Tot een paar jaar geleden wisten slechts een handvol IAM-professionals wat serviceaccounts waren. In de afgelopen jaren zijn deze stille Non-Human-Identities (NHI)-accounts een van de meest gerichte en gecompromitteerde aanvalsoppervlakken geworden. Beoordelingen melden dat gecompromitteerde serviceaccounts een belangrijke rol spelen in laterale beweging in meer dan 70% van de ransomware-aanvallen. Er is echter een alarmerende onevenredigheid tussen de blootstelling aan compromittering van serviceaccounts en de mogelijke impact, en de beschikbare beveiligingsmaatregelen om dit risico te beperken.
In dit artikel onderzoeken we waarom serviceaccounts zo’n lucratief doelwit zijn, waarom ze buiten het bereik van de meeste beveiligingsmaatregelen vallen en hoe de nieuwe aanpak van uniforme identiteitsbeveiliging kan voorkomen dat serviceaccounts worden gecompromitteerd en misbruikt.
Active Directory Service-accounts 101: Niet-menselijke identiteiten gebruikt voor M2M
In een Active Directory (AD)-omgeving zijn serviceaccounts gebruikersaccounts die niet aan mensen zijn gekoppeld, maar die worden gebruikt voor machine-to-machinecommunicatie. Ze worden door beheerders gemaakt om repetitieve taken te automatiseren of tijdens het proces van het installeren van on-prem software. Als u bijvoorbeeld een EDR in uw omgeving hebt, is er een serviceaccount dat verantwoordelijk is voor het ophalen van updates voor de EDR-agent op uw eindpunt en servers. Afgezien van het feit dat het een NHI is, zijn serviceaccounts niet anders dan andere gebruikersaccounts in AD.
Waarom zijn aanvallers uit op serviceaccounts?
Ransomware-actoren vertrouwen op gecompromitteerde AD-accounts – bij voorkeur bevoorrechte accounts – voor laterale beweging. Een ransomware-actor zou een dergelijke laterale beweging uitvoeren totdat hij een voet aan de grond krijgt die sterk genoeg is om meerdere machines met één klik te versleutelen. Normaal gesproken bereiken ze dat door toegang te krijgen tot een domeincontroller of een andere server die wordt gebruikt voor softwaredistributie en misbruik te maken van de netwerkshare om de ransomware-payload op zoveel mogelijk machines uit te voeren.
Hoewel elk gebruikersaccount hiervoor geschikt is, zijn serviceaccounts het meest geschikt vanwege de volgende redenen:
Hoge toegangsrechten
De meeste serviceaccounts worden aangemaakt om toegang te krijgen tot andere machines. Dat impliceert onvermijdelijk dat ze de vereiste toegangsrechten hebben om in te loggen en code uit te voeren op deze machines. Dit is precies waar bedreigingsactoren op uit zijn, want het compromitteren van deze accounts zou hen de mogelijkheid geven om toegang te krijgen tot hun kwaadaardige payload en deze uit te voeren.
Slechte zichtbaarheid
Sommige serviceaccounts, met name die welke zijn gekoppeld aan een geïnstalleerde on-prem software, zijn bekend bij de IT- en IAM-medewerkers. Veel worden echter ad-hoc aangemaakt door IT- en identiteitspersoneel zonder documentatie. Dit maakt de taak om een gecontroleerde inventaris van serviceaccounts bij te houden vrijwel onmogelijk. Dit speelt goed in de handen van aanvallers, omdat het compromitteren en misbruiken van een niet-gecontroleerd account een veel grotere kans heeft om onopgemerkt te blijven door het slachtoffer van de aanval.
Gebrek aan veiligheidscontroles
De algemene beveiligingsmaatregelen die worden gebruikt om accountcompromissen te voorkomen, zijn MFA en PAM. MFA kan niet worden toegepast op serviceaccounts omdat ze geen mens zijn en geen telefoon, hardwaretoken of andere extra factor bezitten die kan worden gebruikt om hun identiteit te verifiëren, naast hun gebruikersnaam en wachtwoorden. PAM-oplossingen worstelen ook met de beveiliging van serviceaccounts. Wachtwoordrotatie, de belangrijkste beveiligingscontrole die PAM-oplossingen gebruiken, kan niet worden toegepast op serviceaccounts vanwege de zorg dat hun authenticatie mislukt en de kritieke processen die ze beheren, worden verbroken. Hierdoor blijven serviceaccounts praktisch onbeschermd.
Wilt u meer weten over het beschermen van uw serviceaccounts? Bekijk ons eBook, Het overwinnen van de blinde vlekken op het gebied van beveiliging van serviceaccountsvoor meer inzicht in de uitdagingen bij het beveiligen van serviceaccounts en voor richtlijnen over hoe u deze problemen kunt aanpakken.
Realiteitsbites: Elk bedrijf is een potentieel slachtoffer, ongeacht de branche en de omvang
Er werd ooit gezegd dat ransomware de grote democratiseerder is die slachtoffers niet discrimineert op basis van een kenmerk. Dit geldt meer dan ooit met betrekking tot serviceaccounts. In de afgelopen jaren hebben we incidenten onderzocht in bedrijven met 200 tot 200.000 werknemers in financiën, productie, detailhandel, telecom en vele andere. In 8 van de 10 gevallen hield hun poging tot laterale beweging in dat serviceaccounts werden gecompromitteerd.
Zoals altijd leren aanvallers ons het beste waar onze zwakste schakels zitten.
De oplossing van Silverfort: Unified Identity Security Platform
De opkomende beveiligingscategorie identiteitsbeveiliging introduceert een mogelijkheid om de rollen om te draaien van de vrije teugel die tegenstanders tot nu toe hebben genoten op serviceaccounts. Het identiteitsbeveiligingsplatform van Silverfort is gebouwd op een eigen technologie die het in staat stelt om continu zicht, risicoanalyse en actieve handhaving te hebben op elke AD-authenticatie, inclusief, uiteraard, die welke worden gemaakt door serviceaccounts.
Laten we eens kijken hoe dit wordt gebruikt om aanvallers ervan te weerhouden deze voor kwaadaardige toegang te gebruiken.
Bescherming van serviceaccounts van Silverfort: automatische detectie, profilering en bescherming
Met Silverfort kunnen identiteits- en beveiligingsteams hun serviceaccounts op de volgende manieren beveiligen:
Geautomatiseerde detectie
Silverfort ziet en analyseert elke AD-authenticatie. Dit maakt het voor zijn AI-engine eenvoudig om de accounts te identificeren die het deterministische en voorspelbare gedrag vertonen dat kenmerkend is voor serviceaccounts. Na een korte leerperiode biedt Silverfort zijn gebruikers een volledige inventaris van hun serviceaccounts, inclusief hun privilegeniveaus, bronnen en bestemmingen, en andere gegevens die het gedrag van elk account in kaart brengen.
Gedragsanalyse
Voor elk geïdentificeerd serviceaccount definieert Silverfort een gedragsbasislijn die de bronnen en bestemmingen bevat die het normaal gesproken gebruikt. De engine van Silverfort leert en verrijkt deze basislijn continu om het gedrag van het account zo nauwkeurig mogelijk vast te leggen.
Virtueel schermen
Op basis van de gedragsbasislijn maakt Silverfort automatisch een beleid voor elk serviceaccount dat een beschermende actie activeert bij elke afwijking van het account van zijn standaardgedrag. Deze actie kan een waarschuwing zijn of zelfs een volledige toegangsblokkering. Op die manier kan de tegenstander, zelfs als de inloggegevens van het serviceaccount zijn gecompromitteerd, deze niet gebruiken om toegang te krijgen tot een resource buiten de resources die in de basislijn zijn opgenomen. Het enige dat de gebruiker van Silverfort hoeft te doen, is het beleid inschakelen zonder extra moeite.
Conclusie: Dit is het moment om actie te ondernemen. Zorg ervoor dat uw serviceaccounts beschermd zijn
U kunt beter uw serviceaccounts in handen krijgen voordat uw aanvallers dat doen. Dit is de ware voorhoede van het huidige bedreigingslandschap. Heeft u een manier om uw serviceaccounts te zien, te monitoren en te beveiligen tegen inbreuken? Als het antwoord nee is, is het slechts een kwestie van tijd voordat u zich aansluit bij de ransomware-statistiekenlijn.
Wilt u meer weten over de service account protection van Silverfort? Bezoek onze website of neem contact op met een van onze experts voor een demo.