Идентификация – это новый периметр. Переход к облачным технологиям и удаленной работе создает новые границы безопасности, основанные на пользователях и сервисах, работающих в облачных и гибридных средах. Поэтому постоянная проверка идентификации и прав доступа становится необходимой для предотвращения несанкционированного доступа и предотвращения использования злоумышленниками ошибок в настройках и чрезмерных прав доступа.
Теперь Cymulate Exposure Validation расширяет возможности проверки безопасности идентификации с помощью моделирования реальных атак в локальных средах Active Directory, Microsoft Entra ID и облачных средах. Эти оценки имитируют методы, которые используют злоумышленники для эксплуатации уязвимостей, связанных с повышением привилегий, злоупотреблением токенами и гибридными доверительными отношениями, что позволяет командам проверять не только состояние конфигурации, но и то, действительно ли средства контроля идентификации и механизмы обнаружения в облаке предотвращают злоупотребления или выявляют их.
Это расширение обеспечивает ощутимую экономическую выгоду благодаря усилению безопасности идентификации и повышению операционной эффективности:
- Снижение рисков — Постоянное выявление чрезмерных привилегий, ошибок в настройках и слабых мест в системе доверия до того, как ими воспользуются злоумышленники.
- Повышение эффективности и масштабируемости — Замена проводимых одноразово ручных аудитов на автоматизированные и повторяющиеся симуляции атак на идентификационные данные.
- Снижение затрат и оптимизация усилий — Определение приоритетности мер по устранению недостатков на основе подтвержденной уязвимости и пробелов в системах обнаружения, чтобы сосредоточить ресурсы там, где это самое важное.
Идентификационные данные являются основной плоскостью атаки
Последние отраслевые опросы показывают, что 99 процентов нарушений безопасности, связанных с облачными технологиями, вызваны незащищенными идентификационными данными. Вместо того чтобы использовать сложные уязвимости программного обеспечения, злоумышленники сосредотачиваются на похищении учетных данных, злоупотреблении токенами и манипулировании процессами аутентификации, чтобы получить законный доступ и действовать практически беспрепятственно.
Громкие инциденты в таких организациях как Snowflake, Cloudflare и Okta, происходили именно по этой схеме. В этих случаях злоумышленники не использовали новых уязвимостей или вредоносного программного обеспечения. Они применяли похищенные учетные данные или перехваченные токены сеансов, чтобы получить прямой доступ к внутренним системам и средам клиентов. Оказавшись внутри, расширение доступа и чрезмерные привилегии позволили злоумышленникам быстро перемещаться по системе, закрепиться в ней и получить более высокие права. Ущерб был вызван не какой-то одной уязвимостью, а совокупным эффектом действия доверительных аккаунтов, работавших именно так, как и предполагалось.
Исследования в области безопасности, проведенные в течение последнего года, подтверждают эту тенденцию к злоупотреблению идентификационными данными, поскольку многие важнейшие открытия касаются именно инфраструктуры идентификации, включая интеграцию Azure Entra ID и Active Directory. К примеру, Cymulate Research Labs продемонстрировали атаки с ретрансляцией Kerberos и удаленное исполнение кода в Azure Windows Admin Center. Среди других значимых открытий злоупотребление глобальными правами администратора с помощью токенов Actor, обнаруженное Дирком Яном, и SyncJacking от Semperis.
Эти атаки не обходят средства контроля безопасности; они используют надежные механизмы проверки подлинности, ключи и роли.
Эта действительность меняет роль управляющего службы информационной сохранности (CISO). Теперь недостаточно лишь определять политику, внедрять средства управления идентификацией и рассчитывать на то, что все под контролем. Вы должны доказать, что ваши средства защиты работают на практике. Вам нужны четкие ответы на такие основные вопросы, как:
- Уязвимы ли мы сейчас?
- Можем ли мы выявить злоупотребление идентификационными данными, когда это происходит?
- Действительно ли наши исправительные меры устранили риск?
- Могут ли отклонения в конфигурации, новые пользователи или новые интеграции незаметно снова создать уязвимость?
Риски, связанные с идентификацией, постоянно изменяются и статические проверки или аудиты не успевают за этими изменениями. Достичь этого можно только с помощью проверки уязвимости идентификации.
Cymulate обеспечивает такую проверку с помощью моделирования реальных атак на идентификационные данные. Платформа безопасно имитирует сложные угрозы идентификации, направленные непосредственно на вашу среду и средства безопасности, применяя те же методы, что и злоумышленники. Она показывает, можно ли воспользоваться уязвимостью, выявляются ли попытки злоупотребления с помощью журналов идентификации, встроенных уведомлений или рабочих процессов SIEM, а также позволяет ли устранение уязвимости существенно снизить риск. Тестирование является непрерывным, повторяющимся и ориентированным на реальное поведение злоумышленников, а не на контрольные списки соответствия требованиям.
Новая проверка уязвимостей с акцентом на идентификацию
Новый набор тестовых данных Cymulate, ориентированный на идентификацию, содержит 72 сценария атак, объединенных в 5 шаблонов, позволяющих командам по безопасности легко и безопасно проводить расширенные симуляции атак для проверки надежности защиты идентификации — как с точки зрения возможностей злоумышленника, так и с точки зрения телеметрии и обнаружения, обеспечивающих EM.
Распространенные методы атак на Active Directory
- Моделирование распространенных атак на AD, таких как перебор, злоупотребление учетными данными и расширение прав доступа.
- Безопасное выполнение недавно обнаруженных эксплойтов AD.
- Проверка эффективности мер предотвращения и обнаружения в контексте конфигурации идентификации и средств контроля идентификации.
Microsoft Entra ID
- Моделирует атаки на облачные аккаунты, в том числе операции с высоким уровнем привилегий и злоупотребление сторонними приложениями Entra ID.
- Проверка эффективности условного доступа, системы оповещения и реагирования.
- Проверяет, обнаружены ли средства защиты Entra ID и локализуют случаи злоупотребления учетными записями.
Гибридная среда Azure и Active Directory
- Проверка безопасности идентификации в интегрированных развертываниях AD и Entra ID.
- Проверка соблюдения политик, контроля доступа и мониторинга в рамках синхронизации и токенов идентификации.
- Выявляет пробелы, возникающие из-за гибридных доверительных отношений.
Подготовка к пентесту Active Directory
- Применяет методы атак, обычно используемые во время пентестов AD.
- Помогает командам оценить уровень готовности перед тестированием силами Red team или сторонними организациями.
- Проверяет, блокируют ли средства контроля безопасности или обнаруживают атаки.
Службы сертификатов Active Directory (ADCS)
- Проверка методов злоупотребления ADCS, включая неправильно выданные сертификаты и расширение привилегий.
- Проверка обнаружения атак на основе сертификатов, которые часто не оказываются традиционными средствами защиты
- Выявляет слабые места в системе доверия, позволяющие получить долгосрочный доступ.
Превратите риски, связанные с идентификацией, в доказательства
Атаки, направленные на идентификацию, уже стали основным способом проникновения, поскольку злоумышленники используют доверие, заложенное в самой системе. Единственный способ узнать, выдержат ли ваши средства контроля идентификации — это проверить их так же, как это делают злоумышленники.
Для клиентов Cymulate именно сейчас пора активировать новые сценарии, ориентированные на идентификационные данные, и постоянно проверять уровень уязвимости в средах Active Directory, Microsoft Entra ID и гибридных средах. Проведите оценки, проанализируйте, что было обнаружено (а что нет), проверьте эффективность мониторинга SIEM, убедитесь, что принятые меры действительно снижают риск, и запланируйте регулярные оценки, чтобы избежать повторного возникновения уязвимостей из-за отклонения от конфигурации или появления новых идентификационных данных.
Для команд по безопасности, которые оценивают Cymulate, эти сценарии атак на идентификационные данные дают четкий и измеряемый способ оценить готовность к противодействию наиболее распространенным на сегодняшний день методам взлома.
Источник: Validate What Matters: Simulate Real-World Identity and Privilege Attacks in AD and Entra ID
