Silverfort a publicat primul raport “Identity Underground”, bazat pe date din sute de medii de producție. Raportul evidențiază prevalența expunerilor la amenințări la adresa identității (ITE) – puncte slabe de securitate, cum ar fi configurațiile greșite, setările vechi și caracteristicile nesigure care permit atacatorilor să fure acreditări, să crească privilegiile și să se deplaseze lateral fără a fi detectați.
CONSTATĂRI CHEIE:
- 67% dintre organizații sincronizează parolele AD locale în cloud, expunând aplicațiile SaaS
- 37% dintre administratori folosesc autentificarea NTLM slab criptată
- O singură configurație greșită AD creează în medie 109 conturi “shadow admin”.
- 31% din toate conturile sunt conturi de servicii nemonitorizate, cu privilegii ridicate.
Practica obișnuită de sincronizare a AD cu furnizorii de identități în cloud permite ca expunerile de pe site să aibă un impact direct asupra securității SaaS. Silverfort a clasificat ITE-urile în categorii de expuneri de parole, scărițe de privilegii, deplasări laterale și evazioniști de protecție pentru a ajuta organizațiile să înțeleagă și să prioritizeze remedierea acestor lacune critice.
CUVINTE CHEIE: Silverfort, raportul Identity Underground, securitatea identității, expuneri la amenințări la adresa identității (ITE), Active Directory (AD), identitate în cloud, sincronizarea parolelor, NTLM, administratori din umbră, conturi de servicii
PUNCTE INTERESANTE:
- Protocolul NTLMv1, folosit de 7% dintre administratori, face ca spargerea hash-urilor de parole să fie trivială.
- O singură configurație greșită a AD a cauzat o “explozie de administratori din umbră” de 1000 de administratori noi într-un caz.
- 13% dintre conturi sunt conturi inactive, “conturi vechi”, pe care atacatorii le pot compromite fără a fi detectați.
- Conturile de utilizatori prolifici au acces la nivel de administrator fără a face parte din grupurile de administratori
ISTORIE COMPLETĂ:
Compania de securitate cibernetică Silverfort a publicat un raport “Identity Underground”, primul de acest fel, care dezvăluie statistici alarmante privind deficiențele în materie de securitate a identității în mediile de afaceri. Analizând date din sute de rețele, raportul a constatat că 67% dintre organizații sincronizează în mod obișnuit parolele utilizatorilor Active Directory (AD) în cloud. Acest lucru migrează, fără să vrea, lacunele de securitate de pe site către aplicațiile și identitățile din cloud.
Silverfort a inventat termenul “Identity Threat Exposures” (ITEs) pentru a descrie configurațiile greșite, setările vechi, conturile uitate și caracteristicile nesigure care permit atacatorilor să compromită acreditările, să obțină privilegii neautorizate și să se deplaseze lateral fără a fi detectați de controalele de securitate existente.
Raportul a clasificat ITE-urile în patru clase:
- Exponenți de parole – permit atacatorilor să obțină parole în clar
- Escalatoare de privilegii – permit atacatorilor să obțină privilegii mai mari
- Lateral Movers – facilitează mișcarea laterală nedetectată
- Protection Dodgers – face ca monitorizarea securității să fie mai puțin eficientă
Printre exemplele specifice de ITE-uri neacoperite se numără:
- 37% dintre administratori se autentifică folosind protocolul NTLM, expunându-și parolele.
- 7% încă mai folosesc protocolul NTLMv1 și mai slab, ceea ce face ca spargerea parolelor offline să fie trivială.
- O singură configurație greșită a sistemului AD creează în medie 109 conturi “shadow admin” care pot reseta parolele reale de administrator. Într-un caz, o configurație greșită a generat 1 000 de administratori din umbră.
- 31% din toate conturile sunt conturi de servicii cu privilegii excesive, cu vizibilitate sau protecție redusă.
- 13% sunt conturi inactive “stale” pe care atacatorii le pot prelua fără ca nimeni să observe.
- Unii utilizatori normali au acces la nivel de administrator la multe sisteme fără a face parte din niciun grup de administratori.
Silverfort a subliniat că practica obișnuită de sincronizare a conturilor AD cu furnizorii de identitate în cloud, cum ar fi Azure AD, permite ITE-urilor locale să aibă un impact direct asupra securității aplicațiilor SaaS. De exemplu, un atacator care sparge hash-ul parolei NTLM a unui administrator ar putea folosi aceleași credențiale pentru a accesa aplicații și date sensibile din cloud.
Raportul își propune să stabilească un cadru pentru discutarea și prioritizarea ITE-urilor, astfel încât echipele de identitate și de securitate să poată lucra împreună pentru a le elimina. Recomandările includ obținerea vizibilității în ITE, eliminarea riscurilor acolo unde este posibil, monitorizarea atentă a conturilor de servicii și a conturilor privilegiate și implementarea unor măsuri preventive, cum ar fi MFA și segmentarea identității.
SURSE
- Raportul Identity Underground
https://www.silverfort.com/resources/report/the-identity-underground-report/ - Silverfort Research a descoperit că două treimi dintre companii sincronizează parolele On-prem cu mediile cloud, deschizându-și cloud-ul la atacuri cibernetice
https://www.prnewswire.com/news-releases/silverfort-research-finds-two-thirds-of-businesses-sync-on-prem-passwords-to-cloud-environments-opening-their-cloud-to-cyberattack-302098639.html - Perspective asupra celor mai importante lacune de securitate a identității – Silverfort
https://www.silverfort.com/blog/the-identity-underground-report-deep-insight-into-the-most-critical-identity-security-gaps/ - Dezvăluirea expunerilor la amenințări de identitate – TechSpective
https://techspective.net/2024/04/01/unearthing-identity-threat-exposures/ - Silverfort strânge 116 milioane de dolari pentru a oferi un nivel unificat de securitate a identității în toate resursele întreprinderii, inclusiv în cele neprotejate până acum
https://www.prnewswire.com/news-releases/silverfort-raises-116m-to-deliver-a-unified-layer-of-identity-security-across-all-enterprise-resources-including-previously-unprotectable-ones-302039634.html - Studiul arată că majoritatea companiilor sincronizează parolele locale cu mediile cloud
https://tdwi.org/articles/2024/03/26/silverfort-study-password-sync.aspx - Silverfort constată că întreprinderile deschid norul pentru atacurile cibernetice
https://www.silverliningsinfo.com/newswire/silverfort-finds-businesses-opening-cloud-cyberattacks - Platforma de protecție unificată a identității Silverfort
https://www.silverfort.com