
Silverfort випустили свій перший звіт “Identity Underground”, заснований на даних з сотень виробничих середовищ. Звіт розкриває поширеність вразливостей ідентифікаційних даних (Identity Threat Exposures, ITE) – слабких місць у системі безпеки, таких як неправильні конфігурації, застарілі налаштування та незахищені функції, які дозволяють зловмисникам викрадати облікові дані, підвищувати рівень привілеїв та переміщатися непоміченими.
КЛЮЧОВІ ВИСНОВКИ:
- 67% організацій синхронізують локальні паролі AD у хмарі, що призводить до вразливості SaaS-додатків
- 37% адміністраторів використовують слабкошифровану автентифікацію NTLM
- Одна неправильна конфігурація AD створює в середньому 109 облікових записів “тіньових адміністраторів”
- 31% усіх акаунтів – це неконтрольовані службові акаунти з високими привілеями
Поширена практика синхронізації AD з хмарними постачальниками ідентичностей дозволяє безпосередньо впливати на безпеку SaaS. Silverfort класифікував ІТІ на “викривачів паролів”, “ескалаторів привілеїв”, “латеральних маневрів” та “обхідників захисту”, щоб допомогти організаціям зрозуміти та визначити пріоритети у виправленні цих критичних прогалин.
КЛЮЧОВІ СЛОВА: Silverfort, звіт Identity Underground, безпека ідентифікаційних даних, Identity Threat Exposures (ITEs), Active Directory (AD), хмарна ідентичність, синхронізація паролів, NTLM, тіньові адміністратори, службові облікові записи

ЦІКАВІ МОМЕНТИ:
- Застарілий протокол NTLMv1, який використовують 7% адміністраторів, дозволяє легко зламати хеші паролів
- Одна неправильна конфігурація AD спричинила “сплеск тіньових адміністраторів” у 1000 нових адміністраторів в одному випадку
- 13% акаунтів – це неактивні “несвіжі акаунти”, які зловмисники можуть скомпрометувати непомітно
- Облікові записи плідних користувачів мають доступ на рівні адміністратора без членства в групах адміністраторів
ПОВНУ ІСТОРІЮ:
Компанія з кібербезпеки Silverfort опублікувала перший у своєму роді звіт “Identity Underground”, який розкриває тривожну статистику про слабкі місця в захисті ідентифікаційних даних в корпоративних середовищах. Проаналізувавши дані з сотень мереж, автори звіту виявили, що 67% організацій регулярно синхронізують свої локальні паролі користувачів Active Directory (AD) з хмарою. Це ненавмисно переносить прогалини в локальній системі безпеки на хмарні додатки та ідентифікаційні дані.
Сілверфорт винайшов термін “вразливості ідентифікаційних даних” (Identity Threat Exposures, ITEs) для опису неправильних конфігурацій, застарілих налаштувань, забутих облікових записів та незахищених функцій, які дозволяють зловмисникам скомпрометувати облікові дані, отримати несанкціоновані привілеї та переміщатися далі, не будучи виявленими існуючими засобами контролю безпеки.
У звіті ІТК поділяються на чотири класи:
- Викривачі паролів – дозволяють зловмисникам отримати відкритий текст паролів
- Ескалатори привілеїв – дозволяють зловмисникам отримати вищі привілеї
- Бічні рушії – полегшують непомітне бічне переміщення
- Обхідники захисту – роблять моніторинг безпеки менш ефективним
Конкретні приклади виявлених ІТІ включають наступні:
- 37% адміністраторів автентифікуються за допомогою застарілого протоколу NTLM, розкриваючи свої паролі
- 7% все ще використовують ще слабший протокол NTLMv1, що робить злом паролів в офлайні тривіальним
- Одна неправильна конфігурація AD створює в середньому 109 облікових записів “тіньових адміністраторів”, які можуть скинути паролі справжніх адміністраторів. В одному випадку неправильна конфігурація породила 1000 тіньових адміністраторів.
- 31% усіх облікових записів – це надто привілейовані службові облікові записи з низьким рівнем видимості та захисту
- 13% – це неактивні “несвіжі акаунти”, які зловмисники можуть захопити непомітно
- Деякі звичайні користувачі мають доступ на рівні адміністратора до багатьох систем, не перебуваючи в жодній групі адміністраторів
Сілверфорт підкреслив, що поширена практика синхронізації облікових записів AD з хмарними постачальниками ідентифікаційних даних, такими як Azure AD, дозволяє локальним ІТ-компаніям безпосередньо впливати на безпеку SaaS-додатків. Наприклад, зловмисник, який зламав хеш пароля NTLM адміністратора, може використати ці ж облікові дані для доступу до конфіденційних хмарних додатків і даних.
Звіт має на меті створити основу для обговорення та визначення пріоритетів ІТІ, щоб команди з ідентифікації та безпеки могли спільно працювати над їх усуненням. Рекомендації включають отримання інформації про ІТ-інфраструктуру, усунення ризиків, де це можливо, ретельний моніторинг службових та привілейованих облікових записів, а також впровадження превентивних заходів, таких як MFA та сегментація ідентифікаційних даних.
ДЖЕРЕЛА
- Звіт про підпільну ідентичність
https://www.silverfort.com/resources/report/the-identity-underground-report/ - Дослідження Silverfort виявило, що дві третини компаній синхронізують паролі On-prem хмарних середовищ, відкриваючи свої хмари для кібератак
https://www.prnewswire.com/news-releases/silverfort-research-finds-two-thirds-of-businesses-sync-on-prem-passwords-to-cloud-environments-opening-their-cloud-to-cyberattack-302098639.html - Погляди на найбільш критичні прогалини в безпеці ідентичності – Silverfort
https://www.silverfort.com/blog/the-identity-underground-report-deep-insight-into-the-most-critical-identity-security-gaps/ - Виявлення вразливостей ідентифікаційних загроз – TechSpective
https://techspective.net/2024/04/01/unearthing-identity-threat-exposures/ - Silverfort залучає 116 мільйонів доларів для забезпечення єдиного рівня безпеки ідентифікаційних даних для всіх ресурсів підприємства, включаючи раніше незахищені
https://www.prnewswire.com/news-releases/silverfort-raises-116m-to-deliver-a-unified-layer-of-identity-security-across-all-enterprise-resources-including-previously-unprotectable-ones-302039634.html - Дослідження показало, що більшість компаній синхронізують локальні паролі з хмарними середовищами
https://tdwi.org/articles/2024/03/26/silverfort-study-password-sync.aspx - Silverfort знаходить підприємства, що відкривають хмару для кібератак
https://www.silverliningsinfo.com/newswire/silverfort-finds-businesses-opening-cloud-cyberattacks - Платформа уніфікованого захисту ідентичності Silverfort
https://www.silverfort.com