Silverfort hat seinen ersten “Identity Underground”-Bericht veröffentlicht, der auf Daten aus Hunderten von Produktionsumgebungen basiert. Der Bericht deckt die Verbreitung von Identitätsbedrohungen auf – Sicherheitsschwächen wie Fehlkonfigurationen, veraltete Einstellungen und unsichere Funktionen, die es Angreifern ermöglichen, Anmeldedaten zu stehlen, ihre Rechte zu erweitern und sich unbemerkt zu bewegen.
SCHLÜSSELFINDEN:
- 67 % der Unternehmen synchronisieren On-prem AD-Passwörter mit der Cloud, wodurch SaaS-Anwendungen offengelegt werden
- 37% der Administratoren verwenden eine schwach verschlüsselte NTLM-Authentifizierung
- Eine einzige AD-Fehlkonfiguration erzeugt durchschnittlich 109 “Schatten-Admin”-Konten
- 31% aller Konten sind unüberwachte Dienstkonten mit hohen Privilegien
Die gängige Praxis, AD mit Cloud-Identitätsanbietern zu synchronisieren, führt dazu, dass sich On-prem-Exposures direkt auf die SaaS-Sicherheit auswirken. Silverfort kategorisierte die ITEs in “Password Exposers”, “Privilege Escalators”, “Lateral Movers” und “Protection Dodgers”, um Unternehmen dabei zu helfen, diese kritischen Lücken zu verstehen und nach Priorität zu beseitigen.
SCHLÜSSELWORTE: Silverfort, Identity Underground Report, Identitätssicherheit, Identitätsbedrohungen (ITEs), Active Directory (AD), Cloud-Identität, Passwortsynchronisierung, NTLM, Schattenadministratoren, Dienstkonten
INTERESSANTE PUNKTE:
- Das veraltete NTLMv1-Protokoll, das von 7% der Administratoren verwendet wird, macht es trivial, Passwort-Hashes zu knacken
- Eine einzige AD-Fehlkonfiguration verursachte in einem Fall einen “Shadow-Admin-Burst” von 1000 neuen Admins
- 13% der Konten sind inaktive “veraltete Konten”, die Angreifer unbemerkt kompromittieren können
- Prolific-Benutzerkonten haben Zugriff auf die Admin-Ebene, ohne in Admin-Gruppen zu sein
GANZE GESCHICHTE:
Das Cybersicherheitsunternehmen Silverfort hat den ersten Bericht “Identity Underground” veröffentlicht, der alarmierende Statistiken über Schwachstellen in der Identitätssicherheit von Unternehmen aufzeigt. Die Analyse von Daten aus Hunderten von Netzwerken ergab, dass 67 % der Unternehmen routinemäßig ihre lokalen Active Directory (AD)-Benutzerpasswörter mit der Cloud synchronisieren. Dadurch werden ungewollt On-prem-Sicherheitslücken auf Cloud-Anwendungen und Identitäten übertragen.
Silverfort hat den Begriff “Identity Threat Exposures” (ITEs) geprägt, um Fehlkonfigurationen, veraltete Einstellungen, vergessene Konten und unsichere Funktionen zu beschreiben, die es Angreifern ermöglichen, Anmeldedaten zu kompromittieren, unbefugte Berechtigungen zu erlangen und sich seitlich zu bewegen, ohne von bestehenden Sicherheitskontrollen entdeckt zu werden.
In dem Bericht werden die ITEs in vier Klassen eingeteilt:
- Password Exposers – ermöglichen es Angreifern, Passwörter im Klartext zu erhalten
- Privilege Escalators – ermöglichen Angreifern, höhere Privilegien zu erlangen
- Lateral Movers – erleichtern unentdeckte seitliche Bewegungen
- Schutzverweigerer – machen die Sicherheitsüberwachung weniger effektiv
Konkrete Beispiele für aufgedeckte ITEs sind:
- 37 % der Administratoren authentifizieren sich mit dem alten NTLM-Protokoll und geben ihre Passwörter preis.
- 7% verwenden immer noch das noch schwächere NTLMv1-Protokoll, was das Knacken von Offline-Passwörtern trivial macht
- Eine einzige AD-Fehlkonfiguration erzeugt durchschnittlich 109 “Schatten-Admin”-Konten, die echte Admin-Passwörter zurücksetzen können. In einem Fall hat eine Fehlkonfiguration 1000 Schattenadmins hervorgebracht.
- 31% aller Konten sind überprivilegierte Dienstkonten mit wenig Transparenz oder Schutz
- 13% sind inaktive “veraltete Konten”, die Angreifer unbemerkt übernehmen können
- Einige normale Benutzer haben Admin-Zugriff auf viele Systeme, ohne in einer Admin-Gruppe zu sein
Silverfort betonte, dass die gängige Praxis, AD-Konten mit Cloud-Identitätsanbietern wie Azure AD zu synchronisieren, es On-prem ITEs ermöglicht, die Sicherheit von SaaS-Anwendungen direkt zu beeinflussen. Ein Angreifer, der zum Beispiel den NTLM-Passwort-Hash eines Administrators knackt, könnte dieselben Anmeldedaten verwenden, um auf sensible Cloud-Anwendungen und Daten zuzugreifen.
Der Bericht zielt darauf ab, einen Rahmen für die Diskussion und Priorisierung von ITEs zu schaffen, damit Identitäts- und Sicherheitsteams gemeinsam an deren Beseitigung arbeiten können. Zu den Empfehlungen gehören, sich einen Überblick über die ITEs zu verschaffen, Risiken wo möglich zu beseitigen, Dienste und privilegierte Konten genau zu überwachen und Präventivmaßnahmen wie MFA und Identitätssegmentierung zu implementieren.
QUELLEN
- Der Identity Underground Report
https://www.silverfort.com/resources/report/the-identity-underground-report/ - Silverfort Research findet heraus, dass zwei Drittel der Unternehmen On-prem-Passwörter mit Cloud-Umgebungen synchronisieren und so ihre Cloud für Cyberangriffe öffnen
https://www.prnewswire.com/news-releases/silverfort-research-finds-two-thirds-of-businesses-sync-on-prem-passwords-to-cloud-environments-opening-their-cloud-to-cyberattack-302098639.html - Einblicke in die kritischsten Identitätssicherheitslücken – Silverfort
https://www.silverfort.com/blog/the-identity-underground-report-deep-insight-into-the-most-critical-identity-security-gaps/ - Gefährdungen durch Identitätsdiebstahl aufdecken – TechSpective
https://techspective.net/2024/04/01/unearthing-identity-threat-exposures/ - Silverfort sammelt 116 Millionen Dollar ein, um eine einheitliche Identitätssicherheitsebene für alle Unternehmensressourcen zu schaffen, einschließlich bisher ungeschützter Ressourcen
https://www.prnewswire.com/news-releases/silverfort-raises-116m-to-deliver-a-unified-layer-of-identity-security-across-all-enterprise-resources-including-previously-unprotectable-ones-302039634.html - Studie zeigt: Die meisten Unternehmen synchronisieren lokale Passwörter mit Cloud-Umgebungen
https://tdwi.org/articles/2024/03/26/silverfort-study-password-sync.aspx - Silverfort findet heraus, dass Unternehmen ihre Cloud für Cyberangriffe öffnen
https://www.silverliningsinfo.com/newswire/silverfort-finds-businesses-opening-cloud-cyberattacks - Silverfort Plattform für einheitlichen Identitätsschutz
https://www.silverfort.com