Использование Сервисных и неактивных учётных записей при облачных атаках
Эксплуатация сервисных и неактивных учётных записей кибер-профессионалами представляет собой изощренный и часто упускаемый из виду вектор кибератак. Эти учётные записи, созданные для различных операционных целей в облачных и локальных средах организации, могут предоставить злоумышленникам доступ, необходимый им для достижения своих целей, если они не управляются и не защищаются должным образом.
Учётные записи служб — это специализированные учётные записи, используемые приложениями или службами для взаимодействия с операционной системой или другими службами. Они часто имеют повышенные привилегии для выполнения определённых задач и могут не быть привязаны к личности отдельного пользователя. С другой стороны, неактивные учётные записи — это учётные записи пользователей, которые больше не используются либо потому, что пользователь покинул организацию, либо потому, что цель учётной записи была достигнута. Эти учётные записи особенно опасны, поскольку о них часто забывают, им оставляют больше привилегий, чем необходимо, и они не контролируются так тщательно, как активные учётные записи пользователей.
Почему служебные и неактивные учётные записи подвергаются атаке
📌Повышенные привилегии. Учётные записи служб имеют повышенные привилегии, необходимые для системных задач, которые можно использовать для получения широкого доступа к сети организации.
📌Отсутствие мониторинга. Неактивные учётные записи используются нерегулярно, что снижает вероятность их отслеживания на предмет подозрительной активности делает их привлекательной целью для злоумышленников.
📌Слабые учётные данные или учётные данные по умолчанию. Учётные записи служб могут быть настроены со слабыми учётными данными или учётными данными по умолчанию, которые проще найти с помощью атак методом перебора.
📌Обход аналитики поведения пользователей. Поскольку учётные записи служб выполняют автоматизированные задачи, их модели поведения могут быть предсказуемыми, что позволяет вредоносным действиям сливаться с обычными операциями и уклоняться от обнаружения.
Угроза, которую представляют скомпрометированные учётные записи
📌Распространение: использование привилегий учётной записи для дальнейшего распространения в сети, получая доступ к другим системам и данным.
📌Повышение привилегий: использование учётной записи для повышения привилегий и получения административного доступа к критически важным системам.
📌Закрепление: обеспечение постоянного присутствия в сети, что затрудняет обнаружение и устранение злоумышленника.
📌Эксфильтрация данных: доступ к конфиденциальным данным и их удаление, что приводит к утечке данных и краже интеллектуальной собственности.
Снижение рисков, связанных с сервисными и неактивными счетами
📌Регулярные проверки. Проведение регулярных проверок всех учётных записей для выявления и деактивации неактивных учётных записей и обеспечения того, чтобы учётные записи служб имели минимально необходимые привилегии.
📌Строгий контроль аутентификации. Применение политики надёжных паролей и использование MFA для учётных записей служб, где это возможно.
📌Мониторинг. Внедрение механизмов мониторинга и оповещения для обнаружения необычных действий, связанных со службами и неактивными учётными записями.
📌Разделение ролей. Применение принципа разделения ролей к учётным записям служб, чтобы ограничить объем доступа и снизить риск неправомерного использования.
📌Инструменты автоматического управления. Использование инструментов автоматического управления учётными записями, чтобы отслеживать использование и жизненный цикл учётной записи, гарантируя, что учётные записи будут деактивированы, когда они больше не нужны.