Até alguns anos atrás, apenas alguns profissionais de IAM sabiam o que eram contas de serviço. Ao longo dos anos, essas contas silenciosas de identidade não pessoal (NHI) tornaram-se um dos sites de ataque mais direcionados e vulneráveis. A pesquisa relata que contas de serviço comprometidas desempenham um papel fundamental no movimento lateral em mais de 70% dos ataques de ransomware. No entanto, existe um desequilíbrio alarmante entre a vulnerabilidade das contas de serviço e o impacto potencial, e as medidas de segurança disponíveis para mitigar este risco.
Neste artigo, exploramos o que torna as contas de serviço um alvo tão lucrativo, por que elas estão além do escopo de muitos controles de segurança e como uma nova abordagem à segurança de identidade compartilhada pode evitar que as contas de serviço sejam comprometidas e abusadas.
Contas de serviço do Active Directory 101: identidades não humanas usadas para M2M
Em um ambiente do Active Directory (AD), as contas de serviço são contas de usuário que não estão associadas a pessoas, mas são usadas para comunicação entre máquinas. Criado por administradores para automatizar tarefas repetitivas ou durante o processo de instalação de software local. Por exemplo, se você tiver o EDR local, há uma conta de serviço responsável por baixar atualizações do agente EDR em seu armazenamento e servidores. Além de ser um NHI, as contas de serviço não são diferentes de qualquer outra conta de usuário no AD.
Por que os invasores perseguem contas de serviço?
Os atores de ransomware dependem de contas AD vulneráveis para movimentos coletivos – de preferência privilegiados. Um ator de ransomware pode realizar esses movimentos coordenados até encontrar uma posição forte o suficiente para criptografar várias máquinas com um único clique. Normalmente, eles conseguem isso acessando um controlador de domínio ou outro servidor usado para distribuição de software e abusando de um compartilhamento de rede para entregar a carga útil do ransomware ao maior número de máquinas possível.
Embora qualquer conta de usuário seja adequada para essa finalidade, as contas de serviço são preferidas pelos seguintes motivos:
Direitos de acesso avançados
Várias contas de serviço são criadas para acessar outras máquinas. Isso definitivamente significa que eles têm os direitos de acesso necessários para fazer login e executar código nessas máquinas. Isso é exatamente o que os agentes da ameaça estão procurando, pois comprometer essas contas lhes dará a capacidade de acessar e usar sua carga maliciosa.
Baixa visibilidade
Algumas contas de serviço, especialmente aquelas associadas a software local, são conhecidas pela equipe de TI e IAM. No entanto, a maioria é feita ad hoc pela equipe de TI e de identidade, sem documentação. Isso torna quase impossível a tarefa de manter uma lista de observação de contas de serviço. Isso funciona bem nas mãos dos invasores, pois comprometer e abusar de uma conta não supervisionada tem uma chance muito maior de não ser detectado pela vítima do ataque.
Falta de controles de segurança
As medidas de segurança comuns usadas para evitar o comprometimento da conta são MFA e PAM. A MFA não pode ser usada em contas de serviço porque elas não são pessoas físicas e não possuem telefones, tokens de hardware ou qualquer outro elemento adicional que possa ser usado para verificar sua identidade além de nomes de usuário e senhas. As soluções PAM também apresentam problemas com a proteção de contas de serviço. A rotação de senha, que é o principal controle das soluções de segurança PAM, não pode ser usada para contas de serviço devido à preocupação de falhar na autenticação e violar os processos importantes que controlam. Isso deixa as contas de serviço desprotegidas.
Quer saber mais sobre como proteger suas contas de serviço? Confira nosso e-book, Superando pontos cegos de segurança para contas de serviçopara obter mais informações sobre os desafios de proteger contas de serviço e para obter orientação sobre como combater esses problemas.
Bytes literais: toda empresa pode ser uma vítima em potencial, independentemente da indústria ou tamanho
Certa vez, foi dito que o ransomware é uma grande democracia que não discrimina as vítimas com base em nenhuma característica. Isso é mais verdadeiro do que nunca em relação às contas de serviço. Ao longo dos anos, investigamos casos em empresas que variam de 200 a 200 mil funcionários em finanças, manufatura, varejo, telecomunicações e muito mais. Em 8 de cada 10 casos, a tentativa de acção colectiva envolve o encerramento de contas de serviço.
Como sempre, os invasores nos ensinam melhor onde estão nossos elos fracos.
Solução da Silverfort: Plataforma Unificada de Segurança de Identidade
A emergente categoria de segurança de segurança de identidade apresenta a oportunidade de abrir as mesas de inimigos do regime livre que têm sido desfrutadas até agora nas contas de serviço. A plataforma de segurança de identidade da Silverfort é construída sobre tecnologia proprietária que lhe permite ter visibilidade contínua, análise de risco e implementação eficaz de qualquer autenticação AD, incluindo, é claro, aquelas feitas por contas de serviço.
Vamos ver como isso é usado para evitar que invasores usem acesso malicioso.
Proteção de conta de serviço Silverfort: detecção automática, criação de perfil e proteção
Silverfort permite que as equipes de identidade e segurança mantenham suas contas de serviço seguras da seguinte forma:
Detecção automática
Silverfort reconhece e analisa todas as autenticações AD. Isso facilita, com seu mecanismo de IA, a identificação de contas que adotam um comportamento determinístico e previsível que caracteriza as contas de serviço. Após um curto período de aprendizado, o Silverfort fornece aos seus usuários uma lista completa de suas contas de serviço, incluindo níveis de privilégio, fontes e locais, além de outros dados que refletem o comportamento individual.
Análise comportamental
Para cada conta de serviço identificada, o Silverfort define uma base de comportamento que inclui as fontes e locais que utiliza com mais frequência. O mecanismo Silverfort continua aprendendo e enriquecendo esse banco de dados para capturar o comportamento da conta com a maior precisão possível.
Uma cerca virtual
Com base no comportamento, o Silverfort cria automaticamente uma política para cada conta de serviço que inicia uma ação protetora contra qualquer desvio da conta em relação ao seu comportamento normal. Esta ação pode ser apenas um aviso ou um bloqueio total de acesso. Dessa forma, mesmo que as informações da conta de serviço sejam comprometidas, um adversário não poderá utilizá-las para acessar qualquer recurso além daquele instalado na base. Tudo o que um usuário Silverfort precisa fazer é ativar a política sem nenhum esforço extra.
Conclusão: Este é o momento de agir. Certifique-se de que suas contas de serviço estejam seguras
É melhor obter suas contas de serviço antes que seus invasores o façam. Este é o verdadeiro começo do mundo perigoso de hoje. Você tem uma maneira de detectar, monitorar e proteger suas contas de serviço contra comprometimento? Se a resposta for não, é apenas uma questão de tempo até você se juntar ao ransomware.
Quer saber mais sobre a proteção de conta do serviço Silverfort? Visite nosso site ou entre em contato com nossos especialistas para uma demonstração.
