi to postigli pristupom kontroloru domene ili drugom serveru koji se koristi za distribuciju softvera i zloupotrebom mrežnog dijeljenja kako bi izvršili ransomware korisni sadržaj na što je moguće više mašina.
Iako bi bilo koji korisnički račun odgovarao ovoj svrsi, servisni računi su najbolje prilagođeni iz sljedećih razloga:
Visoke privilegije pristupa
Većina servisnih naloga kreira se za pristup drugim mašinama. To neminovno implicira da oni imaju potrebne privilegije pristupa za prijavu i izvršavanje koda na ovim mašinama. To je upravo ono što hakeri traže, jer bi kompromitovanje ovih naloga omogućilo pristup i izvršavanje svog zlonamjernog tereta.
Niska vidljivost
Neki servisni nalozi, posebno oni koji su povezani sa instaliranim on-prem softverom, poznati su osoblju IT-a i IAM-a. Međutim, mnoge su kreirane ad-hoc od strane IT i identifikacionog osoblja bez dokumentacije. Ovo čini zadatak održavanja nadgledanog inventara uslužnih računa gotovo nemogućim. Ovo dobro igra u rukama napadača jer kompromitovanje i zloupotreba nenadgledanog naloga ima daleko veće šanse da žrtva napada ostane neotkrivena.
Nedostatak sigurnosnih kontrola
Uobičajene sigurnosne mjere koje se koriste za prevenciju kompromitacije računa su MFA i PAM. MFA se ne može primijeniti na uslužne račune jer nisu ljudi i ne posjeduju telefon, hardverski token ili bilo koji drugi dodatni faktor koji se može koristiti za provjeru njihovog identiteta osim njihovog korisničkog imena i lozinki. PAM rješenja se bore i sa zaštitom uslužnih računa. Rotacija lozinki, koja je glavna sigurnosna kontrola koju koriste PAM rješenja, ne može se primijeniti na uslužne račune zbog brige o neuspjehu njihove provjere autentičnosti i kršenju kritičnih procesa kojima upravljaju. Ovo ostavlja uslužne račune praktički nezaštićenima.
Reality bytes: Svaka kompanija je potencijalna žrtva, bez obzira na vertikalu i veličinu
Jednom se govorilo da je ransomware veliki demokratizator koji ne pravi razliku između žrtava na osnovu bilo koje karakteristike. Ovo je tačnije nego ikad u vezi sa uslužnim računima. Proteklih godina istraživali smo incidente u kompanijama od 200 do 200.000 zaposlenih u finansijama, proizvodnji, maloprodaji, telekomunikacijama i mnogim drugim. U 8 od 10 slučajeva, njihov pokušaj bočnog pomeranja je doveo do kompromitovanja računa usluga.
Kao i uvek, napadači nas najbolje uče gde su nam najslabije karike.
Silverfort-ovo rješenje: Unified Identity Security Platform
Nova sigurnosna kategorija sigurnosti identiteta uvodi mogućnost da se okrene slobodna vladavina koju su protivnici do sada uživali na računima usluga. Silverfort-ova platforma za sigurnost identiteta je izgrađena na vlasničkoj tehnologiji koja mu omogućava stalnu vidljivost, analizu rizika i aktivnu primjenu na bilo kojoj AD autentifikaciji, uključujući, naravno, one koje su napravili servisni računi.
Pogledajmo kako se ovo koristi da bi se spriječilo napadače da ih koriste za zlonamjeran pristup.
Zaštita naloga Silverfort usluge: Automatsko otkrivanje, profiliranje i zaštita
Silverfort omogućava timovima za identitet i sigurnost da svoje servisne račune čuvaju sigurnima na sljedeći način:
Automatsko otkrivanje
Silverfort vidi i analizira svaku AD autentifikaciju. Ovo olakšava njegovom motoru vještačke inteligencije da identifikuje naloge koji karakterišu determinističko i predvidljivo ponašanje koje karakteriše uslužne naloge. Nakon kratkog perioda učenja, Silverfort svojim korisnicima pruža potpun inventar njihovih uslužnih naloga, uključujući nivoe privilegija, izvore i odredišta, i druge podatke koji mapiraju ponašanje svakog od njih.
Analiza ponašanja
Za svaki identifikovani nalog usluge, Silverfort definiše osnovnu liniju ponašanja koja uključuje izvore i odredišta koje obično koristi. Silverfortov mehanizam kontinuirano uči i obogaćuje ovu osnovnu liniju kako bi što preciznije uhvatio ponašanje naloga.
Virtuelna ograda
Zasnovano na osnovnom ponašanju, Silverfort automatski kreira politiku za svaki nalog usluge koja pokreće zaštitnu akciju nakon bilo kakvog odstupanja naloga od njegovog standardnog ponašanja. Ova radnja može biti samo upozorenje ili čak potpuni pristup. Na taj način, čak i ako su akreditivi servisnog naloga ugroženi, protivnik ih neće moći koristiti za pristup bilo kojem resursu osim onih koji su uključeni u osnovnu liniju. Sve što se od korisnika Silverforta traži je da omogući politiku bez dodatnog napora.
Zaključak: Ovo je vrijeme za djelovanje. Uvjerite se da su vaši nalozi za usluge zaštićeni
Bolje je da se dokopate svojih servisnih računa prije nego što to učine vaši napadači. Ovo je pravi vrh današnjeg pejzaža opasnosti. Da li imate način da vidite, nadgledate i zaštitite svoje račune usluga od kompromitacije? Ako je odgovor ne, samo je pitanje vremena kada ćete se pridružiti liniji statistike ransomware-a.
Izvor:The Hacker News