Silverfort opublikował swój pierwszy raport “Identity Underground” oparty na danych z setek środowisk produkcyjnych. Raport ujawnia występowanie zagrożeń dla tożsamości (ITE) – słabych punktów zabezpieczeń, takich jak błędne konfiguracje, starsze ustawienia i niezabezpieczone funkcje, które umożliwiają atakującym kradzież danych uwierzytelniających, eskalację uprawnień i niewykryte przemieszczanie się na boki.
NAJWAŻNIEJSZE USTALENIA
- 67% organizacji synchronizuje hasła AD On-prem z chmurą, narażając aplikacje SaaS.
- 37% administratorów korzysta ze słabo zaszyfrowanego uwierzytelniania NTLM.
- Pojedyncza błędna konfiguracja AD tworzy średnio 109 kont “shadow admin”.
- 31% wszystkich kont to niemonitorowane konta usługowe z wysokimi uprawnieniami.
Powszechna praktyka synchronizacji AD z dostawcami tożsamości w chmurze pozwala na bezpośredni wpływ ekspozycji On-prem na bezpieczeństwo SaaS. Silverfort podzielił ITE na eksponentów haseł, eskalatory uprawnień, osoby przemieszczające się bokiem i osoby unikające ochrony, aby pomóc organizacjom zrozumieć i ustalić priorytety w usuwaniu tych krytycznych luk.
SŁOWA KLUCZOWE: Silverfort, raport Identity Underground, bezpieczeństwo tożsamości, zagrożenia tożsamości (ITE), Active Directory (AD), tożsamość w chmurze, synchronizacja haseł, NTLM, administratorzy-cienie, konta usługowe
INTERESUJĄCE PUNKTY:
- Starszy protokół NTLMv1, używany przez 7% administratorów, sprawia, że złamanie haseł jest banalnie proste.
- Pojedyncza błędna konfiguracja AD spowodowała w jednym przypadku “wzrost liczby administratorów-cieni” o 1000 nowych administratorów.
- 13% kont to nieaktywne “nieaktualne konta”, na które atakujący mogą włamać się niezauważeni.
- Zaawansowane konta użytkowników mają dostęp na poziomie administratora bez przynależności do grup administratorów.
PEŁNA HISTORIA:
Firma Silverfort, zajmująca się cyberbezpieczeństwem, opublikowała pierwszy w swoim rodzaju raport “Identity Underground”, który ujawnia alarmujące statystyki dotyczące słabości bezpieczeństwa tożsamości w środowiskach korporacyjnych. Analizując dane z setek sieci, raport wykazał, że 67% organizacji rutynowo synchronizuje swoje lokalne hasła użytkowników Active Directory (AD) z chmurą. To nieumyślnie przenosi luki w zabezpieczeniach On-prem do aplikacji i tożsamości w chmurze.
Silverfort ukuł termin “Identity Threat Exposures” (ITE), aby opisać błędne konfiguracje, starsze ustawienia, zapomniane konta i niezabezpieczone funkcje, które pozwalają atakującym na złamanie poświadczeń, uzyskanie nieautoryzowanych uprawnień i poruszanie się na boki bez wykrycia przez istniejące mechanizmy kontroli bezpieczeństwa.
W raporcie podzielono ITE na cztery klasy:
- Ekspozytory haseł – umożliwiają atakującym uzyskanie haseł w postaci czystego tekstu.
- Eskalatory uprawnień – umożliwiają atakującym uzyskanie wyższych uprawnień.
- Lateral Movers – ułatwiają niewykryte ruchy boczne.
- Protection Dodgers – sprawiają, że monitorowanie bezpieczeństwa jest mniej skuteczne
Konkretne przykłady ujawnionych ITE obejmują:
- 37% administratorów uwierzytelnia się przy użyciu starszego protokołu NTLM, ujawniając swoje hasła.
- 7% nadal korzysta z jeszcze słabszego protokołu NTLMv1, dzięki czemu łamanie haseł offline jest banalnie proste
- Pojedyncza błędna konfiguracja AD tworzy średnio 109 kont “shadow admin”, które mogą resetować hasła prawdziwych administratorów. W jednym przypadku błędna konfiguracja spowodowała pojawienie się 1000 administratorów-cieni.
- 31% wszystkich kont to nadmiernie uprzywilejowane konta usługowe z niewielką widocznością lub ochroną.
- 13% z nich to nieaktywne “nieaktualne konta”, które atakujący mogą przejąć niezauważenie.
- Niektórzy zwykli użytkownicy mają dostęp na poziomie administratora do wielu systemów, nie będąc w żadnej grupie administratorów
Silverfort podkreślił, że powszechna praktyka synchronizacji kont AD z dostawcami tożsamości w chmurze, takimi jak Azure AD, pozwala lokalnym ITE bezpośrednio wpływać na bezpieczeństwo aplikacji SaaS. Na przykład atakujący, który złamie hash hasła NTLM administratora, może użyć tych samych poświadczeń, aby uzyskać dostęp do wrażliwych aplikacji i danych w chmurze.
Raport ma na celu ustanowienie ram do omawiania i ustalania priorytetów ITE, tak aby zespoły ds. tożsamości i bezpieczeństwa mogły współpracować w celu ich wyeliminowania. Zalecenia obejmują uzyskanie wglądu w ITE, usuwanie zagrożeń tam, gdzie to możliwe, ścisłe monitorowanie usług i kont uprzywilejowanych oraz wdrażanie środków zapobiegawczych, takich jak MFA i segmentacja tożsamości.
ŹRÓDŁA
- Raport Identity Underground
https://www.silverfort.com/resources/report/the-identity-underground-report/ - Badanie Silverfort wykazało, że dwie trzecie firm synchronizuje hasła On-prem ze środowiskami chmurowymi, otwierając swoją chmurę na cyberataki.
https://www.prnewswire.com/news-releases/silverfort-research-finds-two-thirds-of-businesses-sync-on-prem-passwords-to-cloud-environments-opening-their-cloud-to-cyberattack-302098639.html - Wgląd w najbardziej krytyczne luki w zabezpieczeniach tożsamości – Silverfort
https://www.silverfort.com/blog/the-identity-underground-report-deep-insight-into-the-most-critical-identity-security-gaps/ - Ujawnianie zagrożeń dla tożsamości – TechSpective
https://techspective.net/2024/04/01/unearthing-identity-threat-exposures/ - Silverfort pozyskuje 116 milionów dolarów, aby zapewnić ujednoliconą warstwę bezpieczeństwa tożsamości we wszystkich zasobach przedsiębiorstwa, w tym tych wcześniej niechronionych.
https://www.prnewswire.com/news-releases/silverfort-raises-116m-to-deliver-a-unified-layer-of-identity-security-across-all-enterprise-resources-including-previously-unprotectable-ones-302039634.html - Badanie wykazało, że większość firm synchronizuje hasła lokalne ze środowiskami chmurowymi
https://tdwi.org/articles/2024/03/26/silverfort-study-password-sync.aspx - Silverfort odkrywa, że firmy otwierają chmurę na cyberataki
https://www.silverliningsinfo.com/newswire/silverfort-finds-businesses-opening-cloud-cyberattacks - Platforma ujednoliconej ochrony tożsamości Silverfort
https://www.silverfort.com