Bis vor ein paar Jahren wussten nur eine Handvoll IAM-Profis, was Dienstkonten sind. In den letzten Jahren sind diese stillen Non-Human-Identities (NHI)-Konten zu einer der am häufigsten angegriffenen und kompromittierten Angriffsflächen geworden. Assessments berichten, dass kompromittierte Dienstkonten bei über 70 % der Ransomware-Angriffe eine Schlüsselrolle bei der lateralen Bewegung spielen. Allerdings besteht ein alarmierendes Missverhältnis zwischen der Kompromittierungsexposition und den potenziellen Auswirkungen von Dienstkonten und den verfügbaren Sicherheitsmaßnahmen zur Minderung dieses Risikos.
In diesem Artikel untersuchen wir, was Dienstkonten zu einem so lukrativen Ziel macht, warum sie außerhalb der Reichweite der meisten Sicherheitskontrollen liegen und wie der neue Ansatz der einheitlichen Identitätssicherheit Dienstkonten vor Kompromittierung und Missbrauch schützen kann.
Active Directory-Dienstkonten 101: Nicht-menschliche Identitäten für M2M
In einer Active Directory (AD)-Umgebung sind Dienstkonten Benutzerkonten, die nicht mit Menschen verbunden sind, sondern für die Maschine-zu-Maschine-Kommunikation verwendet werden. Sie werden von Administratoren entweder zur Automatisierung sich wiederholender Aufgaben oder während der Installation von On-Premise-Software erstellt. Wenn Sie beispielsweise ein EDR in Ihrer Umgebung haben, gibt es ein Dienstkonto, das dafür verantwortlich ist, Aktualisierungen für den EDR-Agenten auf Ihrem Endpunkt und Ihren Servern abzurufen. Abgesehen davon, dass es sich um ein NHI handelt, unterscheiden sich Dienstkonten nicht von anderen Benutzerkonten in AD.
Warum haben es Angreifer auf Dienstkonten abgesehen?
Ransomware-Akteure verlassen sich auf kompromittierte AD-Konten – vorzugsweise privilegierte – für laterale Bewegungen. Ein Ransomware-Akteur würde solche lateralen Bewegungen durchführen, bis er ein Standbein erlangt hat, das stark genug ist, um mehrere Maschinen mit einem einzigen Klick zu verschlüsseln. Normalerweise erreichen sie dies, indem sie auf einen Domänencontroller oder einen anderen Server zugreifen, der für die Softwareverteilung verwendet wird, und die Netzwerkfreigabe missbrauchen, um die Ransomware-Nutzlast auf so vielen Maschinen wie möglich auszuführen.
Obwohl jedes Benutzerkonto für diesen Zweck geeignet wäre, sind Dienstkonten aus folgenden Gründen am besten geeignet:
Hohe Zugriffsberechtigungen
Die meisten Dienstkonten werden erstellt, um auf andere Computer zuzugreifen. Das bedeutet unweigerlich, dass sie über die erforderlichen Zugriffsberechtigungen verfügen, um sich auf diesen Computern anzumelden und Code auszuführen. Genau das ist es, wonach Bedrohungsakteure suchen, da die Kompromittierung dieser Konten ihnen die Möglichkeit geben würde, auf ihre schädliche Nutzlast zuzugreifen und diese auszuführen.
Geringe Sichtbarkeit
Einige Dienstkonten, insbesondere solche, die mit installierter On-Premise-Software verknüpft sind, sind den IT- und IAM-Mitarbeitern bekannt. Viele werden jedoch ad-hoc von IT- und Identitätspersonal ohne Dokumentation erstellt. Dies macht die Aufgabe, ein überwachtes Inventar der Dienstkonten zu führen, nahezu unmöglich. Dies spielt Angreifern in die Hände, da die Kompromittierung und der Missbrauch eines nicht überwachten Kontos eine weitaus größere Chance hat, vom Opfer des Angriffs unbemerkt zu bleiben. Fehlende Sicherheitskontrollen
Die gängigen Sicherheitsmaßnahmen, die zur Verhinderung von Kontokompromittierung eingesetzt werden, sind MFA und PAM. MFA kann nicht auf Dienstkonten angewendet werden, da es sich nicht um Menschen handelt und sie kein Telefon, Hardware-Token oder einen anderen zusätzlichen Faktor besitzen, mit dem ihre Identität über ihren Benutzernamen und ihre Passwörter hinaus überprüft werden kann. PAM-Lösungen haben auch Probleme mit dem Schutz von Dienstkonten. Die Passwortrotation, die die wichtigste Sicherheitskontrolle von PAM-Lösungen ist, kann nicht auf Dienstkonten angewendet werden, da die Gefahr besteht, dass ihre Authentifizierung fehlschlägt und die kritischen Prozesse, die sie verwalten, unterbrochen werden. Dadurch bleiben Dienstkonten praktisch ungeschützt.
Möchten Sie mehr über den Schutz Ihrer Dienstkonten erfahren? In unserem E-Book „Überwindung der Sicherheitslücken von Dienstkonten“ erhalten Sie weitere Einblicke in die Herausforderungen beim Schutz von Dienstkonten und erhalten Anleitungen zur Behebung dieser Probleme.
Reality Bytes: Jedes Unternehmen ist ein potenzielles Opfer, unabhängig von Branche und Größe
Es wurde einmal gesagt, dass Ransomware der große Gleichmacher ist, der nicht aufgrund von Merkmalen zwischen Opfern unterscheidet. Dies gilt mehr denn je in Bezug auf Dienstkonten. In den letzten Jahren haben wir Vorfälle in Unternehmen mit 200 bis 200.000 Mitarbeitern in den Bereichen Finanzen, Fertigung, Einzelhandel, Telekommunikation und vielen anderen untersucht. In 8 von 10 Fällen beinhaltete die versuchte laterale Bewegung die Kompromittierung von Dienstkonten.
Wie immer lehren uns die Angreifer am besten, wo unsere schwächsten Glieder sind.
Silverforts Lösung: Unified Identity Security Platform
Die aufkommende Sicherheitskategorie der Identitätssicherheit bietet die Möglichkeit, den Spieß umzudrehen, den Gegner bisher bei Dienstkonten genossen haben. Die Identity-Security-Plattform von Silverfort basiert auf einer proprietären Technologie, die es ihr ermöglicht, kontinuierliche Transparenz, Risikoanalysen und aktive Durchsetzung bei jeder AD-Authentifizierung zu gewährleisten, einschließlich natürlich derjenigen, die von Dienstkonten durchgeführt werden.
Sehen wir uns an, wie dies verwendet wird, um Angreifer daran zu hindern, sie für böswilligen Zugriff zu verwenden.
Silverforts Dienstkontoschutz: Automatisierte Erkennung, Profilerstellung und Schutz
Silverfort ermöglicht es Identitäts- und Sicherheitsteams, ihre Dienstkonten auf folgende Weise zu schützen:
Automatisierte Erkennung
Silverfort sieht und analysiert jede AD-Authentifizierung. Dies macht es seiner KI-Engine leicht, die Konten zu identifizieren, die das deterministische und vorhersehbare Verhalten aufweisen, das Dienstkonten auszeichnet. Nach einer kurzen Lernphase stellt Silverfort seinen Benutzern ein vollständiges Inventar ihrer Dienstkonten zur Verfügung, einschließlich ihrer Berechtigungsstufen, Quellen und Ziele sowie anderer Daten, die das Verhalten jedes einzelnen Kontos abbilden. Verhaltensanalyse
Für jedes identifizierte Dienstkonto definiert Silverfort eine Verhaltensbasislinie, die die Quellen und Ziele umfasst, die es normalerweise verwendet. Die Engine von Silverfort lernt und bereichert diese Baseline kontinuierlich, um das Verhalten des Kontos so genau wie möglich zu erfassen. Virtueller Zaun
Basierend auf der Verhaltensbasislinie erstellt Silverfort automatisch eine Richtlinie für jedes Dienstkonto, die bei jeder Abweichung des Kontos von seinem Standardverhalten eine schützende Aktion auslöst. Diese Aktion kann eine reine Warnung oder sogar eine vollständige Zugriffssperre sein. Auf diese Weise kann der Angreifer selbst dann, wenn die Anmeldeinformationen des Dienstkontos kompromittiert wurden, diese nicht verwenden, um auf andere Ressourcen als die in der Baseline enthaltenen zuzugreifen. Alles, was der Benutzer von Silverfort tun muss, ist, die Richtlinie ohne zusätzlichen Aufwand zu aktivieren.
Fazit: Es ist an der Zeit zu handeln. Stellen Sie sicher, dass Ihre Dienstkonten geschützt sind
Sie sollten Ihre Dienstkonten besser in den Griff bekommen, bevor Ihre Angreifer dies tun. Dies ist die wahre Front der heutigen Bedrohungslandschaft. Haben Sie eine Möglichkeit, Ihre Dienstkonten zu sehen, zu überwachen und vor Kompromittierung zu schützen? Wenn die Antwort Nein lautet, ist es nur eine Frage der Zeit, bis Sie in die Ransomware-Statistik aufgenommen werden.
Möchten Sie mehr über den Silverfort-Schutz von Dienstkonten erfahren? Besuchen Sie unsere Website oder wenden Sie sich an einen unserer Experten, um eine Demo zu erhalten.