Силвърфорт разкрива критични пропуски в сигурността на самоличността в нов доклад “Identity Underground”

Silverfort публикува първия си доклад “Identity Underground”, базиран на данни от стотици производствени среди. Докладът разкрива разпространението на заплахите за идентичността (ITEs) – слабости в сигурността, като неправилни конфигурации, остарели настройки и несигурни функции, които позволяват на нападателите да крадат удостоверения, да увеличават привилегиите си и да се движат незабелязано.

КЛЮЧОВИ ИЗВОДИ:

  • 67% от организациите синхронизират паролите на локалния AD в облака, излагайки на риск приложенията SaaS
  • 37% от администраторите използват слабо криптирано удостоверяване NTLM
  • Една единствена неправилна конфигурация на AD създава средно 109 акаунта на администратори в сянка.
  • 31% от всички акаунти са неподлежащи на наблюдение служебни акаунти с големи привилегии.

Обичайната практика за синхронизиране на AD с доставчици на идентичност в облака позволява излагането на риск на място да оказва пряко влияние върху сигурността на SaaS. Силвърфорт категоризира ITE в категориите “Разкриване на пароли”, “Ескалатори на привилегии”, “Странични премествания” и “Избягване на защитата”, за да помогне на организациите да разберат и определят приоритетите за отстраняване на тези критични пропуски.

КЛЮЧОВИ СЛОВА: Silverfort, доклад Identity Underground, сигурност на идентичността, идентичностни заплахи (ITEs), Active Directory (AD), идентичност в облака, синхронизиране на пароли, NTLM, администратори в сянка, служебни акаунти

ИНТЕРЕСНИ ТОЧКИ:

  • Наследственият протокол NTLMv1, използван от 7% от администраторите, позволява тривиално разбиване на хешове на пароли
  • Една единствена неправилна конфигурация на AD е причинила “наплив на администратори в сянка” от 1000 нови администратори в един случай.
  • 13% от акаунтите са неактивни “застояли акаунти”, които нападателите могат да компрометират незабелязано.
  • Профилните потребителски акаунти имат достъп на ниво администратор, без да са в групите на администраторите

ЦЯЛАТА ИСТОРИЯ:

Компанията за киберсигурност Silverfort публикува първия по рода си доклад “Identity Underground”, който разкрива тревожни статистически данни за слабостите в сигурността на идентичността в корпоративните среди. При анализа на данни от стотици мрежи в доклада се установява, че 67% от организациите рутинно синхронизират в облака паролите на своите локални потребители на Active Directory (AD). По този начин неволно се прехвърлят пропуските в сигурността на локалните системи към облачните приложения и идентичности.

Силвърфорт въведе термина “Идентификационни заплахи” (ITEs), за да опише неправилните конфигурации, остарелите настройки, забравените акаунти и несигурните функции, които позволяват на нападателите да компрометират идентификационните данни, да придобият неоторизирани привилегии и да се придвижват встрани, без да бъдат открити от съществуващите контроли за сигурност.

Докладът категоризира ИТЕ в четири класа:

  1. Разкриватели на пароли – позволяват на нападателите да получават пароли с ясен текст
  2. Ескалатори на привилегии – позволяват на нападателите да получат по-високи привилегии
  3. Странични премествания – улесняват незабелязаното странично движение
  4. Защитници – намаляват ефективността на наблюдението на сигурността

Конкретните примери за разкрити ИТЕ включват:

  • 37% от администраторите се удостоверяват чрез стария протокол NTLM, като излагат на риск своите пароли.
  • 7% все още използват още по-слабия протокол NTLMv1, което прави тривиално кракването на офлайн пароли.
  • Една единствена неправилна конфигурация на AD създава средно 109 акаунта на администратори в сянка, които могат да нулират паролите на истинските администратори. В един от случаите неправилна конфигурация е довела до появата на 1000 администратори в сянка.
  • 31% от всички акаунти са служебни акаунти със свръхправомощия и слаба видимост или защита.
  • 13% са неактивни “застояли акаунти”, които нападателите могат да превземат, без никой да забележи.
  • Някои обикновени потребители имат достъп на ниво администратор до много системи, без да са в администраторски групи.

Силвърфорт подчерта, че обичайната практика за синхронизиране на AD акаунти с доставчици на идентичност в облака, като Azure AD, позволява на локалните ИТЕ да оказват пряко въздействие върху сигурността на приложенията SaaS. Например нападател, който разбие хеша на NTLM паролата на администратор, може да използва същите данни за достъп до чувствителни приложения и данни в облака.

Докладът има за цел да създаде рамка за обсъждане и приоритизиране на ИТЕ, така че екипите по идентификация и сигурност да могат да работят заедно за премахването им. Препоръките включват осигуряване на видимост на ИТЕ, премахване на рисковете, когато е възможно, внимателно наблюдение на служебните и привилегированите акаунти и прилагане на превантивни мерки като MFA и сегментиране на идентичността.

ИЗТОЧНИЦИ

  1. Доклад за идентичността под земята
    https://www.silverfort.com/resources/report/the-identity-underground-report/
  2. Изследване на Silverfort показва, че две трети от предприятията синхронизират пароли за On-prem с облачни среди, като по този начин отварят облака си за кибератаки
    https://www.prnewswire.com/news-releases/silverfort-research-finds-two-thirds-of-businesses-sync-on-prem-passwords-to-cloud-environments-opening-their-cloud-to-cyberattack-302098639.html
  3. Прозрения за най-критичните пропуски в сигурността на самоличността – Silverfort
    https://www.silverfort.com/blog/the-identity-underground-report-deep-insight-into-the-most-critical-identity-security-gaps/
  4. Разкриване на заплахите за идентичността – TechSpective
    https://techspective.net/2024/04/01/unearthing-identity-threat-exposures/
  5. Silverfort набира 116 млн. долара, за да предостави унифициран слой за сигурност на идентичността във всички ресурси на предприятието, включително незащитени досега
    https://www.prnewswire.com/news-releases/silverfort-raises-116m-to-deliver-a-unified-layer-of-identity-security-across-all-enterprise-resources-including-previously-unprotectable-ones-302039634.html
  6. Проучването показва, че повечето предприятия синхронизират локални пароли с облачни среди
    https://tdwi.org/articles/2024/03/26/silverfort-study-password-sync.aspx
  7. Silverfort установява, че предприятията отварят облака за кибератаки
    https://www.silverliningsinfo.com/newswire/silverfort-finds-businesses-opening-cloud-cyberattacks
  8. Платформа за унифицирана защита на идентичността Silverfort
    https://www.silverfort.com

сподели публикация: