Hasta hace unos años, sólo un puñado de profesionales de IAM sabían qué eran las cuentas de servicio. En los últimos años, estos relatos silenciosos de identidades no humanas (NHI) se han convertido una de las superficies de ataque más específicas y comprometidas. Las evaluaciones revelan que las cuentas de servicio comprometidas desempeñan un papel clave en el movimiento lateral en más del 70% de los ataques de ransomware. Sin embargo, existe una desproporción alarmante entre la exposición potencial y el impacto de las cuentas de servicio comprometidas y las medidas de seguridad disponibles para mitigar este riesgo.
En este artículo, exploramos qué hace que las cuentas de servicio sean un objetivo tan lucrativo, por qué escapan a la mayoría de los controles de seguridad y cómo el nuevo enfoque de seguridad de identidad unificada puede evitar que las cuentas de servicio se vean comprometidas y abusadas.
Cuentas de servicio de Active Directory 101: identidades no humanas utilizadas para M2M
en un Entorno de Directorio Activo (AD)Las cuentas de servicio son cuentas de usuario que no están asociadas con humanos, pero que se utilizan para la comunicación de máquina a máquina. Los crean los administradores para automatizar tareas repetitivas o durante el proceso de instalación del software local. Por ejemplo, si tiene un EDR en su entorno, hay una cuenta de servicio responsable de obtener actualizaciones del agente EDR para su terminal y servidores. Además de ser un NHI, las cuentas de servicio no son diferentes de cualquier otra cuenta de usuario en AD.
¿Por qué los atacantes atacan las cuentas de servicio?
Los perpetradores de ransomware dependen de cuentas AD comprometidas, preferiblemente privilegiadas, para realizar movimientos laterales. Un autor de ransomware realiza este tipo de movimiento lateral hasta que tiene una base lo suficientemente sólida como para cifrar varias máquinas con un solo clic. Por lo general, lo logran accediendo a un controlador de dominio u otro servidor utilizado para la distribución de software y abusando del recurso compartido de red para ejecutar la carga útil del ransomware en tantas máquinas como sea posible.
Aunque cualquier cuenta de usuario puede ser adecuada para este propósito, las cuentas de servicio son más adecuadas por los siguientes motivos:
Privilegios de acceso elevados
La mayoría de las cuentas de servicio se crean para acceder a otras máquinas. Esto implica inevitablemente que tienen los privilegios de acceso necesarios para iniciar sesión y ejecutar código en estas máquinas. Esto es exactamente lo que buscan los actores maliciosos, ya que comprometer estas cuentas les daría la capacidad de acceder y ejecutar su carga maliciosa.
Baja visibilidad
Algunas cuentas de servicio, especialmente aquellas asociadas con el software instalado localmente, son conocidas por el personal de TI y de IAM. Sin embargo, muchos son creados ad hoc por el personal de TI y de identidad sin ninguna documentación. Esto hace que la tarea de mantenimiento sea una inventario monitoreado de cuentas de servicio casi imposibleEsto favorece a los atacantes, ya que es mucho más probable que el compromiso y el abuso de una cuenta no supervisada pasen desapercibidos para la víctima del ataque.
Falta de controles de seguridad.
Las medidas de seguridad comunes que se utilizan para evitar que la cuenta se vea comprometida son la autenticación multifactor (MFA) y la administración de acceso privilegiado (PAM). La autenticación multifactor (MFA) no se puede aplicar a las cuentas de servicio porque no son humanas y no tienen un teléfono, token de hardware ni ningún otro factor adicional que pueda usarse para verificar su identidad más allá de su nombre de usuario y contraseñas. Las soluciones PAM también tienen dificultades para proteger las cuentas de servicio. La rotación de contraseñas, que es el principal control de seguridad utilizado por las soluciones PAM, no se puede aplicar a las cuentas de servicio debido al riesgo de fallar en su autenticación y romper los procesos críticos que administran. Esto deja las cuentas de servicio prácticamente desprotegidas.
¿Quiere obtener más información sobre cómo proteger sus cuentas de servicio? Explora nuestro libro electrónico, Superar los puntos ciegos de seguridad de la cuenta de serviciopara obtener más información sobre los desafíos de proteger las cuentas de servicio y obtener consejos sobre cómo combatir estos problemas.
La realidad en pocas palabras: toda empresa es una víctima potencial, independientemente de su sector de actividad y su tamaño
Alguna vez se dijo que el ransomware era el gran democratizador que no hacía distinciones entre las víctimas en función de sus características. Esto es más cierto que nunca cuando se trata de cuentas de servicio. En los últimos años, investigamos incidentes en empresas de 200 a 200.000 empleados en los sectores financiero, industrial, minorista, telecomunicaciones y muchos otros. En 8 de cada 10 casos, su intento de movimiento lateral resultó en cuentas de servicio comprometidas.
Como siempre, son los atacantes quienes mejor nos muestran dónde están nuestros eslabones más débiles.
La solución Silverfort: una plataforma unificada de seguridad de identidad
La nueva categoría de seguridad de identidad presenta una oportunidad para cambiar la situación, lo que hasta ahora ha permitido a los adversarios aprovechar las cuentas de servicio. La plataforma de seguridad de identidad de Silverfort se basa en tecnología patentada que le permite tener visibilidad continua, análisis de riesgos y aplicación activa de toda la autenticación AD, incluidas, por supuesto, las realizadas por cuentas de servicio.
Veamos cómo se usa esto para evitar que los atacantes los utilicen para acceso malicioso.
Protección de cuenta de servicio Silverfort: descubrimiento, creación de perfiles y protección automatizados
Silverfort permite a los equipos de identidad y seguridad mantener seguras sus cuentas de servicio de la siguiente manera:
Descubrimiento automatizado
Silverfort ve y analiza cada autenticación de AD. Esto permite que su motor de inteligencia artificial identifique fácilmente cuentas que exhiban el comportamiento determinista y predecible que caracteriza a las cuentas de servicios. Después de un breve período de aprendizaje, Silverfort proporciona a sus usuarios un inventario completo de sus cuentas de servicio, incluidos sus niveles de privilegios, fuentes y destinos, y otros datos que mapean el comportamiento de cada uno.
Análisis de comportamiento
Para cada cuenta de servicio identificada, Silverfort define una línea base de comportamiento que incluye las fuentes y destinos que utiliza normalmente. El motor Silverfort aprende y enriquece continuamente esta línea de base para capturar el comportamiento de la cuenta con la mayor precisión posible.
Cercado virtual
Según la línea base de comportamiento, Silverfort crea automáticamente una política para cada cuenta de servicio que desencadena una acción protectora si la cuenta se desvía de su comportamiento estándar. Esta acción puede consistir en una simple alerta o incluso un bloqueo total del acceso. De esta manera, incluso si las credenciales de la cuenta de servicio están comprometidas, el adversario no podrá usarlas para acceder a recursos distintos a los incluidos en la línea base. Todo lo que el usuario de Silverfort debe hacer es activar la póliza sin ningún esfuerzo adicional.
Conclusión: es hora de actuar. Asegúrese de que sus cuentas de servicio estén protegidas
Será mejor que te hagas cargo de tus cuentas de servicio antes de que lo hagan tus atacantes. Esta es la verdadera vanguardia del panorama de amenazas actual. ¿Tiene alguna forma de ver, monitorear y proteger sus cuentas de servicio para que no se vean comprometidas? Si la respuesta es no, es sólo cuestión de tiempo antes de unirse a la línea de estadísticas de ransomware.
¿Quiere obtener más información sobre la protección de la cuenta del servicio Silverfort? Visita nuestro sitio web o póngase en contacto con uno de nuestros expertos para obtener una manifestación.