Использование привилегированных учетных записей при проведении атак на инфраструктуру
Узнать большеАдминистратор информационной инфраструктуры предприятия имеет привилегированную учетную запись. Такой специалист может менять конфигурацию системы, просматривать конфиденциальную информацию. Для отслеживания несанкционированной активности администраторов информационных систем и исключения ее негативных последствий необходим аудит действий этих сотрудников. Далее расскажем, каких проблем поможет избежать проведение аудита.
Основные цели аудита действий администраторов
Для компании любого масштаба важно обеспечить полноценный контроль информационной безопасности. Даже те сотрудники, которым руководство полностью доверяет, могут нанести ей вред – умышленно или случайно.
Аудит действий администратора информационной системы позволяет:
-
Проверить журналы файлов и провести анализ данных.
-
Выполнить диагностику накопленной информации.
-
Выявить причины ошибок и потенциальные угрозы.
Решение обеспечивает прозрачность и подконтрольность действий сотрудников с привилегированными учетными записями. В результате соблюдение требований кибербезопасности упрощается, а расходы на нее снижаются.
Человеческий фактор в IT
Аналитическое исследование показывает, что почти в 80% случаев нарушение безопасности происходит из-за злоупотребления привилегированными учетными записями самих сотрудников. Не каждая компания проводит аудит действий администраторов информационных систем и других специалистов с расширенными правами доступа. Иногда учетные записи обслуживают в ручном режиме, а контролем пренебрегают. Подобная практика создает благоприятные условия для злоумышленников, открывая им «ворота» в ИС. В этом случае есть вероятность взлома и получения конфиденциальных данных, изменения важной документации сторонними лицами.
Факторы риска:
-
Слабая парольная политика. Например, если используют одинаковые пароли для нескольких систем.
-
Использование одной учетной записи несколькими сотрудниками. Например, если для администраторов из разных отделов создают общий аккаунт или одинаковые данные входа. Если злоумышленник получит доступ к учетной записи, то сможет вывести из строя внушительную часть инфраструктуры.
-
Увольнение сотрудников с привилегированной учетной записью. О таких аккаунтах нередко забывают, а вход остается доступным, чем могут воспользоваться недоброжелатели.
Бывший администратор или рядовой сотрудник может случайно либо преднамеренно причинить вред безопасности ИС, если обнаружит забытую учетную запись. Риск в этом случае повышают конфликтные увольнения, плохие взаимоотношения с руководством. Также встречаются ситуации, когда информационный отдел создает тестовые учетные записи для проверки и они остаются открытыми. Нежелательные лица могут «слить» данные либо повредить инфраструктуру.
Действия, которые приводят к проблемам
Угрозы могут исходить извне. Например, сотрудники компаний часто неправильно реагируют на фишинговые рассылки. Злоумышленники тщательно прорабатывают контент и делают его похожим на обычные письма, не вызывающие сомнений. Так могут приходить документы от «партнеров» с условиями договора, где нужно пройти по ссылке или открыть какой-то файл. Ничего не подозревающий сотрудник загружает программу с вредоносным кодом, что позволяет посторонним лицам завладеть информацией, совершить взлом или даже перехват привилегированной учетной записи. Администраторы обычно подкованы в вопросах подложного контента, но новички, а иногда и опытные сотрудники нередко вводят логин и пароль на фишинговых сайтах.
Компании обычно защищают инфраструктуру от негативного воздействия: внедряют межсетевые экраны, антивирусные программы, устанавливают ПО для выявления внешних атак. Но этого, к сожалению, не всегда достаточно. Если захвачены учетные данные работника, злоумышленники могут войти в сеть организации в качестве сотрудника и украсть секретную информацию, вывести из строя систему.
Опытные злоумышленники сначала изучают IT- инфраструктуру и никак себя не выдают. Иногда вредителям удается установить удаленное подключение через захваченную учетную запись. Они максимально сохраняют тайну и действуют аккуратно. Зачастую после вредоносных действий сложно вычислить первоисточник проблемы.
Частые последствия неосторожного использования привилегированных учетных записей: распространение вирусов, кража конфиденциальной информации, вывод системы из строя, отключение доступа. Даже опытные администраторы по неосмотрительности могут спровоцировать киберкатастрофу.
Виды ошибок администраторов
Администраторы и другие владельцы расширенного доступа могут скачивать запрещенный контент, пренебрегая политикой безопасности и защитой паролей. Зачастую неправомерные действия совершают сотрудники, имеющие доступ к внутренним сетям предприятия.
Из-за отсутствия полноценного контроля процессов назначения владельцев и использования учетных записей растет количество обезличенных записей. Сотрудники могут использовать это в личных целях – например, похищать базы данных, удалять важную информацию. Нельзя полностью исключить риск их взаимодействия со злоумышленниками и, таким образом, оказания им помощи в получении доступа к инфраструктуре. В результате компания может понести репутационные и финансовые потери.
Привилегированные пользователи могут ошибочно поменять настройки системы, удалить важные данные, что отразится на функционировании ее элементов. Логично, что эффективный контроль – одна из первостепенных задач в сфере информационной безопасности.
Применение PAM для аудита действий администратора
РАМ – эффективные современные системы управления привилегированным доступом. Технология позволяет не только контролировать учетные записи, но и выстраивать стратегию кибербезопасности. Это дает возможность выявлять сотрудников, которые могут получить привилегированный доступ, разграничивать их действия и полномочия.
РАМ-система на предприятии позволяет:
-
проводить аудит действий администратора;
-
детально контролировать активность во время периодов работы;
-
использовать многофакторный вход;
-
выполнять защищенное подключение;
-
предоставлять и отзывать права привилегированных пользователей;
-
настраивать правила предоставления расширенного доступа;
-
моментально прерывать сессию в случае выявления несанкционированного доступа или выполнения опасных команд;
-
сохранять метаданные для последующего анализа и представления в суде.
Такие решения оптимизируют безопасное управление доступом за счет автоматизированной замены и подстановки паролей, а также своевременного выявления сомнительных действий. В итоге значительно снижается риск совместного использования учетных записей и доступов после ухода сотрудников из компании.
Аудит действий администраторов и привилегированных пользователей с помощью SolarSafeInspect позволяет контролировать и анализировать периоды активной деятельности в системе. Технологию несложно встроить в общую стратегию управления идентификацией и доступом.
Вывод
Администраторы информационных систем способны случайно или умышленно нанести вред информационной безопасности. Поэтому важно помимо базовых средств защиты внедрять автоматизированные системы РАМ для аудита действий привилегированных пользователей. Это позволяет снизить риск или полностью исключить утечку конфиденциальной информации, выведение из строя инфраструктуры.