Identitățile digitale ale utilizatorilor finali sunt printre principalele ținte vizate de atacurile cibernetice. Aproape două treimi dintre breșele de securitate de anul trecut au urmărit obținerea de credențiale (1), conturile privilegiate fiind cele mai căutate. Pentru prevenirea, detectarea și blocarea acestor tipuri de amenințări, Datanet Systems recomandă utilizarea platformei Illusive Networks de Identity Risk Management, o soluție de tipul Attack Surface Management, care integrează o serie de tehnologii de protecție inovatoare.
Deși problemele generate de exploatarea identităților digitale sunt bine cunoscute în prezent, numeroase companii nu conștientizează însă amploarea și gravitatea acestora. Pe de o parte, e vorba de riscurile negestionate corect, cum este cazul administratorilor care nu folosesc soluțiile dedicate – 87% dintre ei nu au conturile înrolate în aplicațiile de tip Privileged Account Management/PAM (2). Motivele sunt însă justificate: soluțiile PAM introduc limitări și nu sunt complet compatibile cu numeroase aplicații și servicii. La fel de frecventă este însă și situația conturilor privilegiate cu parole neactualizate – 62% dintre administratori au datele de logare neschimbate de peste un an, iar 17% – de peste 5 ani!
Pe de altă parte, în multe organizații exista conturi de tip „Shadow Admin“ despre care nu se știe nimic. Un „Shadow Admin“ este un utilizator final obișnuit care însă – în urma unor erori de configurare sau din cauza faptului că nu i s-au retras drepturile acordate temporar – beneficiază de privilegii despre care administratorii legitimi nu au cunoștință. În 40% din cazuri, dacă un atacator reușește să compromită o astfel de identitate falsă poate printr-o simplă resetare de parolă să obțină drepturi de administrator asupra unui domeniu.
Nu în ultimul rând, este vorba despre informațiile de identificare expuse. 1 din 6 echipamente terminale prezintă cel puțin un risc de identitate exploatabil, 55% din datele de logare fiind stocate în browsere, iar 34% – în aplicații. Problema este că mai mult de un sfert din aceste date expuse sunt credențiale ale administratorilor legitimi, iar 41% aparțin utilizatorilor din categoria „Shadow Admin“.
De ce nu sunt de ajuns metodele clasice de protecție
Așa cum aminteam, companiile cunosc implicațiile riscurilor de identitate și încearcă să le prevină folosind diverse soluții și metode. Între acestea sa află, de exemplu, reducerea numărului de conturi privilegiate în Active Directory (AD). Este o măsură de „cyber-igienă“ nu foarte eficientă însă, pentru că administratorii tot vor trebui să își facă munca și, prin urmare, tot vor lăsa expuse date de identitate care pot fi exploatate. Să luam un exemplu concret – adopția rapidă a modelului de lucru hibrid a generat o creștere exponențială a cererilor de suport venite din partea utilizatorilor finali care muncesc de la distanță. Problema e că 1 din 5 echipamente terminale stochează în cache informații de securitate critice, precum datele de logare ale administratorilor.
Pe de altă parte, nici soluțiile clasice nu reușesc să elimine complet riscurile. De exemplu, aplicațiile de Identity and Access Management (IAM), care autentifică și autorizează utilizatorii finali, sau cele de tip PAM nu blochează proliferarea conturilor privilegiate, nici apariția celor de tipul „Shadow Admin“ și nici nu împiedică stocarea profilelor de utilizatori, cu tot cu nume și parolă, în aplicații. Sunt cerințe pe care nu reușesc să le acopere complet nici aplicațiile de Single Sign-On (SSO) sau cele de autentificare multifactor (MFA), care sunt utilizate ca să compenseze carențele soluțiilor IAM.
Una din soluțiile cele mai utilizate în prezent pentru depășirea acestor probleme de securitate o reprezintă sistemele de Attack Surface Management. ASM asigură eliminarea proactivă a datelor sensibile depistate pe echipamentele terminale care permit atacatorilor să pătrundă în infrastructura și să obțină drepturi privilegiate.
Illusive Networks, puncte forte
Nu toate sistemele ASM sunt însă egale între ele. Platforma Illusive Networks de Identity Risk Management (IRM) recomandată de specialiștii Datanet Systems se remarcă prin combinarea funcționalităților ASM cu tehnologia proprietară de creare de „ținte false“ pentru detectarea atacurilor și a intențiilor atacatorilor.
Practic, utilizând platforma Illusive, o companie poate elimina trei categorii principale de riscuri de identitate:
- Cele negestionate corect – cum sunt de exemplu, conturile de administratori care nu sunt înrolate în aplicațiile PAM sau MFA;
- Erorile de configurare – cazul utilizatorilor din categoria „Shadow Admin“ sau al identităților și parolelor reutilizate;
- Cele exploatabile – cum e cazul credențialelor stocate în sistemele cache sau în aplicații.
Pentru a realiza acest lucru, platforma IRM de la Illusive integrează trei componente principale, care acționează complementar:
- Attack Detection System (ADS) – asigura detectarea rapidă a evenimentelor de securitate și limitează deplasările laterale ale atacatorilor, reduce volumul de alerte false, asigură protecția continuă prin adaptarea dinamică la schimbările de business, acoperă golul lăsat de soluțiile de securitate bazate pe semnături și tipare de comportament. Pentru aceasta, ADS transformă practic orice echipament terminal într-o țintă falsă folosind peste 75 de tehnici proprii de „deception“ prin care poate imita credențiale, conexiuni, date, aplicații, echipamente și orice alte artefacte care pot fi utile unui atacator. Pentru ca ținta falsă să fie cât mai veridică, Illusive folosește o metodă de tip agentless – spre deosebire de alți producători care folosesc agenți instalați local sau metode „Honeypot“ – care îi împiedică pe atacatori să depisteze și elimine măsurile de protecție. Pentru a reduce efortul operațional, ADS include un sistem inteligent prin care automatizează crearea țintelor false, ținând cont de tipul fiecărui echipament terminal. De exemplu, prin intermediul funcționalității Trap Server, ADS interacționează în mod invizibil pentru atacatori cu aceștia, mutând datele reale în afara razei lor de acțiune și creând o suprafață de atac complet falsă. Totodată, folosind ADS organizațiile pot automatiza crearea și personalizarea de sute sau mii de fișiere Word sau Excel false, care le imită până la nivel de logo și antet pe cele reale și care pot fi folosite ca nade pentru atacatori, semnalând tentativele neautorizate de accesare. Consola de management a ADS furnizează informații în timp real despre cât de aproape este atacatorul de datele reale, întreaga cronologie a activității acestuia din momentul în care a interacționat cu o țintă falsă, metodele folosite etc.
- Attack Surface Manager (ASM) – asigură reducerea continuă a suprafeței de atac, chiar și atunci când numărul utilizatorilor și al aplicațiilor se modifică, oferă vizibilitate asupra credențialelor care nu respectă regulile de securitate și pot fi exploatate de atacatori (identități redundante, cu privilegii excesive și/sau vulnerabile etc.), prioritizează măsurile de remediere a acestor încălcări în funcție de nivelul de risc generat și aplică automat măsurile corective predefinite sau personalizate. Folosind modulul ASM, departamentele IT pot limita și restricționa accesul la datele critice, definite în sistem, și pot identifica proactiv traseele de atac și drepturile de acces care permit atacatorilor să creeze breșe și să excaladeze privilegiile acordate. Noile versiuni ale ASM extind aria de acțiune în mediile Cloud. Astfel, modulul descoperă și elimină credentialele stocate în browsere pentru accesarea aplicațiilor livrate as-a-Service, depistează conturile privilegiate și încălcările regulilor definite în Azure AD etc. Cu ajutorul acestor noi capabilități, departamentele IT pot identifica rapid identitățile cu un grad ridicat de risc, cum ar fi de exemplu utilizatorii cu credențiale vulnerabile care sunt folosite atât în Cloud cât și on-premises sau cei care accesează și utilizează servicii Cloud neautorizate.
- Attack Intelligence System (AIS) – furnizează acces în timp real la informații despre evenimentele de securitate detectate, colectând date atât de la echipamentele compromise, cât și de la cele transformate în ținte false. Astfel, imediat după detecție, echipele IT pot vedea care este poziția atacatorilor în raport cu obiectivele critice de business și beneficiază de informațiile contextuale necesare pentru a înțelege natura incidentului și care facilitează procesul de investigare și de stabilire a măsurilor de răspuns. Folosind date de telemetrie colectate din mai multe surse, AIS furnizează informații detaliate despre uneltele, tacticile și tehnicile utilizate de atacatori, iar prin folosirea împreună cu ADS și ASM pot fi luate rapid masuri de blocare și remediere.
Avantajele colaborării cu Datanet Systems
Dincolo de aceste atuuri tehnologice, platforma IRM de la Illusive permite o implementare rapidă, are un nivel de scalabilitate crescut, putând gestiona până la câteva zeci de mii de echipamente terminale, și vine cu peste o sută de măsuri de remediere și automatizare predefinite.
În plus, platforma de Identity Risk Management este compatibilă cu mai multe aplicații și medii Cloud – specialiștii Datanet putând asigura servicii de integrare cu soluții și servicii precum Microsoft Defender for Endpoint, Azure Active Directory, Microsoft 365, Azure Sentinel etc.
Pentru mai multe informații despre „Managementul riscurilor de identitate cu Illusive Networks“ Datanet Systems a organizat recent un webinar care a inclus și o demonstrație practică.
Înregistrarea webinarului în următorul video:
Datanet Systems este partener Illusive Networks și are competențe pentru implementarea acestei platforme IRM. Specialiștii noștri cunosc deja provocările specifice, precum și metodele prin care acestea pot fi depășite, și pot asigura respectarea termenelor de livrare și a bugetelor alocate. La cerere, putem presta un serviciu de tipul Identity Risk Assessment (IRA) care vă permite să descoperiți care sunt credentialele administratorilor de sistem din compania dvs. gestionate incorect, ce conturi privilegiate sunt configurate greșit, precum și ce date de logare sunt expuse și pot fi exploatate în atacuri de escaladare a privilegiilor.
Dacă doriți să aflați mai multe informații tehnice și comerciale despre platforma Illusive Networks de Identity Risk Management, despre posibilitățile de integrare, precum și despre serviciile livrate de companie, contactați-ne la adresa sales@datanets.ro .
______________________
1 – Verizon: 2021 Data Breach Incident Report
2 – Illusive: Analyzing Identity Risks (AIR) 2022