Negli ultimi anni, la compromissione degli account di servizio è diventata una delle superfici di attacco più mirate dai ransomware. Questi account, noti come Non-Human-Identities (NHI), sono utilizzati per la comunicazione tra macchine (M2M) in ambienti Active Directory (AD). Nonostante il loro ruolo cruciale, spesso sono trascurati dalle misure di sicurezza tradizionali, rendendoli bersagli appetibili per gli attaccanti.

Gli account di servizio in AD sono creati dagli amministratori per automatizzare compiti ripetitivi o durante l'installazione di software on-premises. Ad esempio, un account di servizio potrebbe essere responsabile dell'aggiornamento di un agente EDR sui server e endpoint. Questi account possiedono privilegi elevati, consentendo loro di accedere e eseguire codice su diverse macchine, una caratteristica che li rende ideali per il movimento laterale durante un attacco ransomware.

Gli attori del ransomware sfruttano frequentemente gli account AD compromessi per ottenere accesso a un Controller di Dominio o a un server utilizzato per la distribuzione del software, permettendo loro di eseguire il payload del ransomware su molteplici macchine in un solo click. Gli account di servizio sono particolarmente vulnerabili per vari motivi:

Alti privilegi di accesso

Gli account di servizio, essendo progettati per accedere ad altre macchine, possiedono i privilegi necessari per eseguire codice su di esse. Compromettere tali account consente agli attaccanti di ottenere accesso e eseguire payload malevoli.

Bassa visibilità

Molti account di servizio sono creati ad-hoc senza documentazione adeguata, rendendo difficile per il personale IT e IAM mantenere un inventario monitorato. Questo favorisce gli attaccanti, poiché un account non monitorato ha maggiori probabilità di passare inosservato.

Mancanza di controlli di sicurezza

Le soluzioni comuni come MFA e PAM non sono efficaci per gli account di servizio. MFA non può essere applicata a questi account poiché non sono associati a un essere umano che possa utilizzare un fattore aggiuntivo per la verifica. Le soluzioni PAM, che si basano sulla rotazione delle password, possono causare interruzioni nei processi critici gestiti dagli account di servizio, lasciandoli essenzialmente non protetti.

La nuova categoria emergente di sicurezza delle identità offre una soluzione a questi problemi. La piattaforma di sicurezza delle identità di Silverfort fornisce visibilità continua, analisi del rischio e applicazione attiva su qualsiasi autenticazione AD, compresa quella degli account di servizio. Silverfort permette la scoperta automatizzata, il profiling comportamentale e la creazione di policy di protezione per ogni account di servizio. Questo consente di rilevare e bloccare qualsiasi deviazione dal comportamento standard dell'account, impedendo agli attaccanti di sfruttare le credenziali compromesse.

Grazie a queste tecnologie avanzate, le organizzazioni possono finalmente proteggere gli account di servizio, riducendo il rischio di attacchi ransomware e migliorando la loro postura di sicurezza complessiva.