Las cuentas de servicio son identidades no humanas que se utilizan para automatizar las interacciones entre máquinas. Respaldan funciones críticas (como la ejecución de scripts, servicios y aplicaciones, como sitios web, API y bases de datos) y facilitan las integraciones, ya que funcionan como un proxy para los humanos y respaldan los procesos comerciales.

En un mundo ideal, las cuentas de servicio tienen un único «trabajo», se les concede acceso con privilegios mínimos a los recursos y se las supervisa y gestiona teniendo en cuenta las mejores prácticas de seguridad de la identidad. En esta utopía, los actores de amenazas y las violaciones de datos son inexistentes.

Pero este es el mundo real. Las cuentas de servicio suelen tener demasiados privilegios, se olvidan y carecen de protocolos de seguridad de contraseñas adecuados. Algunas de estas cuentas de servicio que alguna vez fueron productivas se vuelven inactivas con el tiempo, lo que las convierte en objetivos adecuados para los actores de amenazas.

¿Qué hace que las cuentas de servicio permanezcan inactivas?

Las cuentas inactivas son cuentas de servicio inactivas. Si bien no existe un período de tiempo universalmente aceptado para que una cuenta de servicio se considere inactiva, por lo general, la definición comienza a aplicarse a los 90 días de inactividad. Si la cuenta de servicio no se ha utilizado para realizar operaciones o acceder a sistemas después de 90 días, o si está asociada con aplicaciones o servicios obsoletos, se considera inactiva.

Otros parámetros de las cuentas de servicio inactivas incluyen permisos obsoletos o roles asignados a la cuenta que ya no son necesarios. Las cuentas de servicio redundantes cuya función ha sido reemplazada por cuentas más nuevas también se consideran inactivas. Finalmente, la falta de un propietario definido para realizar un seguimiento del propósito de las cuentas de servicio, sus cadenas de acceso y administrar y actualizar las contraseñas también las convierte en inactivas.

Cómo las cuentas de servicio inactivas se convierten en claves invisibles para los atacantes

Estas cuentas aparentemente “muertas” plagan a organizaciones de todos los sectores del mundo porque pueden ser explotadas con facilidad. Las cuentas inactivas pasan desapercibidas, lo que hace que las organizaciones no sean conscientes de sus privilegios de acceso, los sistemas a los que se conectan, cómo acceder a ellos e incluso de su propósito de existencia.

Sus privilegios elevados, medidas de seguridad laxas e invisibilidad hacen que las cuentas de servicio inactivas sean los principales objetivos de infiltración. Al comprometer una cuenta de este tipo, los atacantes pueden obtener un acceso significativo a los sistemas y a los datos confidenciales, a menudo sin levantar sospechas inmediatas durante largos períodos de tiempo. Durante ese tiempo, los cibercriminales pueden elevar los privilegios, exfiltrar datos, interrumpir las operaciones e instalar malware y puertas traseras, causando un caos total sin ser detectados hasta que es demasiado tarde.

Las debilidades que afectan a las cuentas inactivas les permiten abrir puertas al sistema de una organización. Si se ve comprometida, una cuenta inactiva con privilegios excesivos puede dar paso a datos confidenciales, como información personal identificable (PII), información médica protegida (PHI), propiedad intelectual y registros financieros de clientes, lo que da lugar a costosas y dañinas violaciones de datos .

Incluso sin sufrir una vulneración de seguridad, las cuentas inactivas suponen un riesgo importante que puede provocar interrupciones operativas y violaciones de las normas de cumplimiento normativo. Los reguladores han asociado históricamente la identidad con los usuarios, lo que ha llevado al desarrollo de numerosas herramientas diseñadas para proteger las cuentas humanas. Por ejemplo, la MFA es un método de seguridad sólido para las cuentas de usuario. Sin embargo, la MFA no se puede aplicar a las cuentas de servicio: como bots automatizados, no pueden demostrar su identidad.

En industrias altamente reguladas, las cuentas inactivas con privilegios excesivos pueden generar incumplimiento, lo que a su vez trae como consecuencia repercusiones legales, daños a la reputación y multas significativas.

Cambiando la percepción de seguridad hacia métodos modernos

Tradicionalmente, los profesionales de seguridad han asumido que el perímetro es el principal punto de entrada para los actores de amenazas, pero la proliferación y el crecimiento de las amenazas cibernéticas y los rápidos avances en la tecnología han creado una gran cantidad de nuevos vectores de ataque.

Para abordar este problema, en la actualidad hay más de 3500 proveedores que se centran en abordar distintos aspectos de la ciberseguridad. Los profesionales de la seguridad tienen la difícil tarea de combinar diversas herramientas y tecnologías para proteger a sus organizaciones y mantenerse al día con los últimos cambios y avances.

Sin embargo, vivimos en una nueva realidad que exige que los profesionales asuman que los atacantes ya están en el sistema. Este cambio de perspectiva permite a las empresas prepararse mejor para posibles ataques abordando sus puntos débiles internos, como las cuentas de servicio inactivas.

Si bien la mayoría de las empresas dependen actualmente de soluciones de detección de vulnerabilidades de identidad estáticas para detectar actividades anormales en identidades humanas y no humanas (de servicio), estas herramientas a menudo no son suficientes. Solo brindan una instantánea del comportamiento actual y no tienen en cuenta las cuentas inactivas, ya que carecen de la capacidad de rastrear los cambios a lo largo del tiempo.

El primer paso fundamental es descubrir las cuentas inactivas, junto con sus servicios y privilegios asociados. La implementación de una solución de seguridad de identidad moderna con capacidades de monitoreo y transmisión de comportamiento permite a las empresas encontrar cuentas tanto humanas como de máquinas y recibir actualizaciones en tiempo real sobre sus actividades, lo que permite el monitoreo continuo y la detección de comportamientos anormales.

Fuente y redacción: Tim Eades (Anetac) / helpnetsecurity.com

Compartir