Waarom zijn gecompromitteerde identiteiten de nachtmerrie van IR-snelheid en -efficiëntie?

Cyberbeveiliging
Nightmare to IR Speed and Efficiency

Incidentrespons (IR) is een race tegen de klok. Je schakelt je interne of externe team in omdat er voldoende bewijs is dat er iets ergs gebeurt, maar je bent nog steeds blind voor de omvang, de impact en de hoofdoorzaak. De gemeenschappelijke reeks IR-tools en -praktijken biedt IR-teams de mogelijkheid om kwaadaardige bestanden en uitgaande netwerkverbindingen te ontdekken. Het identiteitsaspect – namelijk het opsporen van gecompromitteerde gebruikersaccounts die zijn gebruikt om zich in uw netwerk te verspreiden – blijft helaas onbeheerd. Deze taak blijkt het meest tijdrovend voor IR-teams en is een uitdagende, zware strijd geworden waarmee aanvallers kostbare tijd kunnen verdienen waarin ze nog steeds schade kunnen aanrichten.

In dit artikel analyseren we de hoofdoorzaak van de identiteit van IR-blinde vlekken en bieden we voorbeelden van IR-scenario’s waarin het fungeert als een remmer van een snel en efficiënt proces. Vervolgens introduceren we het Unified Identity Protection Platform van Silverfort en laten we zien hoe de realtime MFA en identiteitssegmentatie deze blinde vlek kunnen overwinnen en het verschil kunnen maken tussen een ingeperkt incident en een kostbare inbreuk.

IR 101: Kennis is macht. Tijd is alles

Het activeren van een IR-proces kan in miljoenen vormen voorkomen. Ze delen allemaal een gelijkenis in die zin dat je dat denkt – of zelfs zeker weet iets klopt niet, maar je weet het niet precies Wat, waarEn Hoe. Als je geluk hebt, heeft jouw team de dreiging opgemerkt terwijl deze nog bezig is zijn macht binnenin op te bouwen, maar zijn kwaadaardige doel nog niet heeft uitgevoerd. Als je niet Wat een geluk, je wordt je pas bewust van de vijandige aanwezigheid nadat de impact ervan al is uitgebroken: gecodeerde machines, ontbrekende gegevens en elke andere vorm van kwaadwillige activiteit.

Op de een of andere manier is de meest urgente taak zodra de IR begint te rollen, het oplossen van de duisternis en het verkrijgen van duidelijke inzichten in de gecompromitteerde entiteiten in uw omgeving. Zodra ze zijn gelokaliseerd en gevalideerd, kunnen er stappen worden ondernomen om de aanvallen in te dammen door machines in quarantaine te plaatsen, uitgaand verkeer te blokkeren, kwaadaardige bestanden te verwijderen en gebruikersaccounts opnieuw in te stellen.

Toevallig is de laatste taak verre van triviaal bij het omgaan met gecompromitteerde gebruikersaccounts en introduceert ze een nog niet aangepakte uitdaging. Laten we begrijpen waarom dat zo is.

Identiteits-IR-kloof #1: geen Playbook-beweging om gehackte accounts te detecteren

In tegenstelling tot malwarebestanden of kwaadaardige uitgaande netwerkverbindingen, een gecompromitteerd account doet niets dat in wezen kwaadaardig is; het logt alleen maar in op bronnen op dezelfde manier als een normaal account dat zou doen. Als het een beheerdersaccount is dat dagelijks toegang heeft tot meerdere werkstations en servers – wat het geval is bij veel aanvallen – zal de zijwaartse beweging niet eens abnormaal lijken.

Wilt u meer weten over de Incident Response-mogelijkheden van het Silverfort-platform? Plan vandaag nog een demo!

Het resultaat is dat de ontdekking van het gecompromitteerde account alleen plaatsvindt na de gecompromitteerde machines worden gelokaliseerd en in quarantaine geplaatst, en zelfs dan betekent dit dat alle accounts die daar zijn aangemeld handmatig moeten worden gecontroleerd. En nogmaals: bij een race tegen de klok zorgt de afhankelijkheid van handmatig en foutgevoelig onderzoek voor een kritieke vertraging.

Identiteits-IR-kloof nr. 2: Geen draaiboek om de aanval onmiddellijk in te dammen en verdere verspreiding te voorkomen

Net als in het echte leven is er een fase van onmiddellijke eerste hulp die aan de volledige behandeling voorafgaat. Het equivalent in de IR-wereld is om de aanval binnen de huidige grenzen te houden en ervoor te zorgen dat deze zich niet verder verspreidt, zelfs voordat de actieve componenten ervan zijn ontdekt. Op netwerkniveau wordt dit gedaan door segmenten die mogelijk kwaadaardige activiteiten hosten tijdelijk te isoleren van segmenten die nog niet zijn gecompromitteerd. Op eindpuntniveau gebeurt dit door machines in quarantaine te plaatsen waarop malware zich bevindt.

Ook hier moet het identiteitsaspect een inhaalslag maken. De enige beschikbare beperking is het uitschakelen van het gebruikersaccount in AD of het opnieuw instellen van het wachtwoord. De eerste optie is een no-go vanwege de operationele verstoring die deze met zich meebrengt, vooral in het geval van valse positieven. De tweede optie is ook niet goed; Als het verdachte account een machine-to-machine serviceaccount is, zal het opnieuw instellen van het wachtwoord waarschijnlijk de kritieke processen die het beheert verbreken, waardoor er extra schade ontstaat bovenop de schade die de aanval heeft veroorzaakt. Als de tegenstander erin is geslaagd de identiteitsinfrastructuur zelf in gevaar te brengen, wordt het opnieuw instellen van het wachtwoord onmiddellijk aangepakt door over te schakelen naar een ander account.

Identiteits-IR-kloof nr. 3: Geen draaiboek om blootliggende identiteitsaanvaloppervlakken te verminderen waarop tegenstanders zich binnen de aanval richten

De zwakke punten die het identiteitsaanvalsoppervlak blootstellen aan kwaadwillige toegang tot inloggegevens, escalatie van bevoegdheden en zijdelingse beweging zijn blinde vlekken voor de postuur- en hygiëneproducten in de beveiligingsstack. Dit ontneemt het IR-team kritische indicaties van een compromis die het proces aanzienlijk hadden kunnen versnellen.

Prominente voorbeelden zijn kwetsbare authenticatieprotocollen zoals NTLM (of, erger nog, NTLMv1), verkeerde configuraties zoals accounts die zijn ingesteld met onbeperkte delegatie, schaduwbeheerders, verouderde gebruikers en nog veel meer. Tegenstanders smullen van deze zwakheden terwijl ze hun Living Off The Land-route volgen. Het onvermogen om accounts en machines die deze zwakke punten bevatten te lokaliseren en opnieuw te configureren of te beschermen, verandert de IR in een kattenhoederij, waarbij terwijl de analist druk bezig is met analyseren om te zien of Account A is gecompromitteerd, de tegenstanders al misbruik maken van gecompromitteerd Account B.

Kortom: geen gereedschap. Geen snelkoppelingen. Gewoon langzame en handmatige loganalyse terwijl de aanval in volle gang is

Dat is dus de status quo: wanneer het IR-team eindelijk moet ontdekken wie de gecompromitteerde gebruikersaccounts zijn die de aanvaller gebruikt om zich in uw omgeving te verspreiden. Dit is een geheim waar niemand over praat en de ware oorzaak waarom zijdelingse bewegingsaanvallen zo succesvol en moeilijk te beheersen zijn, zelfs als het IR-proces plaatsvindt.

Dit is de uitdaging die Silverfort oplost.

Silverfort Unified Identity Protection voor IR-operaties

Het Unified Identity Protection-platform van Silverfort integreert met de identiteitsinfrastructuur op locatie en in de cloud (Active Directory, Entra ID, Okta, Ping, enz.). Dankzij deze integratie heeft Silverfort volledig inzicht in elke authenticatie- en toegangspoging, realtime toegangscontrole om kwaadwillige toegang te voorkomen met MFA of toegangsblokkering, en geautomatiseerde detectie en bescherming van serviceaccounts.

Laten we eens kijken hoe deze mogelijkheden het identiteits-IR-proces versnellen en optimaliseren:

Detectie van gehackte accounts met MFA zonder enige operationele verstoring

Silverfort is de enige oplossing die MFA-bescherming kan afdwingen voor alle AD-authenticatie, inclusief opdrachtregelprogramma’s zoals PsExec en PowerShell. Met deze mogelijkheid kan één enkel beleid dat vereist dat alle gebruikersaccounts hun identiteit verifiëren met MFA, alle gecompromitteerde accounts binnen enkele minuten detecteren.

Zodra het beleid is geconfigureerd, is de stroom eenvoudig:

  1. De tegenstander probeert zijn kwaadaardige toegang voort te zetten en logt in op een machine met de gecompromitteerde inloggegevens van het account.
  2. De echte gebruiker wordt om MFA gevraagd en ontkent dat hij toegang tot de opgegeven bron heeft aangevraagd.

Doel #1 bereikt: er is nu onomstotelijk bewijs dat dit account is gecompromitteerd.

Kanttekening: Nu er een gevalideerd gecompromitteerd account is, hoeven we alleen maar alle machines te filteren waarop dit account heeft ingelogd in het logscherm van Silverfort.

Beheers de aanval met MFA en blokkeer toegangsbeleid

Het MFA-beleid dat we hierboven hebben beschreven, dient niet alleen om te detecteren welke accounts zijn gecompromitteerd, maar ook omo elke verdere verspreiding van de aanval te voorkomen. Hierdoor kan het IR-team de positie van de tegenstander bevriezen waar deze is en ervoor zorgen dat alle nog niet gecompromitteerde hulpbronnen intact blijven.

Bescherming bij operationele verstoring opnieuw bekeken: zoom in op serviceaccounts

Er moet speciale aandacht worden besteed aan serviceaccounts, aangezien deze zwaar worden misbruikt door bedreigingsactoren. Deze machine-to-machine-accounts zijn niet gekoppeld aan een menselijke gebruiker en kunnen niet worden onderworpen aan MFA-beveiliging.

Silverfort ontdekt deze accounts echter automatisch en krijgt inzicht in hun repetitieve gedragspatronen. Met deze zichtbaarheid maakt Silverfort de configuratie mogelijk van beleid dat de toegang blokkeert wanneer een serviceaccount afwijkt van zijn gedrag. Op die manier worden alle standaard serviceaccountactiviteiten niet verstoord, terwijl elke kwaadwillige poging om er misbruik van te maken wordt geblokkeerd.

Doel #2 bereikt: de aanval is onder controle en het IR-team kan snel overgaan tot onderzoek

Het elimineren van blootliggende zwakke punten in het identiteitsaanvaloppervlak

Dankzij de zichtbaarheid van Silverfort in alle authenticaties en toegangspogingen binnen de omgeving kan het veelvoorkomende zwakheden ontdekken en beperken waar aanvallers misbruik van maken. Hier zijn een paar voorbeelden:

  • MFA-beleid instellen voor alle schaduwbeheerders
  • Bloktoegangsbeleid instellen voor alle NTLMv1-authenticaties
  • Ontdek alle accounts die zijn geconfigureerd zonder voorafgaande authenticatie
  • Ontdek alle accounts die zijn geconfigureerd met onbeperkte delegatie

Deze verkleining van het aanvalsoppervlak zal doorgaans plaatsvinden tijdens de eerste fase van de ‘eerste hulp’.

Doel #3 bereikt: Identiteitszwakheden worden beperkt en kunnen niet worden gebruikt voor kwaadaardige verspreiding.

Conclusie: Identiteit verwerven IR-mogelijkheden zijn absoluut noodzakelijk – Bent u er klaar voor?

Gecompromitteerde accounts zijn een belangrijk onderdeel van meer dan 80% van de cyberaanvallen, waardoor het risico om geraakt te worden vrijwel zeker is. Beveiligingsbelanghebbenden moeten investeren in IR-tools die dit aspect kunnen aanpakken, om ervoor te zorgen dat ze efficiënt kunnen reageren wanneer een dergelijke aanval plaatsvindt.

Voor meer informatie over de IR-mogelijkheden van het Silverfort-platform kunt u contact opnemen met een van onze experts voor een korte demo.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Gemini is een stap dichter bij het vervangen van de Google Assistent

Wat is Disney Plus Premier Access? Alles wat u moet weten

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]