Até alguns anos atrás, apenas um punhado de profissionais de IAM sabia o que eram contas de serviço. Nos últimos anos, essas contas silenciosas de Non-Human-Identities (NHI) se tornaram uma das superfícies de ataque mais visadas e comprometidas. As avaliações relatam que contas de serviço comprometidas desempenham um papel elementary no movimento lateral em mais de 70% dos ataques de ransomware. No entanto, há uma desproporção alarmante entre a exposição ao comprometimento das contas de serviço e o impacto potencial, e as medidas de segurança disponíveis para mitigar esse risco.
Neste artigo, exploramos o que torna as contas de serviço um alvo tão lucrativo, por que elas estão além do escopo da maioria dos controles de segurança e como a nova abordagem de segurança de identidade unificada pode evitar que contas de serviço sejam comprometidas e abusadas.
Contas do Serviço Lively Listing 101: Identidades não humanas usadas para M2M
Em um ambiente do Lively Listing (AD), contas de serviço são contas de usuário que não são associadas a seres humanos, mas são usadas para comunicação máquina a máquina. Elas são criadas por administradores para automatizar tarefas repetitivas ou durante o processo de instalação de software program native. Por exemplo, se você tiver um EDR em seu ambiente, há uma conta de serviço que é responsável por buscar atualizações para o agente EDR em seu endpoint e servidores. Além de ser um NHI, as contas de serviço não são diferentes de qualquer outra conta de usuário no AD.
Por que os invasores perseguem contas de serviço?
Os agentes de ransomware dependem de contas AD comprometidas – preferencialmente privilegiadas – para movimentação lateral. Um agente de ransomware conduziria tal movimentação lateral até obter uma base forte o suficiente para criptografar várias máquinas com um único clique. Normalmente, eles conseguiriam isso acessando um Controlador de Domínio ou outro servidor usado para distribuição de software program e abusando do compartilhamento de rede para executar a carga útil do ransomware em tantas máquinas quanto possível.
Embora qualquer conta de usuário seja adequada para essa finalidade, as contas de serviço são mais adequadas pelos seguintes motivos:
Privilégios de alto acesso
A maioria das contas de serviço são criadas para acessar outras máquinas. Isso inevitavelmente implica que elas têm os privilégios de acesso necessários para fazer login e executar código nessas máquinas. É exatamente isso que os agentes de ameaças buscam, pois comprometer essas contas lhes daria a capacidade de acessar e executar sua carga maliciosa.
Baixa visibilidade
Algumas contas de serviço, especialmente aquelas associadas a um software program instalado no native, são conhecidas pela equipe de TI e IAM. No entanto, muitas são criadas ad-hoc por pessoal de TI e identidade sem documentação. Isso torna a tarefa de manter um inventário monitorado de contas de serviço quase impossível. Isso funciona bem nas mãos dos invasores, pois comprometer e abusar de uma conta não monitorada tem uma probability muito maior de passar despercebido pela vítima do ataque.
Falta de controles de segurança
As medidas de segurança comuns que são usadas para a prevenção de comprometimento de conta são MFA e PAM. MFA não pode ser aplicado a contas de serviço porque elas não são humanas e não possuem um telefone, token de {hardware} ou qualquer outro fator adicional que possa ser usado para verificar sua identidade além de seu nome de usuário e senhas. Soluções PAM também lutam com a proteção de contas de serviço. A rotação de senha, que é o principal controle de segurança que as soluções PAM usam, não pode ser aplicada a contas de serviço devido à preocupação de falhar em sua autenticação e quebrar os processos críticos que gerenciam. Isso deixa as contas de serviço praticamente desprotegidas.
Quer saber mais sobre como proteger suas contas de serviço? Discover nosso eBook, Superando os pontos cegos de segurança das contas de serviçopara obter mais informações sobre os desafios de proteger contas de serviço e obter orientação sobre como combater esses problemas.
Bytes da realidade: toda empresa é uma vítima potencial, independentemente do setor e do tamanho
Já foi dito que o ransomware é o grande democratizador que não discrimina entre vítimas com base em nenhuma característica. Isso é mais verdadeiro do que nunca em relação às contas de serviço. Nos últimos anos, investigamos incidentes em empresas de 200 a 200 mil funcionários em finanças, manufatura, varejo, telecomunicações e muitas outras. Em 8 de 10 casos, sua tentativa de movimento lateral implicou no comprometimento de contas de serviço.
Como sempre, os atacantes nos ensinam melhor onde estão nossos pontos mais fracos.
Solução da Silverfort: Plataforma de Segurança de Identidade Unificada
A categoria de segurança emergente de segurança de identidade introduz uma possibilidade de virar o jogo no reinado livre que os adversários têm desfrutado até agora em contas de serviço. A plataforma de segurança de identidade da Silverfort é construída em uma tecnologia proprietária que permite que ela tenha visibilidade contínua, análise de risco e aplicação ativa em qualquer autenticação de AD, incluindo, é claro, aquelas feitas por contas de serviço.
Vamos ver como isso é usado para impedir que invasores os utilizem para acesso malicioso.
Proteção de conta de serviço da Silverfort: descoberta, criação de perfil e proteção automatizadas
O Silverfort permite que as equipes de identidade e segurança mantenham suas contas de serviço seguras da seguinte maneira:
Descoberta automatizada
O Silverfort vê e analisa cada autenticação do AD. Isso facilita para seu mecanismo de IA identificar as contas que apresentam o comportamento determinístico e previsível que caracteriza as contas de serviço. Após um curto período de aprendizado, o Silverfort fornece aos seus usuários um inventário completo de suas contas de serviço, incluindo seus níveis de privilégio, fontes e destinos, e outros dados que mapeiam o comportamento de cada uma.
Análise comportamental
Para cada conta de serviço identificada, o Silverfort outline uma linha de base comportamental que inclui as fontes e destinos que ele normalmente usa. O mecanismo do Silverfort aprende e enriquece continuamente essa linha de base para capturar o comportamento da conta da forma mais precisa possível.
Esgrima digital
Com base na linha de base comportamental, o Silverfort cria automaticamente uma política para cada conta de serviço que aciona uma ação de proteção em qualquer desvio da conta de seu comportamento padrão. Essa ação pode ser um mero alerta ou até mesmo um bloqueio de acesso whole. Dessa forma, mesmo que as credenciais da conta de serviço sejam comprometidas, o adversário não poderá usá-las para acessar nenhum recurso além dos incluídos na linha de base. Tudo o que o usuário do Silverfort precisa fazer é habilitar a política sem esforço adicional.
Conclusão: Este é o momento de agir. Garanta que suas contas de serviço estejam protegidas
É melhor você controlar suas contas de serviço antes que seus invasores o façam. Esta é a verdadeira vanguarda do cenário de ameaças de hoje. Você tem uma maneira de ver, monitorar e proteger suas contas de serviço contra comprometimento? Se a resposta for não, é apenas uma questão de tempo até que você entre na fila de estatísticas de ransomware.
Quer saber mais sobre a proteção de conta de serviço da Silverfort? Visite nosso web site ou entre em contato com um de nossos especialistas para uma demonstração.