SSH и RDP: распространенные протоколы подключения
Узнать большеВ ИТ-инфраструктурах компаний для администрирования доступа к целевым системам, приложениям, базам данных, СЗИ и другим объектам информационного периметра используются наделенные расширенными правами привилегированные учетные записи (УЗ). Такие УЗ привлекательны для злоумышленников, совершающих атаки на инфраструктуру. Получив доступ к привилегированным аккаунтам, хакеры могут нанести организации серьезный ущерб. Рассказываем, какими методами действуют атакующие, как отследить несанкционированные действия и предотвратить нелегитимное использование привилегированных учетных записей.
Привилегированные учетные записи: определение и типы, риски ИБ
Привилегированными учетными записями называют учетные записи, которые предоставляют более высокий уровень доступа, чем обычные. Привилегированные УЗ могут быть привязаны к конкретным пользователям либо использоваться техническими службами.
Примеры привилегированных УЗ:
- УЗ администраторов домена, управляющие пользователями Active Directory.
- УЗ системных администраторов.
- УЗ для запуска систем и приложений, управления различными службами.
- УЗ сетевого оборудования, которые предоставляют пользователям доступ к маршрутизаторам и межсетевым экранам.
- Административные УЗ (доменные или локальные) для управления серверами.
Существование всех перечисленных видов учетных записей повышает риски информационной безопасности организаций, поскольку такие УЗ могут быть скомпрометированы и использованы хакерами для атак на инфраструктуру. Перехватив доступ, злоумышленники смогут совершать несанкционированные действия с чувствительными данными, отключать средства защиты, менять настройки оборудования, нарушать работу целевых систем и пр.
Чтобы минимизировать риски атак на инфраструктуру, следует организовать централизованное управление привилегированными учетными записями и контроль за действиями пользователей, которым назначены расширенные полномочия. Ключевые цели такого подхода: обеспечить соблюдение регламентов в части использования привилегированных УЗ, реализацию принципа наименьших привилегий (выдача минимально достаточных для работы прав доступа), своевременное аннулирование привилегированного доступа при отсутствии в нем необходимости.
Атаки на инфраструктуру компании с применением привилегированного доступа
Первый пример — атака на инфраструктуру через Active Directory с целью получения доступа к конфиденциальным данным. Завладев привилегированной учетной записью, хакер может совершать любые действия, например повышать привилегии себе или другим УЗ, менять права доступа. Злоумышленники нередко реализовывают эту схему, если компания не заботится о смене паролей для привилегированных УЗ или использует один и тот же пароль для нескольких рабочих станций.
Второй пример атаки на инфраструктуру — компрометация учетной записи системного администратора. Получив привилегированный доступ, злоумышленники могут совершать несанкционированные действия в базах данных: видоизменять, удалять, красть информацию.
Третий пример — несанкционированное использование своевременно не заблокированных привилегированных учетных записей, созданных для удаленной работы аутсорсеров, например поставщиков ИТ-услуг. Злоумышленники могут получить доступ к аккаунтам и совершать различные вредоносные действия: менять настройки СЗИ и оборудования, отключать инструменты защиты.
Как злоумышленники могут получить доступ к привилегированным учетным записям
Чтобы реализовать атаку на инфраструктуру, хакерам необходимо получить учетные данные от привилегированных
аккаунтов. Для этого чаще всего используются следующие методы:
- Брутфорс — подбор учетных данных методом перебора или с применением специальных инструментов для взлома аккаунтов.
- Фишинг — атака, которая, как правило, реализуется путем отправки писем со ссылками, ведущими на фальшивые ресурсы. Если пользователь зайдет на них под рабочей учетной записью, учетные данные будут скомпрометированы.
- Применение эксплойтов — вредоносных программ, содержащих исполняемый код. Такие программы эксплуатируют уязвимости ИТ-инфраструктуры с разными целями, в том числе для раскрытия учетных данных.
- Приемы социальной инженерии. Злоумышленники с помощью манипуляций убеждают жертву раскрыть учетные данные, например представляются коллегой и просят доступ к аккаунту.
Для повышения вероятности успешной атаки на инфраструктуру хакеры комбинируют несколько методов, например фишинг с приемами социальной инженерии.
Чем грозит компании атака на инфраструктуру
Если злоумышленники получат расширенные права доступа к целевым системам и базам данных, это может причинить компании колоссальный ущерб. Вот чем грозят атаки на инфраструктуру:
- Косвенными и прямыми финансовыми потерями. Это штрафы, недополученная прибыль, сорванные контракты, затраты на восстановление работоспособности.
- Ослаблением конкурентных преимуществ в результате утраты конфиденциальной информации о деятельности компании.
- Потерей репутации организации из-за утечки персональных данных клиентов и партнеров.
- Выходом из строя оборудования или различных систем защиты.
Если инфраструктура серьезно пострадает от атак, компании придется приостанавливать свою деятельность как минимум до момента устранения последствий. Иногда ущерб бывает настолько серьезным, что приводит к ее разорению.
Внедрение решений класса PAM для предотвращения атак на инфраструктуру с использованием привилегированных УЗ
Системы Privileged Access Management (PAM) применяются для координации привилегированного доступа, обеспечения безопасной работы пользователей с расширенными правами, в том числе удаленных. Все подключения к запрашиваемым ресурсам компании происходят через PAM-решение, что позволяет снизить риски злоупотребления полномочиями.
PAM-системы в режиме реального времени мониторят действия привилегированных пользователей и могут реагировать на нарушения исходя из заданного сценария. Например, возможно немедленное автоматическое прерывание рабочей сессии, ограничение пользователей в правах, отправка уведомлений ответственным лицам.
Также PAM-системы позволяют реализовать требования парольной политики для привилегированных учетных записей. Одна из функций решений этого класса — смена паролей согласно преднастроенному расписанию и надежное хранение учетных данных.
Для более эффективного предотвращения злонамеренных действий PAM-системы могут интегрироваться с другими решениями: IdM — для управления учетными записями, DLP — для мониторинга действий и коммуникаций пользователей, формирования списка файловых операций, SIEM — для оперативного выявления инцидентов.
Как PAM-решение Solar SafeInspect защищает от атак на инфраструктуру
Solar SafeInspect — отечественное решение класса PAM, которое выполняет следующие функции:
- Предоставление доступа к привилегированным УЗ только после надежной аутентификации.
- Контроль всех распространенных протоколов передачи данных.
- Проксирование привилегированных сессий.
- Непрерывный мониторинг действий обладателей привилегированных учетных записей.
- Запись привилегированных сессий, безопасное хранение собранных сведений.
- Возможность немедленного прерывания рабочих сессий в случае некорректных действий привилегированных пользователей.
- Безопасное хранение учетных данных, ротация и автоматическая подстановка паролей от привилегированных УЗ.
Также в Solar SafeInspect реализована система гранулированного доступа. Она позволяет назначать расширенные права для строго определенных лиц, разрешать ограниченный круг операций, выдавать привилегированный доступ согласно расписанию.
