Использование привилегированных учетных записей при проведении атак на инфраструктуру
Узнать большеСейчас во многих компаниях есть удаленные сотрудники, которым необходим дистанционный доступ к объектам ИТ-инфраструктуры. Работу можно организовать с помощью таких протоколов, как SSH и RDP. В статье коротко рассказываем об их особенностях, сильных сторонах и областях применения. Также затрагиваем вопрос контроля удаленных сессий с помощью системы Solar SafeInspect, относящейся к классу решений Privileged Access Management (PAM).
SSH-протокол: что это, зачем нужен
Secure Shell — протокол сетевого уровня, обеспечивающий безопасный удаленный доступ к серверам и компьютерам. Он применяется для выполнения команд на устройствах, дистанционного управления объектами ИТ-инфраструктуры, защищенной передачи данных, туннелирования трафика.
Протокол работает по клиент-серверной модели. Клиент инициирует соединение SSH с открытым ключом, сервер проверяет ключ, отправляя в ответ случайный текст. Клиент шифрует переданную информацию с помощью закрытого ключа и отправляет обратно, сервер расшифровывает открытым ключом. Если расшифрованный текст совпадает с отправленным, аутентификация проходит успешно, после чего разрешается передача данных.
Ключевые преимущества протокола:
- Предотвращение несанкционированного доступа к конфиденциальной информации. Эта функция выполняется за счет того, что протокол SSH обеспечивает шифрование данных асимметричным методом (подразумевает использование двух ключей — публичного и закрытого), тем самым защищая от перехвата в процессе передачи.
- Обеспечение целостности передаваемой информации благодаря криптографическим хэш-функциям, позволяющим в процессе передачи данных обнаруживать все изменения.
- Получение удаленного доступа только для авторизированных пользователей и снижение рисков компрометации учетных данных за счет применения надежных механизмов аутентификации.
Также SSH-протокол обладает рядом других необходимых свойств, таких, как гибкость, безопасность, поддержка автоматизации через скрипты.
Понятие RDP-протокола, выполняемые задачи и функции
Remote Desktop Protocol от Microsoft — проприетарный протокол прикладного уровня, используемый для безопасного подключения к удаленным устройствам. Как и SSH, RDP широко применяется организациями для обеспечения дистанционной работы сотрудников. Например, он позволяет специалистам, которые трудятся из дома, подключаться к корпоративным ПК, ИТ-службам, удаленно обслуживать оборудование/ПО и др.
Как работает протокол? Пользовательское устройство инициирует подключение, затем после подтверждения коннекта на транспортном уровне вызываемая система начинает RDP-сессию. Если процедура завершается успешно, терминальный сервер запускает отображение графического интерфейса удаленного компьютера и возможность ввода с помощью мыши или клавиатуры.
Ключевые преимущества протокола — удобство работы в графической среде, возможность удаленного управления операционными системами Windows.
В чем разница между протоколами SSH и RDP
Основное отличие SSH от RDP в том, что этот протокол зачастую использует для аутентификации пару ключей (публичный и закрытый) вместо учетных данных. Такой механизм гораздо надежнее в плане безопасности.
Второе различие — в интерфейсе. В RDP он графический, в SSH — текстовый. Третье — в области применения. SSH позволяет организовывать удаленную серверную работу, RDP — управление графическими системами.
Если рассматривать эти протоколы с точки зрения простоты эксплуатации, то SSH гораздо сложнее, поскольку для его использования потребуются определенные технические знания.
Проблемы безопасности при использовании протоколов SSH и RDP
С ростом потребности в удаленных подключениях резко увеличилось количество атак на протоколы. Примеры самых распространенных схем:
- BruteForce — попытки получить доступ к учетным записям методом перебора. Часто для такой атаки злоумышленники используют специальные утилиты и другие инструменты, автоматизирующие процесс. Чтобы минимизировать риски BruteForce SSHvsRDP, следует отказаться от аутентификации по паролю, либо использовать многосоставные небанальные пароли и периодически их менять.
- MitM-атака — злоумышленная схема, когда злоумышленники переключают режим аутентификации на себя, а ничего не подозревающие пользователи предоставляют свои учетные данные. Таким образом, хакеры перехватывают сессии и получают доступ к конфиденциальной информации. Существует множество способов борьбы с такими атаками, но самым эффективным является использование надежных механизмов аутентификации.
- Session Hijacking — перехват активных сеансов. Для реализации такой схемы хакерам нужны учетные данные, которые они могут получить путем эксплуатации уязвимостей протоколов.
Такие атаки сопряжены с серьезными рисками для корпоративной инфраструктуры, поскольку хакеры могут завладеть конфиденциальной информацией или нарушить работу систем. В целях защиты следует использовать надежные механизмы аутентификации и контролировать работу удаленных пользователей, особенно привилегированных.
Как повысить безопасность SSH и RDP-соединений с помощью PAM-системы Solar SafeInspect
Solar SafeInspect — российское решение класса Privileged Access Management (PAM). Оно внедряется компаниями с целью повысить эффективность управления привилегированным доступом и снизить риски инцидентов ИБ, связанных с использованием привилегированных учетных данных.
Чтобы понимать, какую роль Solar SafeInspect играет в контроле SSH и RDP-соединений, рассказываем, что такое привилегированный доступ. Это расширенные полномочия, назначаемые отдельным сотрудникам (в том числе удаленным). Они позволяют получать доступ к базам данных и критически важным объектам ИТ-инфраструктуры, средствам защиты информации, чувствительным сведениям. Кто может быть привилегированным пользователем? Системный администратор, администратор сетей, аудитор, специалист IT-службы и др. Работу таких пользователей необходимо контролировать во избежание инцидентов ИБ, которые могут произойти в результате ошибок при выполнении обязанностей, злого умысла или компрометации привилегированных учетных записей.
Возможности решения для контроля сессий SSH и RDP:
- Мониторинг сеансов работников с широкими правами доступа.
- Проксирование привилегированных сеансов по протоколам SSH и RDP.
- Запись сессий привилегированных пользователей, хранение сведений для проведения аудита и корпоративных расследований.
- Предоставление полной информации о том, что происходит в рамках сессий — сведений об используемых протоколах, хостах и каналах, источниках, передаваемых данных и др.
- Прерывание сессий в случае нарушений политик доступа или оповещение ответственных лиц о подозрительных действиях.
Все подключения привилегированных пользователей проходят через РАМ-систему, поэтому снижаются риски, что подозрительные действия останутся незамеченными. Такой контроль позволяет минимизировать вероятность утечек чувствительных данных и усиливает механизмы безопасности, реализованные в протоколах SSH и RDP.
