BeyondTrust社ブログ記事, “Service Accounts – Don’t Overlook this Hidden Privileged Access Risk” November 9, 2020 by Christopher Hills より
サービスアカウントは一層、サイバー攻撃のターゲットになっていますが、その理由は簡単です。サービスアカウントは、隠れた大きなリスクをもたらす可能性があります。サービスアカウントとは何でしょうか。最も単純な形態では、サービスアカウントが人間のアカウントの代わりに使用されます。
人事担当のユーザーとIT担当のユーザーとの違いと同様、多様なサービスアカウントには、それぞれに特殊な役割と多様な種類のアクセス方法があります。サービスアカウントの一般的な用途には、実行中のサービス、スケジュール化されたタスク、アプリケーション、プロセス、自動化、またはスクリプト類が挙げられます。サービスアカウントの使用方法や用途は無数にありますが、その背後にある考え方は、特定の目的を実行するために、個々のセキュリティと、それらに関する制御の手段を提供することです。
サービスアカウントの管理だけでは気が遠くなることがあります。サービスアカウントを管理するためのベストプラクティスでは、アカウントが常にどこでどのように使用されているかを常時認識して把握する必要があります。次に、パスワードローテーション間隔の統合など、パスワードセキュリティのベストプラクティスを実施するという課題がありますが、もちろん、サービス停止を引き起こすわけにもいきません。
「そりゃ、すべて素晴らしいことですが、私たちは自分たちのサービスアカウントについてわかっています!」と思われるかもしれません。私は日々「お客様は?」と挑戦しています。
サービスアカウントは何十年もの間使用されてきました。新しいサービスアカウントのプロセスがあるかもしれませんが、すべてのレガシーシステムのアカウントはどうですか?それらについて判っている場合、パスワード変更を強制することをきちんと管理していますか?または、パスワード変更した場合に停止が発生することを危惧する他の企業と同じですか?
私は常にCISOとセキュリティの専門家に、ネットワークの四隅すべてでサービスアカウントを積極的に発見するように提案しています。結局のところ、最大のリスクをもたらすのは、既に認識しているアカウントではなく、認識されていないアカウントです。また、あらゆる種類の特権アクセスを持つアカウントに関しての話であれば、環境の機密部分への裏口をいつでも露呈している可能性があります。
サービスアカウントの一般的な用途には特権を持つ場合も含みますが、どのような影響があるでしょうか?
サービスアカウントとその使用方法について考えると、いくつかの使用用途が思い浮かびます。スケジュールされたタスク、またはサービスの実行の最も単純な形式から、アプリケーション、統合、データベース、スクリプトなどによる、より複雑な形式まで。これらの使用用途はすべて、環境、サーバー上、アプリケーション内、またはドメイン内でも、中断することなく適切に機能するためには、何らかの形の特権を必要とします。したがって、サービスアカウントがどこでどのように使用されているかを知ることは、非常に重要なセキュリティ上の考慮事項になります。
多くの場合、サービスアカウントはActive Directoryに存在しますが、それ以外の場合でも、アカウントの使用方法と使用場所に関する詳細を書き出すことは困難です。このための文書化されたプロセスがあると思う人もいるかもしれませんが、私たちの経験でのある時点では、文書の作成や更新について苦労したことに同感いただけると思います。大企業の場合、これに数百または数千個のサービスアカウントに対して、ライフサイクルを完了するために必要な追跡、説明責任、管理、特権、および監査可能性を整理していきます。負担は積み重なっています。
これをさらに一歩進めて、特権の昇格と管理者権限の削除について、今まで以上に重要である理由についてお話ししましょう。
リモートアクセスは、サイバー犯罪者にとって引き続いて最大の攻撃経路です。もちろん、遠隔地での業務遂行と在宅勤務を取り巻く現在のパンデミックの状況がこの傾向を強めています。さらに、侵害の80%は、何らかの形の特権資格情報の悪用、濫用を伴っています。
仮にあなたがサイバー犯罪者と結託して上陸拠点を確立した上で組織を危険にさらす方法を考える場合、サービスアカウントは最初に頭に浮かぶことの1つでしょうか?そうではないかもしれませんが、これは素晴らしい論点です。
サイバー犯罪者は、企業がサービスアカウントの管理や権限の過度な割り当てに苦労することがよくあることをわかっています。リクエスト元から利用できる定義済みの役割ベースのアクセス制御(RBAC)若しくは権限委任モデルの欠落で、サービスアカウントが構成されて「ドメイン管理者」グループに追加されることもよくあります。必要になる全ての委任された権利を定義するドキュメントの不足していれば、サービスアカウントをドメイン管理者グループに配置する、または要求された時点で、この方向に進んでしまうことに同感されると思います。
これはサイバー脅威の側にとって何を意味するでしょうか?サービスアカウントが侵害された場合、犯罪者はそのアカウントを利用してマルウェア、ランサムウェア、スパイウェアをインストールできます。その後で、制限なしに環境全体を横方向に移動し、システム内を探索し、ソフトウェアを追加インストールし、アカウントやデータを削除し、名前を付けることができます。これを大規模に考える場合は、「侵害するのは「もし」の問題ではなく、「いつ」の問題である」という概念と結びつけてください。あなたは隠されたリスク、サービスアカウントの大きさに気づき始めます。
サービスアカウントに特化して、悪用された場合に組織や会社にどのような悪影響を与える可能性があるかを時間、エネルギー、労力を費やして確認してください。 サービスアカウントの検出と管理は、その権限を制限するとともに、見逃してはならないますます重要なセキュリティ対策です。
BeyondTrustのソリューションを使用して、サービスアカウントを検索、管理、および保護します。 今すぐお問い合わせください。