Gli account di servizio svolgono un ruolo fondamentale nel consentire la comunicazione da macchina a macchina negli ambienti Active Directory (AD). Ad esempio, le piattaforme di posta elettronica, i database e le applicazioni interne e rivolte a Internet si affidano a questi account per autenticarsi ad altre applicazioni e servizi di backend. Sono anche ampiamente utilizzati dagli strumenti di sicurezza per integrarsi con piattaforme monitorate come AD.
Poiché gli account di servizio sono pervasivi in quasi tutte le operazioni aziendali, offrono ai malintenzionati un'allettante superficie di attacco con una miriade di potenziali punti di ingresso. Numerosi attacchi informatici di alto profilo sono iniziati con la compromissione di un account di servizio.
Un esempio notevole è l'attacco NotPetya al gigante farmaceutico Merck nel 2017, uno dei più costosi della storia, con danni per un totale di 1,4 miliardi di dollari. È agghiacciante notare che il punto iniziale di compromissione era un account di servizio utilizzato da System Center Configuration Manager (SCCM) per il patching del software. (Analizziamo questo attacco in dettaglio in un episodio dedicato del nostro podcast sulla protezione dell'identità ibrida. podcast sulla protezione dell'identità ibrida.)
Perché continuiamo a vivere con un punto di esposizione così evidente nel nostro sistema di identità? La risposta è: È complicato.
Perché i conti di servizio sono così difficili da proteggere?
L'uso diffuso degli account di servizio li rende notoriamente difficili da trovare, governare e proteggere. Le sfide derivano da molteplici fattori.
I conti di servizio sono critici per l'azienda
Se un account di servizio non è in grado di accedere ad AD, ad esempio a causa di un blocco dell'account o di un cambio di password, l'applicazione associata spesso smette di funzionare, causando un arresto delle operazioni aziendali.
Data la criticità della maggior parte delle applicazioni e dei servizi aziendali, molti professionisti della sicurezza esitano ad apportare modifiche di sicurezza che potrebbero interrompere un account di servizio e interrompere l'attività, per cui gli account rimangono intatti e vulnerabili.
I conti di servizio hanno poca visibilità
La maggior parte degli ambienti AD esiste da molti anni, a volte da decenni. Durante questo periodo, innumerevoli servizi integrati in AD sono stati introdotti, aggiornati e ritirati. Ognuno di essi introduce un proprio set di account di servizio con autorizzazioni specifiche.
A differenza degli account utente umani, che di solito sono gestiti attraverso processi strutturati di onboarding e offboarding, gli account di servizio spesso non hanno una gestione formale del ciclo di vita. Di conseguenza, quando le applicazioni vengono dismesse, gli account di servizio associati vengono spesso abbandonati.
Con il tempo, questi account di servizio legacy si accumulano. Le organizzazioni possono avere centinaia o addirittura migliaia di account obsoleti e non gestiti che permangono nell'ambiente, ognuno dei quali rappresenta un potenziale rischio per la sicurezza.
Le password statiche degli account di servizio sono ovunque
Gli account di servizio spesso utilizzano password statiche che cambiano raramente e che a volte sono inserite in script o applicazioni. Queste credenziali sono difficili da ruotare e, una volta esposte - attraverso fughe di codice sorgente, file di configurazione o dump di memoria - possono essere sfruttate da aggressori che poi si spostano lateralmente o aumentano i privilegi nell'ambiente.
Le password statiche deboli sono particolarmente vulnerabili agli attacchi di password spray. Poiché gli account di servizio non possono utilizzare l'autenticazione a più fattori, mancano di un livello di protezione essenziale. Negli ambienti AD, sono anche suscettibili di Kerberoasting, in cui gli aggressori estraggono e crackano i ticket di servizio per ottenere le password in chiaro.
Gli account di servizio hanno spesso privilegi eccessivi
I team di applicazioni e sviluppatori spesso assegnano permessi eccessivi agli account di servizio perché non conoscono a fondo i modelli di autorizzazione e delega di Active Directory. Invece di adottare un approccio sfumato, possono creare abitualmente account ad alto privilegio con autorizzazioni che vanno ben oltre il necessario.
Questa pratica offre agli aggressori un'enorme opportunità di sfruttare una qualsiasi delle numerose tecniche di attacco per impadronirsi di un account di servizio e aumentare rapidamente i privilegi. Inoltre, la maggior parte delle attività degli account di servizio non è in genere monitorata e la compromissione dell'account spesso non viene rilevata fino a quando non è troppo tardi.
Come colmare il gap di sicurezza degli account di servizio
L'insieme di queste sfide costituisce un problema quasi insormontabile per i team di sicurezza, lasciando gli account di servizio una lacuna critica nella maggior parte dei programmi di sicurezza delle identità.
Vediamo un approccio a più livelli per affrontare questo difficile problema.
Inventario e classificazione
Il primo passo consiste nell'individuare tutti gli account di servizio nell'ambiente Active Directory. In genere, ciò significa utilizzare strumenti come script PowerShell o piattaforme di governance delle identità.
Quindi, identificare il proprietario, lo scopo e i sistemi associati per ogni account. Classificateli in base al livello di privilegio, all'unità organizzativa e al metodo di autenticazione. Eliminate gli account orfani o inutilizzati e mantenete un inventario centralizzato e regolarmente aggiornato.
Applicare il minimo privilegio
Assegnare solo le autorizzazioni necessarie al funzionamento di ciascun account di servizio. Evitate di concedere i diritti di amministratore di dominio o di amministratore aziendale, a meno che non sia assolutamente necessario.
Ove possibile, utilizzate i Group Managed Service Account (gMSA) per semplificare la gestione delle autorizzazioni e ridurre i rischi.
Eliminare le credenziali codificate
Esaminare script, attività pianificate e applicazioni alla ricerca di credenziali incorporate. Se possibile, sostituite le password codificate con soluzioni di archiviazione sicure, come Windows Credential Manager o gMSA, per evitare la fuga di credenziali.
Per alcuni account non è possibile evitare le password codificate. In questi casi, assicurarsi di utilizzare una password sicura ad alta entropia con la massima lunghezza di caratteri consentita.
Monitoraggio e allerta
L'attività degli account di servizio deve seguire schemi e posizioni di accesso prevedibili. Abilitate l'auditing per gli eventi di accesso agli account di servizio e monitorate i comportamenti insoliti, come ad esempio gli accessi da host inaspettati o a orari strani.
Integrate i registri con una piattaforma di gestione degli eventi e delle informazioni di sicurezza (SIEM) per centralizzare il monitoraggio e generare avvisi per attività sospette.
Limitare il login e l'accesso
Utilizzare i Criteri di gruppo per negare i diritti di accesso interattivo agli account di servizio. Limitare i luoghi in cui gli account possono autenticarsi utilizzando l'impostazione Logon Workstations, consentendo che le connessioni avvengano solo sui server necessari.
Automatizzazione della sicurezza degli account di servizio a livelli
Come avrete capito, l'approccio tradizionale alla gestione degli account di servizio e alla mitigazione delle vulnerabilità è proibitivo in termini di tempo e risorse. Naturalmente, gli aggressori informatici puntano proprio su questo.
Ecco perché Semperis ha proposto un'alternativa.
Il modulo Service Accounts Protection potenzia le funzionalità di Directory Services Protector DSP)contribuendo a semplificare il processo di protezione degli account di servizio e riducendo notevolmente il tempo e l'impegno richiesti dalle fasi descritte.
Questo modulo scopre continuamente gli account di servizio sconosciuti e mal posizionati, rileva le configurazioni errate degli account di servizio e fa emergere le configurazioni rischiose e le esposizioni critiche, segnalando al contempo i comportamenti dannosi e anomali.
Gli account di servizio sono da tempo il tallone d'Achille della sicurezza delle identità, una lacuna critica che gli aggressori cercano sempre di colpire. DSP vi aiuta a difenderli.
Ulteriori informazioni sulla protezione degli account di servizio in Active Directory
