Zatímco zneužití přihlašovacích údajů je primárním vektorem počátečního přístupu, ohrožení identity hraje klíčovou roli ve většině fází kybernetického útoku. Zde je to, co potřebujete vědět – a jak vám může Tenable pomoci.
Narušení identity hraje klíčovou roli v tom, jak se útočníci laterálně pohybují v rámci organizace. Zneužití přihlašovacích údajů je nejčastějším vektorem počátečního přístupu, který je podle zprávy Verizon Data Breach Investigations Report z roku 2025 součástí 22% narušení, těsně následovaný zneužitím zranitelností (20%). Narušení identity však nekončí po počátečním přístupu. Hraje klíčovou roli v pěti fázích kybernetického útoku.
Pochopení následujících fází útoku pomáhá objasnit, kde se identita stává vektorem hrozby:
- Počáteční přístup
- Průzkum
- Laterální pohyb a eskalace privilegií
- Perzistence a vyhýbání se detekci
- Nasazení
Níže prozkoumáme kroky, které mohou bezpečnostní týmy podniknout k ochraně identit v každé z těchto fází. I když zde uvedené pokyny vycházejí z ochrany místních prostředí Microsoft Active Directory, stojí za zvážení, jak může kompromitace přihlašovacích údajů ovlivnit infrastrukturu Microsoft Entra ID a hybridní identity. Také se budeme zabývat tím, jak lze v každé fázi použít Tenable Identity Exposure, který je k dispozici v platformě Tenable One Exposure Management Platform, k poskytnutí cenných informací bezpečnostním týmům, které jim pomohou proaktivně snížit vystavení kybernetickým útokům.
Fáze 1: Počáteční přístup
Útočníci potřebují oporu a zneužití přihlašovacích údajů jim ji umožňuje získat. Aby se zabránilo zneužití přihlašovacích údajů útočníky, musí organizace proaktivně zajistit, aby jejich uživatelé měli silné heslo doplněné dvoufaktorovým (2FA) nebo vícefaktorovým ověřováním (MFA). Toho se dosahuje vynucováním zásad pro složitost hesla, délku, opětovné použití a četnost změn, které musí uživatelé organizace dodržovat. Přesto může být pro bezpečnostní týmy pověřené vynucováním těchto zásad náročné mít plný přehled o identitách.
Tenable Identity Exposure poskytuje následující indikátory, které mohou bezpečnostní týmy využít k získání přehledu o oblastech, kde mohou existovat slabiny.
Fáze 2: Průzkum
Jakmile útočníci získají přístup do prostředí, musí pochopit, jak vypadá a jak mohou zneužít konfigurace a/nebo zranitelnosti, aby se dostali k dalšímu kroku, kterým je laterální pohyb a eskalace oprávnění. Existuje řada legitimních bezpečnostních nástrojů, které mohou útočníci použít k získání vhledu do prostředí. Pokud jsou tyto nástroje použity proti prostředí se zlým úmyslem, prozradí klíčové tajemství, které pak lze zneužít pro pohyb v rámci prostředí.
Tenable Identity Exposure poskytuje indikátory útoku, které bezpečnostním týmům poskytují přehled o chování, které vypadá, jako by ve vašem prostředí byly spuštěny tyto bezpečnostní nástroje, což by mohlo být škodlivé, pokud by nebylo očekáváno.
Mezi tyto indikátory patří:
Fáze 3: Laterální pohyb a eskalace privilegií
Jakmile útočníci dokončí průzkum, pokusí se využít svá zjištění k pohybu mezi objekty vašeho prostředí, aby získali přístup k privilegovaným prostředkům potřebným k dalšímu útoku. Jak to dělají? Zneužitím vztahů. Mohou se pokusit o přístup k systému, který ukládá do mezipaměti přihlašovací údaje privilegovaných uživatelů, nebo se mohou pokusit resetovat heslo jiné identity v prostředí. Abyste se před takovou aktivitou chránili, je třeba vynucovat zásady omezující, kdo se může přihlašovat k určitým typům systémů, zabránit ukládání hesel do mezipaměti, kde je to možné, a odstranit zbytečné vztahy mezi objekty. Tenable Identity Exposure poskytuje indikátory, které mohou bezpečnostním týmům pomoci spravovat omezení a odhalovat nesrovnalosti, včetně:
Tenable je také schopen poskytovat grafické znázornění vztahů mezi objekty identity v útočných cestách.
Fáze 4: Vytrvalost a úhybné manévry
Dalším klíčovým cílem laterálního pohybu je dostat se útočníků do pozice, kde mohou získat trvalý přístup k prostředí a vyhnout se odhalení. Vzhledem ke složitosti a požadavkům řešení identity, jako je Active Directory, existuje řada technik backdooringu, které lze využít. Jednou z méně známých je zneužití kontejneru AdminSDHolder. Jakmile je do tohoto kontejneru, který je ve výchozím nastavení v Active Directory skrytý, přidána identita, bude k ní pravidelně udělován přístup vysoce privilegovaným skupinám, jako jsou administrátoři domény. Tento přístup je udělován prostřednictvím procesu SDProp, který je ve výchozím nastavení naplánován na spuštění každých 60 minut. Takže i když je přístup odebrán přímo privilegovaným skupinám, je znovu udělen o hodinu později prostřednictvím procesu SDProp, když je přístup AdminSDHolder udělen. Tenable Identity Exposure má následující indikátor, který poskytuje nepřetržitý přehled o členství v AdminSDHolder:
Na trhu existuje řada bezpečnostních nástrojů, které dokáží provádět hodnocení v čase a odhalit slabiny, které je třeba řešit; tato data jsou často poskytována v jediné zprávě bez filtrovatelné historie. Vzhledem k dynamické povaze identit zanechávají hodnocení v čase mezery v přehledu pro bezpečnostní týmy. Útočníci mohou těchto mezer využít k provedení změn v prostředí, které usnadňují jejich činnosti, a poté je vrátit zpět před provedením dalšího hodnocení v čase, takže bezpečnostní týmy z toho nic nevědí. Aby bylo monitorování konfigurace identit co nejefektivnější, mělo by být nepřetržité a mělo by mít filtrovatelný a referenční záznam všech změn.
Tenable Identity Exposure neustále monitoruje službu Active Directory a níže uvedený indikátor poskytuje pro tento účel tok informací:
Fáze 5: Nasazení
Nakonec tu máme nasazení datové části, jako je škodlivý kód, malware nebo ransomware. Je pravděpodobné, že útočník bude muset k dosažení tohoto cíle spustit nějaký skript nebo instalační program – například skripty PowerShellu. Zavedení omezení prostřednictvím bezpečnostních zásad, které zabrání jejich spuštění, může dramaticky snížit riziko.
Tenable Identity Exposure poskytuje následující indikátor, konkrétně související s ransomwarem, který pomáhá bezpečnostním týmům získat přehled o místech v prostředí, kde by mohla být omezena možnost spouštění skriptů PowerShellu a přístupu k AppLockeru:
Širší obraz
Stručně řečeno, vidíme, jak je identita jádrem každé z těchto pěti fází kybernetického útoku. Zatímco výše uvedené příklady se zaměřují na lokální službu Active Directory, hybridní prostředí jsou také cílem útočníků, jako například útok Storm -0501 v roce 2024. Tenable Identity Exposure, dostupný v platformě Tenable One Exposure Management Platform, poskytuje přehled o Active Directory i Entra ID. Tenable Cloud Security také poskytuje komplexní pohled na oprávnění k identitě v rámci poskytovatelů veřejného cloudu a poskytovatelů identit (IdP), jako jsou Ping Identity a Okta.
Zabezpečení identity je základem proaktivního programu řízení rizik. Aby organizace dosáhly efektivního řízení rizik, potřebují komplexní přehled o celém povrchu útoku. To znamená shromáždit všechna dostupná data z jejich bezpečnostních nástrojů, včetně dat o identitě, aplikacích, cloudu, provozních technologiích (OT), koncových bodech, inventářích aktiv, databázích pro správu konfigurace (CMDB), informačních kanálech o hrozbách a dalších. Kombinací poznatků z těchto rozmanitých datových zdrojů mohou bezpečnostní týmy vidět širší obraz a propojit aktiva, zranitelnosti, chybné konfigurace a stávající kompenzační kontroly v různých prostředích. Platforma Tenable One Exposure Management vám poskytuje jednotný, prioritní pohled na riziko. Prolomením datových sil a integrací poznatků z více bezpečnostních nástrojů mohou organizace snížit pravděpodobnost narušení a minimalizovat vystavení riziku v celém povrchu útoku. Místo toho, aby se na rizika dívaly izolovaně, mohou bezpečnostní týmy propojit jednotlivé body – pochopit, jak útočníci vidí své prostředí, a podniknout chytřejší a proaktivnější kroky ke snížení vystavení.
Pro více informací nás neváhejte kontaktovat.
Zdroj: Tenable
