CyberArk introduceert tool om Shadow Admins te detecteren

Abonneer je gratis op Techzine!

Securitybedrijf Cyberark lanceert SkyArk, een open-source tool om zogeheten Shadow Admins te identificeren in de clouds van AWS en Microsoft Azure. Shadow Admins worden vaak gebruikt door cybercriminelen.

Shadow Admins zijn accounts die geen administratorrechten behoren te hebben, maar wel over zulke rechten beschikken. Deze accounts worden vaak over het hoofd gezien omdat ze zich niet registreren als leden van de Active Directory-groep. Misconfiguraties zijn vaak de oorzaak voor het ontstaan van deze accounts. Cybercriminelen maken gebruiken van Shadow Admins omdat ze niet opvallen, toegang hebben tot gevoelige data en zichzelf administratorprivileges kunnen toekennen.

Organisaties weten vaak wel wie de admins zijn, maar het is moeilijker om erachter te komen wie Shadow Admins zijn. Complexe omgevingen, zoals AWS en Azure, hebben vaak duizenden parameters om de rechten van accounts te bepalen en dit maakt het uiterst moeilijk om onterechte admins eruit te vissen.

SkyArk

SkyArk wordt gebruikt om de omgevingen te scannen naar Shadow Admins. De tool bevat twee componenten, namelijk AWStealth en AzureStealth voor AWS en Azure. Beheerders krijgen een duidelijk overzicht van alle accounts en de rechten die elk account heeft waardoor Shadow Admins er makkelijk uitgehaald kunnen worden. De tool detecteert ook onbeschermde gebruikers die beschikken over specifieke adminrechten.

Zowel red teams als blue teams hebben toegang tot de resultaten van SkyArk. Red teams kunnen de resultaten gebruiken om de betrouwbaarheid van het systeem te testen en om gerichte aanvallen uit te voeren op Shadow Admins. Blue teams kunnen de resultaten gebruiken om de beveiliging aan te scherpen.

CyberArk heeft de code van SkyArk op GitHub geplaatst zodat iedereen zelf aan de slag kan gaan met de code.

Tip: Cybercriminaliteit steeds geavanceerder: “we kunnen zo niet doorgaan”