Что общего имеют 7 из 10 крупнейших инцидентов ИБ в 21 веке? При расследовании этих инцидентов были выявлены случаи компрометации привилегированных учетных записей. В хорошо организованных операциях злоумышленники смогли захватить административные или сервисные учетные записи и с их помощью получить доступ к большому количеству корпоративной информации.
Периметр больше не способен в одиночку удерживать злоумышленников. В эпоху цифровой экономики с общедоступными приложениями, личными устройствами (BYOD) и гибридными ИТ-сетями способы проникновения практически безграничны, и хакеры используют эти возможности различными способами.
Как злоумышленники крадут привилегированные учетные записи?
Прямые атаки на привилегированных пользователей, таких как системные администраторы, случаются, но гораздо чаще злоумышленники выбирают более простую начальную цель. Обычные сотрудники, как правило, менее технически подкованы, и их проще атаковать. Как только учетные данные пользователя скомпрометированы, злоумышленники переключают внимание на конечную цель - привилегированные учетные записи.
Большинство атак начинаются с попытки обмануть ничего не подозревающих пользователей. В ходе фишинговой атаки злоумышленник с помощью почты, мессенджеров или социальных сетей пытается убедить жертву поделиться ценной информацией (такой как учетные данные), или предлагает открыть документ, или перейти по ссылке, в результате чего установить вредоносное ПО на компьютер пользователя.
В Телеграм-канале Softline наши эксперты рассказывают о фишинговых атаках, а также делятся экспертными вариантами защиты для компаний.
Как только злоумышленники закрепляются в ИТ-среде жертвы, начинается стадия внутренней разведки. Они попытаются собрать как можно больше информации об инфраструктуре, составить карту сети и систем. Знание сети помогает хакерам получить более высокие привилегии и достигнуть конечной цели – например, получить доступ к контроллеру домена. Передача хэша (Pass-the-hash), перехват SSH-ключа, эксплойты ядра и служб - три основных метода, используемых для повышения привилегий. Это позволяет установить практически полноценный контроль над целевой системой.
Как защитить компанию от кражи учетных записей?
Аудит и усиление организационных мер безопасности является одним из простых и эффективных способов снизить риск кражи привилегированных учетных записей. Как это сделать?
Сформировать полный и актуальный список привилегированных учетных записей
С ростом ИТ-инфраструктуры увеличивается и количество привилегированных учетных записей. Управляя тысячами серверов и сетевых устройств, компаниям зачастую не хватает точности в инвентаризации активов.
Ограничить область действия каждой привилегированной учетной записи
Нужно использовать принцип наименьших полномочий для всех привилегированных учетных записей: каждая учетная запись должна иметь только те права, которые необходимы для выполнения конкретной задачи. Например, учетная запись для администрирования приложения не должна иметь никаких системных привилегий, кроме необходимых для внесения изменений в конфигурацию приложения и его перезапуска. Заводить учетные записи только в тех системах, где они нужны.
Удалить все учетные записи и привилегии, которые больше не требуются
При переводах и увольнении сотрудников зачастую возникают проблемы с безопасностью, связанные с наличием прав, которых не должно быть у сотрудников. В случае с внешними подрядчиками управление ситуацией еще более сложное, особенно если доступ требуется только для краткосрочного проекта.
Формализовать политику паролей
Компании с высоким уровнем безопасности обычно применяют формализованную политику паролей для привилегированных учетных записей. Кроме стандартных требований, характерных для всех учетных записей, следует запретить или усилить контроль за совместным использованием привилегированных учетных записей.
Внедрение технологий для контроля привилегированного доступа
Управление паролями
Чем больше компания, тем сложнее управлять привилегированными доступом. Многие начинают с внедрения ПО, разработанного под задачу управления паролями привилегированных учетных записей. Эти решения контролируют доступ к привилегированным учетным записям, генерируют надежные пароли и хранят их в защищенном виде:
- Надежные пароли усложняют задачу хакеров
- Пароли управляются централизованно, так их легче защитить
- Решения автоматизируют процессы, делая возможным создание и ротацию надежных паролей даже для десятков тысяч учетных записей
- Решения позволяют предоставлять привилегированный доступ на ограниченное время или в течение определённых промежутков времени.
Однако системы управления паролями имеют свои ограничения. После компрометации учетных данных злоумышленники могут свободно перемещаться по сети. Более того, эти инструменты не предоставляют информацию о действиях злоумышленников после вторжения. Чтобы снизить риск атак, связанных с кражей привилегированных учетных записей, организациям необходимы дополнительные эшелоны защиты.
Управление сессиями
Скомпрометировав привилегированные учетные записи, злоумышленники могут нанести огромный ущерб. Решения для управления сессиями обеспечивают централизованный контроль доступа, предоставляя ряд преимуществ:
- Централизованное управление политиками, которые позволяют ограничить активность пользователей̆ вплоть до уровня команд.
- Мониторинг действий привилегированных пользователей в режиме реального времени.
- Запись сессий с возможностью поиска и ответа на вопрос «кто и что сделал» в важных системах.
- Двойной контроль с авторизацией супервайзера для работы в особо критичных системах.
- Оповещение и разрыв сессий в случае нарушения политик.
Управление сессиями снижает риск взлома, ограничивая типы активов, к которым можно получить доступ, и типы команд, которые могут быть выполнены. Однако, это не позволяет оперативно выявлять факты компрометации учетных записей. В этом помогают технологии машинного обучения и аналитики.
Аналитика поведения пользователей для контроля привилегированного доступа
Целевые атаки зачастую используют инструменты нулевого дня для реализации сценариев атак. Традиционные решения по ИБ, такие как SIEM, часто не справляются с задачей обнаружения, так как используют методы детектирования, основанные на правилах. Множество типов атак остаются незамеченными. Именно эту брешь закрывает аналитика поведения пользователей̆.
Биологи определяют поведение любых живых организмов как скоординированные реакции на внутренние и/или внешние раздражители, поэтому поведение – это все, что мы делаем сознательно. Точно так же цифровое поведение – это все, наши действия в цифровом мире. Характеристики набора текста, разрешение экрана нашего компьютера, смартфона или планшета, любимые приложения или веб-сайты и многое другое являются нашими цифровыми следами, которые характеризуют нас не менее, чем наши привычки для мошенников в онлайн-среде. Решения по аналитике поведения пользователей (UBA) способны распознавать и дифференцировать пользователей в зависимости от их цифровой активности.
Собирая данные о поведении пользователей и анализируя их, инструменты UBA строят модель типового поведения пользователей и позволяют выявлять аномальное с точки зрения безопасности поведение. Постоянное сравнение фактической активности с цифровыми отпечатками каждого пользователя позволяет решениями обнаруживать подозрительную активность, связанную с атакой.
One Identity Safeguard
Кража привилегированных учетных записей использовалась в большинстве из самых крупных кибератак. Организации постоянно страдают от изощренных обеспеченных ресурсами киберпреступников, но существуют меры для снижения рисков. Относительно простые улучшения процессов и регламентов в сочетании с технологиями управления привилегированным доступом, такими как управление сессиями и использование расширенной аналитики, могут помочь обнаружить скомпрометированные привилегированные учетные записи и остановить злоумышленников, прежде чем они смогут нанести ущерб организации.
Softline рекомендует решение One Identity Safeguard - это интегрированное решение, сочетающее в себе возможности безопасного хранилища паролей, централизованного управления сессиями, а также обнаружения и анализа угроз. Решение сертифицировано Оперативно-аналитическим центром при Президенте Республики Беларусь. Оно надежно записывает, анализирует, хранит и управляет учетными данными привилегированных пользователей.
Сценарии использования One Identity Safeguard:
- персонификация доступа к информационным системам
- контроль доступа к критической инфраструктуре
- обнаружение скомпрометированных аккаунтов
- запись сессий и создание доказательной базы
- организация доступа удаленных бизнес-пользователей
- принуждение к проведению работ в окна обслуживания
- контроль доступа внешних подрядчиков.
Про решение One Identity Safeguard мы также рассказываем в нашем Телеграм-канале. Кроме того, там публикуем анонсы мероприятий и другие экспертные интервью. Подписывайтесь!
Для получения дополнительной информации о решении Вы можете обратиться к специалисту Softline:
Александр Дубина,
руководитель направления информационной безопасности Softline
+375 17 336-55-95 (доб. 4496)
Alexander.Dubina@softline.com
Горячие темы