Společnost Silverfort v nové zprávě “Identity Underground” odhaluje kritické nedostatky v zabezpečení identity

Společnost Silverfort vydala svou první zprávu “Identity Underground” založenou na datech ze stovek produkčních prostředí. Zpráva odhaluje výskyt ohrožení identity (ITE) – slabých míst zabezpečení, jako jsou chybné konfigurace, starší nastavení a nezabezpečené funkce, které útočníkům umožňují krást pověření, zvyšovat oprávnění a nepozorovaně se přesouvat.

KLÍČOVÁ ZJIŠTĚNÍ:

  • 67 % organizací synchronizuje lokální hesla AD do cloudu, čímž odhaluje aplikace SaaS.
  • 37 % správců používá slabě šifrované ověřování NTLM.
  • Jediná chybná konfigurace služby AD vytvoří v průměru 109 účtů “stínových administrátorů”.
  • 31 % všech účtů tvoří nesledované servisní účty s vysokými oprávněními.

Běžná praxe synchronizace služby AD s poskytovateli cloudových identit umožňuje, aby expozice on-prem přímo ovlivňovala zabezpečení SaaS. Společnost Silverfort rozdělila ITE do kategorií Password Exposers, Privilege Escalators, Lateral Movers a Protection Dodgers, aby pomohla organizacím pochopit a stanovit priority při odstraňování těchto kritických nedostatků.

KLÍČOVÁ SLOVA: Silverfort, Identity Underground report, zabezpečení identit, Identity Threat Exposures (ITEs), Active Directory (AD), cloudová identita, synchronizace hesel, NTLM, stínoví administrátoři, servisní účty.

ZAJÍMAVÉ BODY:

  • Starší protokol NTLMv1, který používá 7 % správců, umožňuje triviální prolomení hashe hesel.
  • Jediná chybná konfigurace služby AD způsobila v jednom případě “příval” 1000 nových administrátorů.
  • 13 % účtů je neaktivních, “zastaralých”, které mohou útočníci nepozorovaně ohrozit.
  • Plnohodnotné uživatelské účty mají přístup na úrovni správce, aniž by byly ve skupinách správců.

CELÝ PŘÍBĚH:

Společnost Silverfort, která se zabývá kybernetickou bezpečností, zveřejnila první zprávu svého druhu “Identity Underground”, která odhaluje alarmující statistiky o slabinách zabezpečení identit v podnikových prostředích. Analýzou dat ze stovek sítí zpráva zjistila, že 67 % organizací běžně synchronizuje hesla svých lokálních uživatelů služby Active Directory (AD) s cloudem. Tím se nechtěně přenášejí nedostatky v zabezpečení on-prem do cloudových aplikací a identit.

Společnost Silverfort vytvořila termín “Identity Threat Exposures” (ITE), který popisuje chybné konfigurace, starší nastavení, zapomenuté účty a nezabezpečené funkce, které útočníkům umožňují prolomit pověření, získat neoprávněná oprávnění a pohybovat se dále, aniž by je stávající bezpečnostní kontroly odhalily.

Zpráva rozdělila ITE do čtyř tříd:

  1. Odhalovače hesel – umožňují útočníkům získat hesla v jasném textu.
  2. Eskalátory oprávnění – umožňují útočníkům získat vyšší oprávnění
  3. Boční pohyb – usnadňuje nezjištěný boční pohyb
  4. Ochrana Dodgers – snižuje účinnost monitorování zabezpečení

Konkrétní příklady odhalených ITE zahrnují:

  • 37 % administrátorů se ověřuje pomocí staršího protokolu NTLM, čímž odhaluje svá hesla.
  • 7 % stále používá ještě slabší protokol NTLMv1, takže prolomení hesla offline je triviální.
  • Jediná chybná konfigurace služby AD vytvoří v průměru 109 účtů “stínového správce”, které mohou resetovat skutečná hesla správce. V jednom případě se kvůli chybné konfiguraci objevilo 1000 stínových správců.
  • 31 % všech účtů jsou nadměrně privilegované účty služeb s malou viditelností nebo ochranou.
  • 13 % tvoří neaktivní “zastaralé účty”, které mohou útočníci převzít, aniž by si toho někdo všiml.
  • Někteří běžní uživatelé mají přístup na úrovni správce k mnoha systémům, aniž by byli v nějaké skupině správců.

Silverfort zdůraznil, že běžná praxe synchronizace účtů AD s poskytovateli cloudových identit, jako je Azure AD, umožňuje lokálním ITE přímo ovlivňovat zabezpečení aplikací SaaS. Například útočník, který prolomí hash hesla NTLM správce, může použít stejné pověření k přístupu k citlivým cloudovým aplikacím a datům.

Cílem zprávy je vytvořit rámec pro diskusi o ITE a stanovení jejich priorit, aby týmy zabývající se identitou a bezpečností mohly spolupracovat na jejich odstranění. Doporučení zahrnují získání přehledu o ITE, odstranění rizik tam, kde je to možné, důkladné sledování služeb a privilegovaných účtů a zavedení preventivních opatření, jako je MFA a segmentace identit.

ZDROJE

  1. Zpráva o identitě v podzemí
    https://www.silverfort.com/resources/report/the-identity-underground-report/
  2. Výzkum společnosti Silverfort zjistil, že dvě třetiny firem synchronizují hesla do On-prem prostředí, čímž se vystavují kybernetickým útokům.
    https://www.prnewswire.com/news-releases/silverfort-research-finds-two-thirds-of-businesses-sync-on-prem-passwords-to-cloud-environments-opening-their-cloud-to-cyberattack-302098639.html
  3. Pohled na nejzávažnější nedostatky v zabezpečení identity – Silverfort
    https://www.silverfort.com/blog/the-identity-underground-report-deep-insight-into-the-most-critical-identity-security-gaps/
  4. Odhalení ohrožení identity – TechSpective
    https://techspective.net/2024/04/01/unearthing-identity-threat-exposures/
  5. Společnost Silverfort získala 116 milionů dolarů na zajištění jednotné vrstvy zabezpečení identity napříč všemi podnikovými zdroji, včetně těch, které dříve nebylo možné chránit
    https://www.prnewswire.com/news-releases/silverfort-raises-116m-to-deliver-a-unified-layer-of-identity-security-across-all-enterprise-resources-including-previously-unprotectable-ones-302039634.html
  6. Studie zjistila, že většina firem synchronizuje lokální hesla s cloudovými prostředími
    https://tdwi.org/articles/2024/03/26/silverfort-study-password-sync.aspx
  7. Společnost Silverfort zjistila, že podniky otevírají cloud kybernetickým útokům
    https://www.silverliningsinfo.com/newswire/silverfort-finds-businesses-opening-cloud-cyberattacks
  8. Jednotná platforma ochrany identity Silverfort
    https://www.silverfort.com

Sdílet příspěvek: