Использование привилегированных учетных записей при проведении атак на инфраструктуру
Узнать большеУщерб только от взломов и краж учетных данных корпоративной электронной почты в мире исчисляется миллиардами долларов. Так, например, согласно результатам одного из исследований, в период с 2016 по 2019 г. подобные инциденты привели к потере бизнесом около 26 000 000 000 $. А ведь злоумышленников интересуют не только email-аккаунты, но и «учетки» в других корпоративных информационных системах (далее – ИС). Кража и взлом корпоративных учетных данных – одно из наиболее привлекательных и прибыльных для злоумышленников направлений. Интерес к нему постоянно растет. К слову, в 2020 году атаки на компании (в том числе и для получения доступа к «учетками») фиксировались каждые 14 секунд, и в 2021 г. эта тенденция сохраняется. Вот почему важно обеспечить эффективную защиту и контроль рабочих учетных записей.
Как происходит взлом учетной записи в компании
Инструментов и способов взломать либо украсть корпоративную «учетку» у хакеров несколько. Для этого используются:
-
Трояны. Загружаются на компьютеры пользователей разными способами (например, рассылаются через корпоративную почту или при переходе на фейковые сайты/страницы). Чаще всего объект их внимания – кеш, из которого данные для входа в корпоративные аккаунты крадутся с помощью специального ПО (например, Mimikatz).
-
Брутфорс. Для реализации такой атаки злоумышленники используют программы, перебирающие различные комбинации с огромной скоростью. По сути, это – подбор пароля. Среднее время подбора простого пароля из 7 символов – 0,29 секунды. Под простым паролем понимается сочетание символов одного набора (например, только цифры, буквы одного алфавита). Кстати, часто, получив доступ к одной «учетке» в какой-то ИС, хакеры без проблем получают доступ и к аккаунтам в других информационных системах. По статистике, средний пользователь имеет 26 аккаунтов в разных ИС. Но при этом они защищаются с помощью 5 разных паролей, что облегчает взлом и кражу учетных записей.
-
Фишинг. Пользователи корпоративных учетных записей направляются на созданные злоумышленниками копии страниц авторизации в сервисах, на которых считываются вводимые ими данные для входа в аккаунты.
-
Атаки Pass-the-cookie или Pass-the-cash. Злоумышленники перехватывают файлы cookies или хеш, где могут содержаться сведения о логине и пароле, и используют их в своих сессиях для доступа к аккаунтам.
-
Кейлогеры. Распространяются с использованием тех же методов, что и трояны: email, зараженные носители, фишинг и т. д.
Распространены также и методы социальной инженерии. Сотруднику могут позвонить от имени службы технической поддержки компании или отдела безопасности и попросить сообщить логин и пароль к учетной записи, ссылаясь на технические работы или прочие обстоятельства.
Identity Management поможет защитить корпоративные учетные записи
Identity Managment – комплекс практик, подходов и технологий управления пользовательскими учетными данными с целью повышения уровня их безопасности. Реализуется путем внедрения организационных мер и использования специализированного ПО (систем класса IdM/IGA). IdM/IGA-системы, помимо учетных данных, управляют еще доступом к корпоративным информационным системам.
Как IdM влияет на защищенность корпоративных учетных данных
Решения класса IdM/IGA автоматизируют операции по работе с учетными записями: создание, удаление, изменение прав, ресертификация и т. д. Их возможности и функционал при правильном подходе можно использовать для построения эффективной системы защиты корпоративных учетных записей от взлома и кражи.
С этой целью эксперты рекомендуют предпринять ряд практических мер, среди которых:
-
Регулярная смена паролей с соблюдением всех требований по надежности парольных фраз. IdM-системы делают этот процесс более быстрым и удобным, экономя немало времени, в отличие от ручной смены пароля.
-
Предотвращение нахождения в корпоративных ИС бесхозных учетных записей, которые могут оказаться в центре внимания злоумышленников, что при внедрении Identity Managment с соответствующими программными средствами практически исключено: «учетки» постоянно анализируются и сопоставляются с актуальными данными о сотрудниках компании из кадровых и других систем.
-
Быстрое изменение полномочий и доступов пользователей корпоративных ИС. В случае появления подозрений на компрометацию учетной записи, благодаря IdM возможны быстрое изменение ее полномочий, смена пароля или удаления без необходимости доступа в целевую информационную систему.
-
Реализация принципа максимального ограничения привилегий. При использовании решений класса IdM/IGA можно отказаться от предоставления пользователям прав и привилегий «с запасом». Такие системы позволяют быстро выдавать/отзывать пользователям необходимые для выполнения конкретных действий права. В частности, можно отключить возможность смены пароля (на случай, если злоумышленник, завладев учетной записью, попытается это сделать) или запретить привилегированным пользователям создавать новые аккаунты в целевых ИС.
-
Регулярный аудит и ресертификация прав доступа. Мера позволит выявлять учетные записи, связанные со скомпрометировавшими себя сотрудниками, либо работниками, находящимися в группе риска, под наблюдением специалистов по информационной безопасности.
Конечно, подобные программные средства не стоит рассматривать как единственное средство обеспечения защиты корпоративных учетных записей компании от взлома и кражи. Они – часть общей системы информационной безопасности и должны работать совместно с другими специализированными средствами. Не стоит забывать и о организационных мерах. В компании должны быть разработаны и доведены до сотрудников меры/правила по защите «учеток», создана система контроля их исполнения.
Стоит обратить внимание на тот факт, что инструменты автоматизированного типа для контроля и управления учетными записями так или иначе взаимодействуют между собой. Те же Solar SafeInspect и Solar inRights – наглядное тому подтверждение. Их возможности и функционал пересекаются: управление, контроль учетными записями в системе, установление прав и разрешенных действий. Различия кроются в целях использования инструментов и алгоритмах работы, однако ниша остается аналогичной. Интеграция двух контролирующих систем в единый центр управления как нельзя лучше повлияет на успешное противодействие ИБ, ускорит и улучшит управленческие процессы, сделает их полностью прозрачными. Единый центр управления – это общие и удобные стандарты безопасности доступа, которые контролируются, поддерживаются и лишены двусмысленности. Также интеграция дает отличную возможность сэкономить на обслуживании систем и использовать единое решение с такой же эффективностью, как и два разных инструмента.