Hasta hace apenas un par de años, solo un puñado de profesionales de IAM sabían qué son las cuentas de servicio. En los últimos años, estas cuentas silenciosas de identidades no humanas (NHI) se han convertido en una de las superficies de ataque más específicas y comprometidas. Las evaluaciones informan que las cuentas de servicio comprometidas juegan un papel clave en el movimiento lateral en más del 70% de los ataques de ransomware. Sin embargo, existe una desproporción alarmante entre la exposición al compromiso de las cuentas de servicio y el impacto potencial, y las medidas de seguridad disponibles para mitigar este riesgo. En este artículo, exploramos qué hace que las cuentas de servicio sean un objetivo tan lucrativo, por qué están más allá del alcance de la mayoría de los controles de seguridad y cómo el nuevo enfoque de seguridad de identidad unificada puede evitar que las cuentas de servicio se vean comprometidas y se abuse de ellas. Cuentas de servicio de Active Directory 101: identidades no humanas utilizadas para M2M En un entorno de Active Directory (AD), las cuentas de servicio son cuentas de usuario que no están asociadas con seres humanos, pero se utilizan para la comunicación de máquina a máquina. Las crean los administradores para automatizar tareas repetitivas o durante el proceso de instalación de software local. Por ejemplo, si tiene un EDR en su entorno, hay una cuenta de servicio que es responsable de obtener actualizaciones para el agente EDR en su punto final y servidores. Aparte de ser un NHI, las cuentas de servicio no son diferentes a cualquier otra cuenta de usuario en AD. ¿Por qué los atacantes van tras las cuentas de servicio? Los actores de ransomware confían en las cuentas de AD comprometidas, preferiblemente las privilegiadas, para el movimiento lateral. Un actor de ransomware llevaría a cabo dicho movimiento lateral hasta obtener un punto de apoyo lo suficientemente fuerte como para cifrar varias máquinas con un solo clic. Normalmente, lo conseguirían accediendo a un controlador de dominio u otro servidor que se utilice para la distribución de software y abusando del recurso compartido de red para ejecutar la carga útil del ransomware en la mayor cantidad posible de máquinas. Aunque cualquier cuenta de usuario sería adecuada para este propósito, las cuentas de servicio son las más adecuadas debido a las siguientes razones: Altos privilegios de acceso La mayoría de las cuentas de servicio se crean para acceder a otras máquinas. Eso implica inevitablemente que tienen los privilegios de acceso necesarios para iniciar sesión y ejecutar código en estas máquinas. Esto es exactamente lo que buscan los actores de amenazas, ya que comprometer estas cuentas les daría la capacidad de acceder y ejecutar su carga maliciosa. Baja visibilidad Algunas cuentas de servicio, especialmente aquellas que están asociadas con un software local instalado, son conocidas por el personal de TI e IAM. Sin embargo, muchas son creadas ad-hoc por el personal de TI e identidad sin documentación. Esto hace que la tarea de mantener un inventario monitoreado de cuentas de servicio sea casi imposible. Esto juega bien en manos de los atacantes, ya que comprometer y abusar de una cuenta no monitoreada tiene una probabilidad mucho mayor de pasar desapercibido para la víctima del ataque. Falta de controles de seguridad Las medidas de seguridad comunes que se utilizan para la prevención del compromiso de cuentas son MFA y PAM. MFA no se puede aplicar a las cuentas de servicio porque no son humanas y no poseen un teléfono, token de hardware o cualquier otro factor adicional que pueda usarse para verificar su identidad más allá de su nombre de usuario y contraseñas. Las soluciones PAM también tienen problemas con la protección de las cuentas de servicio. La rotación de contraseñas, que es el principal control de seguridad que utilizan las soluciones PAM, no se puede aplicar a las cuentas de servicio debido a la preocupación de que su autenticación falle y se rompan los procesos críticos que administran. Esto deja a las cuentas de servicio prácticamente desprotegidas. ¿Quiere obtener más información sobre cómo proteger sus cuentas de servicio? Explore nuestro libro electrónico, Superar los puntos ciegos de seguridad de las cuentas de servicio, para obtener más información sobre los desafíos de proteger las cuentas de servicio y obtener orientación sobre cómo combatir estos problemas. Datos reales: todas las empresas son víctimas potenciales independientemente de su vertical y tamaño. Alguna vez se dijo que el ransomware es el gran democratizador que no discrimina entre víctimas en función de ninguna característica. Esto es más cierto que nunca en lo que respecta a las cuentas de servicio. En los últimos años, hemos investigado incidentes en empresas de 200 a 200.000 empleados en finanzas, fabricación, venta minorista, telecomunicaciones y muchas otras. En 8 de cada 10 casos, su intento de movimiento lateral implicó el compromiso de las cuentas de servicio. Como siempre, los atacantes nos enseñan mejor dónde están nuestros eslabones más débiles. La solución de Silverfort: Plataforma de seguridad de identidad unificada La categoría emergente de seguridad de identidad presenta una posibilidad de cambiar las tornas en el libre albedrío que los adversarios han disfrutado hasta ahora en las cuentas de servicio. La plataforma de seguridad de identidad de Silverfort está construida sobre una tecnología patentada que le permite tener visibilidad continua, análisis de riesgos y aplicación activa en cualquier autenticación de AD, incluidas, por supuesto, las realizadas por cuentas de servicio. Veamos cómo se utiliza esto para frustrar a los atacantes que las utilizan para acceso malicioso. Protección de cuentas de servicio de Silverfort: descubrimiento, perfilado y protección automatizados Silverfort permite a los equipos de identidad y seguridad mantener sus cuentas de servicio seguras de la siguiente manera: Descubrimiento automatizado Silverfort ve y analiza cada autenticación de AD. Esto hace que sea fácil para su motor de IA identificar las cuentas que presentan el comportamiento determinista y predecible que caracteriza a las cuentas de servicio. Después de un breve período de aprendizaje, Silverfort proporciona a sus usuarios un inventario completo de sus cuentas de servicio, incluidos sus niveles de privilegio, orígenes y destinos, y otros datos que mapean el comportamiento de cada una. Análisis de comportamiento Para cada cuenta de servicio identificada, Silverfort define una línea base de comportamiento que incluye las fuentes y destinos que utiliza normalmente. El motor de Silverfort aprende y enriquece continuamente esta línea base para capturar el comportamiento de la cuenta con la mayor precisión posible. Cercado virtual Basándose en la línea base de comportamiento, Silverfort crea automáticamente una política para cada cuenta de servicio que activa una acción de protección ante cualquier desviación de la cuenta de su comportamiento estándar. Esta acción puede ser una simple alerta o incluso un bloqueo de acceso total. De esa manera, incluso si las credenciales de la cuenta de servicio se ven comprometidas, el adversario no podrá usarlas para acceder a ningún recurso más allá de los incluidos en la línea base. Todo lo que el usuario de Silverfort debe hacer es habilitar la política sin ningún esfuerzo adicional. Conclusión: este es el momento de actuar. Asegúrese de que sus cuentas de servicio estén protegidas Es mejor que se haga con sus cuentas de servicio antes de que lo hagan sus atacantes. Esta es la verdadera vanguardia del panorama de amenazas actual. ¿Tiene una forma de ver, monitorear y proteger sus cuentas de servicio contra el compromiso? Si la respuesta es no, es solo cuestión de tiempo antes de que te unas a la línea de estadísticas de ransomware. ¿Quieres obtener más información sobre la protección de cuentas de servicio de Silverfort? Visita nuestro sitio web o comunícate con uno de nuestros expertos para obtener una demostración. ¿Te resultó interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
Deja una respuesta