Servisni nalozi su neljudski identiteti koji se koriste za automatizaciju interakcija između mašina. Oni podržavaju kritične funkcije – poput pokretanja skripti, usluga i aplikacija kao što su web stranice, API-ji i baze podataka – i olakšavaju integracije, radeći kao proxy ljudima i podržavajući poslovne procese.
U idealnom svijetu, uslužni nalozi imaju jedan jedinstveni „posao“, dodijeljen im je najmanje privilegiran pristup resursima, te se nadziru i upravljaju imajući na umu najbolje prakse higijene sigurnosti identiteta. U ovoj utopiji, hakeri i kršenja podataka ne postoje.
Ali ovo je stvarni svijet. Servisni nalozi su često preprivilegirani, zaboravljeni i nemaju odgovarajuće sigurnosne protokole za lozinku. Neki od ovih nekada produktivnih uslužnih naloga postaju neaktivni tokom vremena, što ih čini pogodnim metama za aktere pretnji.
Šta čini da uslužni računi ne rade?
Neaktivni računi su neaktivni servisni računi. Iako ne postoji jedan univerzalno prihvaćen vremenski okvir za koji bi se račun usluge smatrao neaktivnim, općenito se definicija počinje primjenjivati u 90 dana neaktivnosti. Ako račun usluge nije korišten za obavljanje operacija ili pristup sistemima nakon 90 dana, ili ako su povezani sa zastarjelim aplikacijama ili uslugama, smatraju se neaktivnim.
Ostali parametri neaktivnih računa usluge uključuju zastarjele dozvole ili uloge dodijeljene računu koje više nisu potrebne. Suvišni nalozi usluga čija je funkcija zamijenjena novijim računima takođe se smatraju neaktivnim. Konačno, nedostatak definisanog vlasnika koji bi pratio svrhu uslužnih računa, njihovih lanaca pristupa, te upravljanja i ažuriranja lozinki takođe ih čini neaktivnim.
Kako neaktivni servisni nalozi postaju nevidljivi ključevi za napadače
Ovi naizgled „mrtvi“ računi muče organizacije u svakoj industriji širom svijeta jer se lako mogu iskoristiti. Neaktivni nalozi ostaju neprimećeni, ostavljajući organizacije nesvesnim o svojim privilegijama pristupa, sistemima na koje se povezuju, kako da im pristupe, pa čak ni o svrsi njihovog postojanja.
Njihove povišene privilegije, slabe sigurnosne mjere i nevidljivost čine neaktivne uslužne račune glavnom metom za infiltraciju. Kompromitovanjem takvog naloga, napadači mogu dobiti značajan pristup sistemima i osetljivim podacima, često bez izazivanja neposredne sumnje tokom dužeg vremenskog perioda. Za to vrijeme, cyber kriminalci mogu podići privilegije, eksfiltrirati podatke, poremetiti operacije i instalirati zlonamjerni softver i backdoor, uzrokujući totalni haos potpuno neotkriven dok ne bude prekasno.
Slabosti koje muče neaktivne račune čine ih otvaranjem vrata u sistem organizacije. Ako je ugrožen, preprivilegirani neaktivni račun može ustupiti mjesto osjetljivim podacima kao što su PII korisnika, PHI, intelektualna svojina i financijska evidencija, što dovodi do skupih i štetnih kršenja podataka .
Čak i bez kršenja, neaktivni računi predstavljaju značajne obaveze, potencijalno uzrokujući operativne poremećaje i kršenje regulative. Regulatori su istorijski povezivali identitet sa korisnicima, što je dovelo do razvoja brojnih alata dizajniranih da obezbede ljudske naloge. Na primjer, MFA je robustan sigurnosni metod za korisničke račune. Međutim, MFA se ne može primijeniti na uslužne račune – kao automatizirani botovi ne mogu dokazati svoj identitet.
U visoko regulisanim industrijama, pretjerano privilegirani neaktivni računi mogu dovesti do neusklađenosti, što rezultira pravnim posljedicama, oštećenjem reputacije i značajnim kaznama.
Prebacivanje percepcije sigurnosti na moderne metode
Tradicionalno, praktičari sigurnosti pretpostavljaju da je perimetar glavna ulazna tačka za hakere, ali proliferacija i rast cyber prijetnji i brzi napredak tehnologije stvorili su mnoštvo novih vektora napada.
Da bi se ovo pozabavilo, sada postoji preko 3.500 dobavljača fokusiranih na rješavanje različitih aspekata cyber sigurnosti. Praktičari sigurnosti imaju zastrašujući zadatak spajanja različitih alata i tehnologija kako bi zaštitili svoje organizacije i bili u toku s najnovijim promjenama i napretkom.
Međutim, živimo u novoj realnosti koja zahtijeva od profesionalaca da pretpostave da su napadači već u sistemu. Ova promjena u perspektivi omogućava preduzećima da se bolje pripreme za potencijalne napade rješavanjem svojih internih slabih tačaka kao što su neaktivni uslužni računi.
Dok se većina preduzeća trenutno oslanja na rješenja ranjivosti statičkih identiteta kako bi otkrila abnormalne aktivnosti iu ljudskim i neljudskim (uslužnim) identitetima, ovi alati često ne uspijevaju. Oni pružaju samo snimak trenutnog ponašanja i ne uzimaju u obzir neaktivne račune, jer im nedostaje mogućnost praćenja promjena tokom vremena.
Ključni prvi korak je otkrivanje neaktivnih naloga, zajedno sa njihovim povezanim uslugama i privilegijama. Implementacija modernog rješenja za sigurnost identiteta sa mogućnostima praćenja ponašanja i striminga omogućava preduzećima da pronađu i ljudske i mašinske naloge i primaju ažuriranja u realnom vremenu o svojim aktivnostima, omogućavajući kontinuirano praćenje i otkrivanje abnormalnog ponašanja.
Izvor:Help Net Security