Společnost Silverfort vydala svou první zprávu “Identity Underground” založenou na datech ze stovek produkčních prostředí. Zpráva odhaluje výskyt ohrožení identity (ITE) – slabých míst zabezpečení, jako jsou chybné konfigurace, starší nastavení a nezabezpečené funkce, které útočníkům umožňují krást pověření, zvyšovat oprávnění a nepozorovaně se přesouvat.
KLÍČOVÁ ZJIŠTĚNÍ:
- 67 % organizací synchronizuje lokální hesla AD do cloudu, čímž odhaluje aplikace SaaS.
- 37 % správců používá slabě šifrované ověřování NTLM.
- Jediná chybná konfigurace služby AD vytvoří v průměru 109 účtů “stínových administrátorů”.
- 31 % všech účtů tvoří nesledované servisní účty s vysokými oprávněními.
Běžná praxe synchronizace služby AD s poskytovateli cloudových identit umožňuje, aby expozice on-prem přímo ovlivňovala zabezpečení SaaS. Společnost Silverfort rozdělila ITE do kategorií Password Exposers, Privilege Escalators, Lateral Movers a Protection Dodgers, aby pomohla organizacím pochopit a stanovit priority při odstraňování těchto kritických nedostatků.
KLÍČOVÁ SLOVA: Silverfort, Identity Underground report, zabezpečení identit, Identity Threat Exposures (ITEs), Active Directory (AD), cloudová identita, synchronizace hesel, NTLM, stínoví administrátoři, servisní účty.
ZAJÍMAVÉ BODY:
- Starší protokol NTLMv1, který používá 7 % správců, umožňuje triviální prolomení hashe hesel.
- Jediná chybná konfigurace služby AD způsobila v jednom případě “příval” 1000 nových administrátorů.
- 13 % účtů je neaktivních, “zastaralých”, které mohou útočníci nepozorovaně ohrozit.
- Plnohodnotné uživatelské účty mají přístup na úrovni správce, aniž by byly ve skupinách správců.
CELÝ PŘÍBĚH:
Společnost Silverfort, která se zabývá kybernetickou bezpečností, zveřejnila první zprávu svého druhu “Identity Underground”, která odhaluje alarmující statistiky o slabinách zabezpečení identit v podnikových prostředích. Analýzou dat ze stovek sítí zpráva zjistila, že 67 % organizací běžně synchronizuje hesla svých lokálních uživatelů služby Active Directory (AD) s cloudem. Tím se nechtěně přenášejí nedostatky v zabezpečení on-prem do cloudových aplikací a identit.
Společnost Silverfort vytvořila termín “Identity Threat Exposures” (ITE), který popisuje chybné konfigurace, starší nastavení, zapomenuté účty a nezabezpečené funkce, které útočníkům umožňují prolomit pověření, získat neoprávněná oprávnění a pohybovat se dále, aniž by je stávající bezpečnostní kontroly odhalily.
Zpráva rozdělila ITE do čtyř tříd:
- Odhalovače hesel – umožňují útočníkům získat hesla v jasném textu.
- Eskalátory oprávnění – umožňují útočníkům získat vyšší oprávnění
- Boční pohyb – usnadňuje nezjištěný boční pohyb
- Ochrana Dodgers – snižuje účinnost monitorování zabezpečení
Konkrétní příklady odhalených ITE zahrnují:
- 37 % administrátorů se ověřuje pomocí staršího protokolu NTLM, čímž odhaluje svá hesla.
- 7 % stále používá ještě slabší protokol NTLMv1, takže prolomení hesla offline je triviální.
- Jediná chybná konfigurace služby AD vytvoří v průměru 109 účtů “stínového správce”, které mohou resetovat skutečná hesla správce. V jednom případě se kvůli chybné konfiguraci objevilo 1000 stínových správců.
- 31 % všech účtů jsou nadměrně privilegované účty služeb s malou viditelností nebo ochranou.
- 13 % tvoří neaktivní “zastaralé účty”, které mohou útočníci převzít, aniž by si toho někdo všiml.
- Někteří běžní uživatelé mají přístup na úrovni správce k mnoha systémům, aniž by byli v nějaké skupině správců.
Silverfort zdůraznil, že běžná praxe synchronizace účtů AD s poskytovateli cloudových identit, jako je Azure AD, umožňuje lokálním ITE přímo ovlivňovat zabezpečení aplikací SaaS. Například útočník, který prolomí hash hesla NTLM správce, může použít stejné pověření k přístupu k citlivým cloudovým aplikacím a datům.
Cílem zprávy je vytvořit rámec pro diskusi o ITE a stanovení jejich priorit, aby týmy zabývající se identitou a bezpečností mohly spolupracovat na jejich odstranění. Doporučení zahrnují získání přehledu o ITE, odstranění rizik tam, kde je to možné, důkladné sledování služeb a privilegovaných účtů a zavedení preventivních opatření, jako je MFA a segmentace identit.
ZDROJE
- Zpráva o identitě v podzemí
https://www.silverfort.com/resources/report/the-identity-underground-report/ - Výzkum společnosti Silverfort zjistil, že dvě třetiny firem synchronizují hesla do On-prem prostředí, čímž se vystavují kybernetickým útokům.
https://www.prnewswire.com/news-releases/silverfort-research-finds-two-thirds-of-businesses-sync-on-prem-passwords-to-cloud-environments-opening-their-cloud-to-cyberattack-302098639.html - Pohled na nejzávažnější nedostatky v zabezpečení identity – Silverfort
https://www.silverfort.com/blog/the-identity-underground-report-deep-insight-into-the-most-critical-identity-security-gaps/ - Odhalení ohrožení identity – TechSpective
https://techspective.net/2024/04/01/unearthing-identity-threat-exposures/ - Společnost Silverfort získala 116 milionů dolarů na zajištění jednotné vrstvy zabezpečení identity napříč všemi podnikovými zdroji, včetně těch, které dříve nebylo možné chránit
https://www.prnewswire.com/news-releases/silverfort-raises-116m-to-deliver-a-unified-layer-of-identity-security-across-all-enterprise-resources-including-previously-unprotectable-ones-302039634.html - Studie zjistila, že většina firem synchronizuje lokální hesla s cloudovými prostředími
https://tdwi.org/articles/2024/03/26/silverfort-study-password-sync.aspx - Společnost Silverfort zjistila, že podniky otevírají cloud kybernetickým útokům
https://www.silverliningsinfo.com/newswire/silverfort-finds-businesses-opening-cloud-cyberattacks - Jednotná platforma ochrany identity Silverfort
https://www.silverfort.com