Использование привилегированных учетных записей при проведении атак на инфраструктуру
Узнать большеРиски, связанные с использованием привилегированных учетных записей. Как их снизить с помощью системы PAM (Privileged Access Management)?
По оценкам отраслевых аналитиков до 80% всех нарушений безопасности связано с компрометацией привилегированных учетных записей (данные Forrester Research). Согласно исследованиям «Ростелеком-Солар» за 2020 год в России на 30% выросло количество атак, направленных на получение контроля над инфраструктурой предприятия (JSOC «Ростелеком-Солар»).
Несмотря на то, что у привилегированных учетных записей повышенный уровень доступа, далеко не каждая компания уделяет этому особое внимание. Обслуживание таких учетных записей в большинстве случаев происходит в ручном режиме и является трудоемкой задачей для ИТ-специалистов, а контрольные функции бывают разовыми и нерегулярными, иногда и вовсе не осуществляются. Парольная политика оставляет желать лучшего: часто используются слабые или одинаковые пароли для нескольких систем или сред. Закрепленных ответственных лиц за этими учетными записями нет, поэтому ими нередко пользуются несколько сотрудников ИТ-подразделения. Все эти условия создают отличную мишень для злоумышленников. Ведь для любого хакера захват учетной записи с расширенными правами является заветной целью, чтобы получить право управления приложениями и ключевыми административными функциями.
Часто про привилегированные учетные записи вообще забывают. Это может быть учетная запись сотрудника, который уволился, а она осталась активной. Или это очень редко используемые учетные записи, например, тестовые, которые создали при введении системы в эксплуатацию, а затем забыли отключить.
Такие просчеты в разы увеличивают риск несанкционированного доступа. Сотрудник может нанести вред случайно, наткнувшись на забытую учетную запись и проверяя ее возможности или намеренно, например, в случае конфликтного увольнения.
Если одна привилегированная учетная запись используется для нескольких приложений и служб, то ее компрометация увеличивает риск многократно. Стоит злоумышленнику получить доступ и он сможет вывести из строя все приложения и службы, в которых используется данная учетная запись.
К каким действиям прибегают злоумышленники?
Сотрудники часто клюют на крючок с фишинговыми письмами, принимая их за легитимные. Это один из методов социальной инженерии. Например, приходит письмо от якобы партнера с новыми условиями по договору для ознакомления, к которым предлагается перейти по ссылке или открыть файл. Таким образом, сотрудник невольно может загрузить программу с вредоносным кодом, посредством которой злоумышленник может скопировать информацию, взломать систему или захватить привилегированные учётные данные. Либо работнику направляется ссылка на подложный веб-сайт, где он ничего не подозревая, вводит свои логин и пароль, которые становятся добычей злоумышленников. К сожалению, не редкость, когда сотрудники используют одинаковые пароли и для внешних и для внутренних ресурсов.
Все без исключения компании защищают свои периметры и ресурсы от внешнего воздействия, выстраивая межсетевые экраны, внедряя антивирусное ПО и программы для обнаружения вторжений. Но этого, конечно, недостаточно. В расчете на постоянные коммуникации сотрудников и обмен между ними информацией злоумышленники могут легко захватить их учетные данные. После того как учетные данные захвачены злоумышленник может войти в сеть компании/организации как ее сотрудник и украсть конфиденциальную информацию или нарушить работоспособность системы.
Продвинутые злоумышленники, проникнув в сеть, могут не сразу совершить злонамеренные действия, а затаиться и изучать структуру ИТ, потоки информации. Если захвачена привилегированная запись – злоумышленник может долгое время не подавать никаких признаков нелегитимной деятельности и работать незамеченным несколько месяцев, прикидываясь «своим-родным». Поэтому после произошедшего инцидента бывает очень сложно вычислить источник возникшей угрозы.
Еще одним методом действия злоумышленников является установка средств удаленного подключения через захваченную привилегированную учетную запись.
Это делается для того, чтобы всегда была возможность извне подключаться к системе компании и на долговременной основе проводить противоправные действия.
Подводя итог, перечислим для совершения каких действий злоумышленники могут использовать привилегированные учетные записи:
- Распространение вирусов.
- Кража конфиденциальных данных.
- Вывод из строя системы.
- Отключение доступа к системе.
Следует всегда помнить, что учитывая повышенный уровень доступа, взлом на предприятии привилегированной учетной записи по сравнению со взломом обычной пользовательской учетной записи может привести не просто к нарушению, а к киберкатастрофе.
Решение PAM (Privileged Access Management) помогает предотвратить угрозы, связанные с использованием привилегированных учетных записей, снизить риски информационной безопасности.
Реализовать эту задачу возможно благодаря следующему комплексу мероприятий, которые осуществляются с использованием функционала систем такого класса:
-
Обнаружение привилегированных учетных записей.
-
Доступ к привилегированным учетным записям предоставляется только после надежной многофакторной аутентификации, что обеспечивает дополнительный уровень защиты.
-
Предоставление доступа только к определенным ресурсам и учетным записям.
-
Управление паролями привилегированных учетных записей, в том числе в автоматизированном режиме: смена паролей по расписанию или генерация одноразовых паролей, скрытие паролей от определенных пользователей.
-
Надежное хранение паролей и защита строгим шифрованием.
-
Управление привилегированными сессиями, такими как, например, настройка правил согласования или уведомления.
-
Настройка доступа для партнеров и подрядчиков, не работающих в компании, но нуждающихся в доступе. PAM позволит ограничить доступ для сторонних лиц только необходимыми ограниченными ресурсами и на определенное время.
-
Мобильные точки доступа. Программное обеспечение PAM может обеспечить интеграцию с безопасным средством запуска приложений, где доступ предоставлен удаленным устройствам.
-
Предупреждение администраторов о различных событиях привилегированного доступа, таких как неудачные попытки ввода пароля, запросы паролей и другие.
-
Разрыв сессии привилегированной учетной записи при обнаружении несанкционированных действий.
-
Мониторинг и регистрация всех привилегированных действий в системах. Текстовая запись сессий с возможностью поиска по логу, видеозапись сессий, снятие скриншотов.
Если компания стоит перед выбором: с чего начать выстраивать безопасное управление доступом, то внедрение решения PAM будет правильным шагом уже потому, что затраты на приобретение такого продукта несопоставимы с тем ущербом, который может ей нанести даже единичное нелегитимное использование привилегированной учетной записи.
Автор:
Людмила Севастьянова, эксперт центра продуктов Solar inRights компании «Ростелеком-Солар»