Использование привилегированных учетных записей при проведении атак на инфраструктуру
Узнать большеСотрудники компании, обладающие расширенными полномочиями в информационных системах, относятся к категории привилегированных пользователей.
Действия таких пользователей или взлом привилегированной учетной записи могут привести к возникновению дополнительных рисков безопасности: компрометации информации, кражеи данных или их нецелевомуго использованиюя. В связи с этим требуется управление привилегированными учетными записями и их контроль. Обычно для этих целей используют автоматизированные инструменты контроля и мониторинга прав доступа.
Основные риски безопасности
- Некорректное использование данных. Это приводит к появлению ошибок в работе информационной системы, замедляет выполнение бизнес-процессов. Например, загрузка больших массивов информации может нарушить привычный ход обработки данных.
- Использование полученной информации в корыстных целях. Например, данные могут быть проданы конкурентам или использованы для удовлетворения личных интересов.
- Изменение, удаление важных данных. Это чревато нарушением функционала информационной системы и ее последующим разрушением.
- Внедрение вредоносного кода для установления контроля за системой. В этом случае, например, могут быть использованы распространенные методы: backdoor, exploit.
Примеры отдельных кейсов по уязвимостям с привилегированными учетными записями приводятся ниже:
- Атаки на системы с ошибочной или не настроенной конфигурацией. Любая информационная система перед эксплуатацией должна быть подготовлена администратором. Настройка подразумевает включение и отключение отдельных параметров системы. Например, автоматический запуск регулярных обновлений, использование персональных паролей и логинов для пользователей вместо стандартных по умолчанию, блокировкау при достижении порога неудачных попыток аутентификации. Уязвимости, связанные с настройкой, могут быть использованы злоумышленниками при реализации атаки типа brute force путем подбора пароля при известном логине. Отсутствие ограничений на число попыток аутентификации позволит киберпреступнику подобрать нужный пароль и взломать учетную запись. Также атака может быть проведена путем использования учетной записи с минимальными полномочиями. Цель киберпреступников – создать в директории привилегированных пользователей файл rhosts, благодаря которому набор базовых прав гостевого пользователя существенно расширяется, и злоумышленникам удается перехватить управление в системе.
- Атака «Man-In-The-Middle», которая реализуется при слабой защите конечных точек аутентификации в системе. Встречается чаще всего в общедоступной беспроводной сети или там, где используются протоколы Telnet вместо SSH. Злоумышленник внедряется в диалог между двумя жертвами и становится промежуточным звеном между ними. Например, отправляет сообщения обоим участникам диалога, подменяя каждого из них. Как правило, жертвы не замечают ничего подозрительного – они уверены, что общаются с нужным человеком. Тем временем преступник манипулирует ими, вынуждая совершить какое-либо действие или дать доступ к важным данным. В случае такой атаки целью злоумышленника могут стать привилегированные пользователи – например, может быть перехвачено подключение администратора к системе безопасности или какому-то целевому серверу.
Чтобы снизить риски таких атак и защитить компанию от репутационного и финансового ущерба, важно не создавать для злоумышленников благоприятные условия. Также обязательно принять меры профилактики инцидентов ИБ, в частности, ввести регулярный мониторинг системы для выявления уязвимостей и подозрительных действий, предусмотреть контроль учетных записей привилегированных пользователей.
Для чего нужно управление привилегированными учетными записями?
Задачи организованного управления:
- Предотвращение утечек и кражи информации. Именно с участием привилегированных учетных записей происходит наибольшее число инцидентов.
- Обнаружение инсайдеров, мошенников в компании. Собственный персонал, обладающий расширенными правами, может вести вредоносную деятельность или выступать в качестве агента конкурентов, что чревато множественными рисками.
- Оптимизация процессов аутентификации пользователей за счет использования решений, которые эффективно управляют паролями и снижают риски кражи данных учетных записей.
- Сохранение безопасности и функциональности информационной системы. Любые вредоносные действия рано или поздно проявят себя: замедлят рабочие процессы, откроют уязвимости, запустят нежелательные процессы. Это обязательно скажется на результатах и перспективах компании.
Как происходит управление привилегированными учетными записями?
Для управления учетными записями сотрудников с привилегированным доступом используются решения PAM (Privileged Access Management) и IdDM/IGA (Identity Management / Identity Governance&Administration). Их комбинация позволит организовать комплексный подход по защите ресурсов. Управление привилегированным доступом связано с выполнением таких процедур и действий, как:
- Учет всех привилегированных пользователей в системе.
- Принятие регламентов для создания, использования и аннулирования привилегированных учетных записей.
- Ведение контроля и мониторинга действий пользователей с расширенным набором полномочий путем записи сессий и составления статистических отчетов.
- Использование процедур идентификации и аутентификации пользователей с целью подтверждения личности и защиты от несанкционированного доступа.
Для обеспечения своевременного предоставления и аннулирования доступа к ресурсам на основании кадровых данных можно использовать нашу IGA-платформу Solar inRights. Она поможет сэкономить время, выполнить множество рутинных действий без ошибок, снизить роль человеческого фактора.
Преимущества использования Solar SafeInspect
PAM-система Solar SafeInspect предназначена для управления привилегированными учетными записями и является полезным дополнением к IdDM/IGA-инструментам, поскольку расширяет их функционал. Ее использование повышает общий уровень информационной безопасности.
Преимущества Solar SafeInspect:
- Полноценное управление процессами, связанными с привилегированным доступом. Система подходит для решения широкого спектра задач, имеет гибкие настройки. Например, она позволяет выдавать и отзывать доступ по расписанию, повторно назначать отозванные полномочия и т. д.
- Быстрый запуск, минимальная подготовка для старта. Достаточно 20 минут на развертывание в случае выбора виртуального варианта системы, который не требует установки дополнительного программного обеспечения.
- Простота встраивания в уже работающую инфраструктуру. Система легко интегрируется с другими инструментами и компонентами, не оказывает негативного влияния на существующие процессы.
- Надежная защита информации. Благодаря шифрованию Solar SafeInspect защищает все базы данных и обеспечивает их безопасное хранение.
Заключение
Управление привилегированными учетными записями помогает снизить риски несанкционированного использования расширенных полномочий и предотвратить попытки злоумышленников проникнуть в информационную инфраструктуру организации. Наше решение Solar SafeInspect позволит всесторонне контролировать привилегированных пользователей и упростит процесс расследования в случае инцидентов ИБ.