Сокрытие учетных данных

Чтобы пройти аутентификацию в компьютерных системах и приложениях, пользователю необходимо иметь учетные данные — обычно это логин и пароль, но также можно использовать и другие ключи доступа. Эти атрибуты нужно держать в секрете и соблюдать в отношении них меры безопасности, поскольку их компрометация может привести к инциденту информационной безопасности (ИБ). Эффективные способы их защиты — сокрытие и подстановка учетных данных пользователей. В статье рассказываем, как они работают и как их реализовать с помощью системы Privileged Access Management (PAM).

Учетные данные: понятие и типы

Учетные данные — необходимые для аутентификации сведения о пользователях, хранимые в компьютерных службах. Перечень такой идентификационной информации зависит от конкретной используемой системы.

Примеры учетных данных:

• Логин и пароль. Логин — идентификатор пользователя, который необходим для регистрации в компьютерной системе. Пароль — комбинация символов, используемая для подтверждения прав на аккаунт и защиты пользовательских данных.
• Токен — ключ, подтверждающий легитимность пользователя при доступе к сервисам и конкретным информационным ресурсам.
• Сертификат — цифровая подпись, которая позволяет установить личность пользователя, проходящего процедуру аутентификации в компьютерной системе.

В компаниях чаще всего используются логины и пароли, а остальные инструменты могут выступать в качестве дополнительных подтверждающих факторов при многофакторной аутентификации.

Риски безопасности, связанные с учетными данными

Компрометация учетных данных может привести к несанкционированному доступу к используемым компанией корпоративным системам, утечке чувствительной информации. Вероятные последствия инцидентов ИБ: нарушение привычных бизнес-процессов, финансовый и репутационный ущерб.

Проблемы для компании могут быть самыми серьезными, если скомпрометированы учетные данные привилегированных пользователей — сотрудников с правами доступа высокого ранга: администраторов, аудиторов, аутсорсеров, поставщиков IT-услуг, офицеров службы ИБ, чьи полномочия привязаны к привилегированным учетным записям (УЗ). Такие УЗ позволяют работать с критически важными данными, СЗИ, сетевой инфраструктурой. Отсюда и повышенные риски ИБ в случае их компрометации.

Привилегированные учетные записи становятся мишенью для злоумышленников, которые стремятся проникнуть внутрь ИТ-инфраструктуры и реализовать преступные цели: украсть конфиденциальные данные, внести изменения в конфигурацию приложений, отключить средства защиты и др. Чтобы этого не произошло, компании прибегают к сокрытию учетных данных и другим способам обеспечения безопасности.

Какие методы используют злоумышленники, чтобы завладеть учетными данными:

• Брутфорс-атаки — подбор паролей с помощью специального программного обеспечения. Иногда злоумышленники действуют и вручную, с помощью метода перебора, т. е. используют самые разные, в том числе банальные и распространенные, комбинации букв, цифр, символов.
• Внедрение вредоносных программ, которые могут перехватывать идентификационные данные из кеша.
• Использование кейлогеров — программ, которые собирают информацию с пользовательских компьютеров и, в частности, фиксируют последовательность нажатия клавиш на клавиатуре.
• Фишинг — различные методы атак, построенных на принципах социальной инженерии. Преступники могут вынудить жертву сообщить им необходимые данные.

Базовые методы защиты учетных данных

Чтобы защитить идентификационную информацию, компании используют различные методы, в том числе сокрытие учетных данных или их подстановку непосредственно при входе в корпоративные системы. Что еще необходимо делать, чтобы снизить риски компрометации:

• Контролировать исполнение регламентов ИБ, которые устанавливают порядок надежного хранения учетных данных.
• Усилить парольную политику: использовать только сложные пароли, как можно чаще их менять.
• Обучить сотрудников основам кибергигиены, регулярно информировать их об актуальных угрозах — в частности, о такой разновидности социальной инженерии, как фишинг. Подкованные в вопросах кибербезопасности работники будут знать, как реагировать на попытки злоумышленников завладеть учетными данными и другой засекреченной информацией.
• Использовать традиционные инструменты защиты: VPN, антивирус, межсетевой экран.

Перечисленные меры работают в комплексе и позволяют защитить идентификационную информацию как от внутренних злоумышленников, так и от хакеров. Также для обеспечения безопасного использования привилегированных учетных записей целесообразно внедрить PAM-систему Solar SafeInspect, которая будет полезна компаниям любого масштаба.

Важно! Не хотите, чтобы пароли были скомпрометированы — не сообщайте их никому. 

Что такое сокрытие и подстановка учетных данных

Сокрытие — метод защиты от компрометации паролей путем их маскировки в момент подключения к сервисам. Один из возможных сценариев его реализации — аутентификация с единым входом (SSO). В этом случае пароль вводить не нужно.

Подстановка учетных данных привилегированных пользователей — автоматическая подстановка атрибутов УЗ при запуске рабочих сеансов. Такой метод позволяет персонифицировать привилегии и снизить риски компрометации идентификационной информации.

Если компания использует PAM-систему Solar SafeInspect, подстановка происходит с помощью интегрированного шлюза доступа и аутентификации. Краткое описание процесса:

• Входящая УЗ пользователя по заданным параметрам сопоставляется с исходящей учетной записью на целевом ресурсе.
• Пользователь проходит аутентификацию под своим доменным аккаунтом, который не является привилегированным.
• PAM-система авторизует пользователя в запрашиваемой службе, подставляя атрибуты привилегированной учетной записи, от имени которой будут выполняться дальнейшие действия в рамках сеанса подключения.

Сопоставление УЗ пользователей для подстановки учетных данных может происходить автоматически или вручную. Во втором случае сотрудник должен указывать логин для аутентификации на целевом сервере.

Использование платформы Solar SafeInspect для сокрытия учетных данных

Solar SafeInspect — полнофункциональная, сертифицированная ФСТЭК России PAM-система для обеспечения безопасности привилегированных сессий, защиты подключений к критическим системам компании. Одна из функций платформы — подстановка и сокрытие учетных данных пользователей с расширенными правами доступа. Также система может управлять паролями от привилегированных УЗ, что обеспечивает надежное хранение и периодическую ротацию согласно заданному расписанию.

Какие еще задачи решает платформа в части предотвращения несанкционированных подключений и нарушений политик ИБ:

• Применение надежных механизмов аутентификации для предоставления привилегированного доступа.
• Изоляция и мониторинг сессий пользователей с правами высокого ранга.
• Запись сеансов привилегированных пользователей с возможностью их ручного или автоматического прерывания в случае подозрительных действий.

Эти функции позволяют защитить идентификационную информацию и предотвратить инциденты ИБ, если учетные данные все же были скомпрометированы.

Преимущества Solar SafeInspect

К ключевым преимуществам PAM-системы для защиты привилегированных учетных записей можно отнести:

• Гибкое встраивание в любую ИТ-инфраструктуру, в том числе геораспределенную.
• Организацию привилегированного доступа под задачи компании, например, по расписанию, единовременно или повторно.
• Высокую надежность платформы для защиты учетных данных и обеспечения безопасности привилегированных подключений.
• Надежное хранение собранных системой сведений, предоставление инструментов для аналитики.
• Возможность интеграции с другими системами управления доступом.
• Три сценария использования: «Бастион», сетевой мост, маршрутизатор.

Это далеко не все преимущества системы. Чтобы оценить ее сильные стороны для своей компании, можно протестировать демоверсию решения.