Использование привилегированных учетных записей при проведении атак на инфраструктуру
Узнать большеДоля инцидентов в сфере информационной безопасности по вине привилегированных пользователей не превышает 10% от общего количества нежелательных случаев. Но несмотря на такую невысокую цифру, их предотвращению нужно уделять большое внимание. Учитывая уровень важности информации, к которой могут иметь доступ владельцы привилегированных учетных записей, а также степень их влияния на информационные системы (далее – ИС) компании, ущерб для бизнеса от инцидентов по их вине может значительно превосходить потери от действий обычных пользователей.
Управление привилегированными пользователями организуется по тем же принципам, что и обычными. Но есть несколько особенностей при работе с такими «учетками». Их стоит учитывать.
Какие учетные записи относятся к привилегированным и какие опасности могут исходить от них
Владельцы таких «учеток», как правило, работают непосредственно с критическими для компании данными и инфраструктурой. Типичные пользователи подобных учетных записей: сисадмины, администраторы баз данных, сетевые инженеры, специалисты службы безопасности, руководители разных уровней. Если компания пользуется услугами аутсорсеров, для них часто также предусматривается привилегированная идентификация. И аккаунты таких специалистов относятся к рассматриваемой категории. Высокими (или неограниченными) полномочиями и привилегиями могут наделяться различные типы учетных записей:
-
Личные, которые постоянно используются пользователем для работы с информационными системами.
-
Административные. Создаются в каждой целевой информационной системе (как правило автоматически), используются для обеспечения ее работоспособности, настойки.
-
Служебные. Такие «учетки» используются для организации взаимодействия разных ИС между собой.
-
Аварийные. Применяются при возникновении проблем в информационных системах для восстановления их работоспособности.
-
Также учетные записи с привилегированным доступом различаются между собой областью применения. Это:
-
«Учетки» приложений. Действуют в рамках целевого приложения или ИС).
-
Локальные. Применяются в рамках одной рабочей станции или сервера. Могут использоваться при работе с несколькими целевыми ИС.
-
Доменные. Их действие распространяется на компьютеры, серверы, приложения и другие составляющие IT-инфраструктуры в рамках одного домена.
Потенциальные опасности и угрозы от аккаунтов с привилегиями
Вред, который могут нанести пользователи таких «учеток», зависит от возможностей, которые даются им вместе с неограниченным (почти неограниченным) доступом. Это может быть:
-
Несанкционированное распространение важных корпоративных данных.
-
Умышленное изменение или уничтожение информации. Как вариант – для сокрытия следов противоправных действий.
-
Установка вредоносных скриптов, бэкдоров, эксплойтов.
-
Изменение настроек целевой информационной системы, нарушение ее работоспособности.
Угрозы могут быть реализованы, как владельцами аккаунтов с привилегированным доступом, так и третьими лицами, завладевшими данными для доступа к ним.
Способы и инструменты управления привилегированным доступом
Одна из главных целей управления привилегированными учетными записями – организация процессов в компании таким образом, чтобы всегда было известно, кто из сотрудников и какие имеет привилегии. Организовать все можно двумя способами: административным или автоматизированным.
Административный применяют многие компании. Он подразумевает использование «учеток» с привилегиями несколькими сотрудниками. Каждому из них на время выполнения работ выдается пароль. После окончания работ он меняется. «Заведует» этим специальный человек – хранитель паролей. В принципе, схема жизнеспособная и довольно эффективная при условии соблюдения всех требований политики безопасности. Но подходит далеко не всем. Чем больше в компании сотрудников, которым нужны привилегированные учетные записи, и чем больше целевых ИС, в которых они применяются, тем сложнее управлять всем этим.
При автоматизированном управлении привилегированным доступом роль хранителя паролей выполняет специализированное ПО. С такими задачами отлично справляются решения класса IdM/IGA. Это ПО позволяет отказаться от аккаунтов «общего пользования». Сотрудники, работающие с учетными записями с высокими привилегиями, могут запрашивать необходимые им доступы для личного аккаунта в целевой информационной системе через веб-интерфейс. Выдача и отзыв полномочий при помощи таких решений происходят быстро, практически мгновенно. Кроме того, эти системы:
-
Выполняют аудит и ресертификацию прав доступа контролируемых аккаунтов. Можно инициировать этот процесс в любое удобное время или настроить его запуск по расписанию.
-
Автоматически строят отчеты. Специалист по информационной безопасности в любой момент времени владеет полной картиной, касающейся привилегированной идентификации пользователей в разных информационных системах.
-
Предотвращают SOD-конфликты и другие инциденты, связанные с правами доступа. При обнаружении каких-либо отклонений от заданных правил и политик система информирует специалиста по ИБ о вероятной проблеме.
-
Контролируют операции и приостанавливают их. Современные IdM/IGA могут не только формировать оповещения при подозрении на нарушения. При необходимости они блокируют аккаунты, которые могут быть скомпрометированы, и действия с них.
С помощью IdM/IGA-систем можно управлять привилегированными пользователями в любых целевых ИС. Такие решения взаимодействуют с СУБД, офисными программами, веб-приложениями, системами удаленных рабочих программ и так далее. Обмен данными с ними происходит при помощи коннекторов. При необходимости разработчики решений IdM/IGA могут модифицировать уже имеющиеся коннекторы или создавать новые для взаимодействия с каким-то специфичным ПО, использующимся в компании.
Стоит заметить, что многие автоматизированные системы управления и контроля учетными записями взаимодействуют другу с другом, расширяют возможности друг друга. Эксперты все чаще говорят об интеграции разных инструментов в единый комплекс для повышения синергетического эффекта. Например, PAM- и IdM/IGA-системы вроде Solar SafeInspect и Solar inRights во многом схожи: управляют и контролируют учетные записи, права доступа и действия пользователей. Разница только в целях и принципах работы. Объединение различного функционала в единое целое поможет улучшить защиту от киберинцидентов, добиться прозрачности и гибкости управленческих процессов. Интеграция будет способствовать созданию единого центра управления учетными записями всех типов, позволит использовать общую политику безопасности, оперативно реагировать на инциденты, блокировать нежелательные процессы и проводить их своевременное расследование. Также единое интегрированное решение существенно снизит расходы на обслуживание системы управления доступом.
