Привилегированные аккаунты: ваша ахиллесова пята и лучший друг кибератак

Опубликовано: 2 Апреля, 2023
Привилегированные аккаунты: ваша ахиллесова пята и лучший друг кибератак

Кибер-злоумышленники часто проникают в системы организации через множество привилегированных учетных записей предприятий. Почему? Потому что таким образом часто гарантируется доступ к самым ценным данным. Эти атаки могут оставаться незамеченными в течение длительного времени, обычно они становятся очевидными только после того, как происходит полномасштабная утечка данных или необратимый ущерб, с которым нужно бороться. Важно правильно управлять этой угрозой, поскольку почти все разрушительные кибератаки связаны с компрометацией привилегированной учетной записи. Предприятиям необходимо разработать надежную программу безопасности привилегированного доступа, чтобы уменьшить эту потенциальную угрозу.

Что такое привилегированные учетные записи?

Первые учетные записи, которые приходят на ум, — это учетные записи администратора, но в каждой сети существует гораздо больше привилегированных учетных записей, которые могут быть использованы злоумышленниками, включая все учетные записи, обеспечивающие доступ к множеству конфиденциальных ресурсов, систем, инфраструктуры, приложений и данные. Доступ к этим учетным записям часто позволяет получить доступ к частям сети, к которым у обычного сотрудника нет доступа. Таким образом, безусловно, приоритетом должно быть правильное управление доступом к этим учетным записям, чтобы предотвратить доступ к ним и их использование злоумышленниками.

Злоумышленники могут использовать привилегированный доступ для захвата сетей (иногда с необратимым ущербом), могут получить доступ к учетным записям инфраструктуры для доступа к конфиденциальным данным, могут использовать привилегированные учетные записи для использования горизонтального перемещения путем нацеливания на конечные точки и кражи учетных данных, могут использовать учетные данные сторонних приложений ( иногда полностью обходя защиту компаний), и могут быть нацелены на администраторов и привилегированных бизнес-пользователей, и это лишь некоторые из них. Любая учетная запись, которая позволяет злоумышленнику повышать свой уровень доступа и полномочий при каждом перемещении, является допустимым вариантом. Все эти типы атак могут привести к серьезному ущербу, и все они предполагают доступ к привилегированной учетной записи.

Злоумышленники стремятся получить контроль над как можно большим количеством привилегированных учетных записей. Это дает наивысшие шансы на доступ и быстрое перемещение в сети компании, чтобы у них было больше шансов достичь желаемой цели. В большинстве случаев это связано с компрометацией важных данных компании. Злоумышленники довольно терпеливы. У них есть ресурсы и время на их стороне, и со временем они получат необходимый им стратегический набор привилегированных учетных данных.

Возможный процесс атаки на привилегированные учетные записи

Изображение 9991
Шаттерсток

Чаще всего злоумышленники начинают с использования известной уязвимости, возможно, неисправленной системы, и используют начальную конечную точку в качестве базы внутри компании для начала работы. Они используют все учетные данные, которые находят и крадут по пути, чтобы набрать обороты, дальше перемещаться по сети и двигаться к своей цели. В общем, это системный процесс. Во-первых, они закрепляются, используя уязвимость. Затем они получают привилегированные учетные данные. Используя инструменты и манипуляции, они используют привилегированный доступ для горизонтального перемещения по сети, чтобы достичь своей цели. Они повторяют этот процесс до тех пор, пока не получат необходимый им доступ и не достигнут желаемый результат. Злоумышленники часто используют вредоносное ПО, социальную инженерию, вредоносные инструменты — все, что в их силах, чтобы получить необходимые им привилегированные учетные данные. Ни о чем не подозревающие сотрудники обычно рады услужить (неосознанно — конечно).

Почему так популярны?

Злоумышленники всегда ищут наименее сложный путь проникновения. Таким образом, если этот путь жизнеспособен, оставлен открытым и не представляет особых проблем, злоумышленники предпочтут этот вариант другим, более рискованным и сложным путям атаки. Использование привилегированных учетных записей в качестве вектора атаки позволяет преступникам следовать методическому процессу для получения ценных данных, которые им нужны. В большинстве случаев этот тип атаки остается незамеченным до тех пор, пока ущерб не увеличится. Таким образом, у злоумышленников есть время хорошенько понюхать и добиться успеха в атаке. Этот тип атаки предпочитают киберпреступники, потому что они знают о слабых сторонах многих компаний, которые играют в их пользу. Например, многие компании по-прежнему реагируют на нарушения, а не превентивно. Таким образом, в этом случае обнаружение такой атаки маловероятно.

Кроме того, сотрудники с привилегированным доступом обычно имеют определенные роли в компании. Злоумышленники это знают и используют в своих интересах. Они знают, что за этими людьми (их учетными записями и поведением) не следят так тщательно, как за другими. Таким образом, они могут с относительной легкостью получить учетные данные и доступ, которые им нужны, и перемещаться по сетям незамеченными.

Нацеливание на привилегированные учетные записи с повышенным доступом позволяет злоумышленникам проникать и использовать любые связанные привилегии и использовать учетные записи в своих интересах.

Дайте отпор с помощью многоуровневой защиты

Многоуровневая безопасность хорошо работает для защиты от этой угрозы. Создавайте слои так, чтобы каждый отдельный барьер функционировал по-своему, но когда они работают вместе, составная защита дает превосходную защиту. Эти уровни безопасности имеют решающее значение, особенно потому, что процесс атаки происходит на разных уровнях и на разных этапах. Вам нужно поставить себя на место злоумышленника. Рассмотрите тактику атаки, которую они используют (их много), а затем стремитесь уменьшить потенциал угрозы на каждом этапе. Злоумышленники будут использовать конечные точки, красть учетные данные, использовать множество привилегированных учетных записей и манипулировать людьми. Они будут использовать такие методы, как вредоносное ПО, социальная инженерия, фишинг и целевые фишинговые атаки, и будут использовать неустраненные пробелы и уязвимости. Поэтому защита необходима для всех представленных потенциальных угроз на каждом этапе атаки.

Защита на каждом этапе

1. Обучать

Во многих организациях усилия, направленные на обучение сотрудников или поощрение осведомленности об угрозах и безопасности, оставляют желать лучшего. Сотрудники большую часть времени не подозревают, что их действия могут привести к серьезному нарушению безопасности, и это напрямую связано с тем, что компания не уделяет первостепенное внимание основному обучению и делает его увлекательным, актуальным и частым. Пользователи, в конечном счете, являются основной точкой любой атаки, и ими легко манипулировать, чтобы они передавали информацию и учетные данные, которые можно использовать для дальнейшего процесса атаки. Образованные пользователи более осведомлены и с большей вероятностью будут подозревать нежелательные действия, включая мошенническое поведение, поддельные электронные письма и вредоносные ссылки. Важно, чтобы сотрудники знали, на что обращать внимание в отношении типов атак и методов, которые злоумышленники могут использовать для проникновения в организацию. Обучение является важной частью защиты от атак с привилегированными учетными записями. Вся организация должна чувствовать себя частью процесса и осознавать важность своего вклада в обеспечение безопасности компании и ее важнейших активов.

2. Управление пробелами и уязвимостями

Изображение 9941
Шаттерсток

Определите пробелы в безопасности в ваших системах и исправьте их. Держите системы обновленными и исправленными. Это очень важно, поскольку уязвимости всегда находятся и эксплуатируются. Чем дольше уязвимость остается неустраненной, тем больше времени остается у злоумышленников, чтобы найти способ использовать ее. Эффективное и постоянное управление уязвимостями может потребовать времени и усилий, но это необходимо и оно того стоит. Если это означает приобретение профессиональных услуг, необходимых для того, чтобы сделать это правильно, то это то, что должно произойти. Это нельзя игнорировать. Обязательно держите всю свою сеть под контролем, постоянно обнаруживая и устраняя уязвимости. Инструменты автоматизации также могут быть очень полезны для этого.

3. Защитите конечные точки

Конечные точки часто используются в качестве основы для инициирования атаки и являются средством горизонтальной навигации по сети. Защитите каждого из них. Установите защиту, чтобы ваши конечные точки не могли быть использованы против вас. Слой свою защиту и защиту. Оно работает.

4. Заблокируйте доступ к привилегированным учетным записям

Определите, какие учетные записи являются привилегированными, чтобы вы могли эффективно управлять ими и защищать их. Понятно, что это сложный процесс из-за динамических сред многих организаций, которые часто включают локальные, облачные и гибридные ресурсы. Это необходимый процесс, но как только вы это поймете, сможете ли вы действительно понять уникальный потенциал угроз вашей компании и управлять им надлежащим образом. Инвентаризация привилегированной учетной записи — хороший способ организовать это и помочь определить, как включить защитные действия для каждой из них. Во многих компаниях нет достаточного контроля над привилегированными действиями, учетными записями и учетными данными, что затрудняет обнаружение эксплуатации этих привилегированных учетных записей.

Кроме того, существуют ситуации, когда люди имеют привилегированный доступ, когда они не должны этого делать, а организации даже не знают об этом. Например, бывшие сотрудники часто обнаруживают, что их учетные данные для доступа продолжают работать, даже если они отсутствовали в компании в течение многих месяцев — они все еще могут получать доступ к привилегированным учетным записям, используя свои старые учетные данные. Такого типа ситуации быть не должно. Предотвратите доступ к привилегированным учетным записям, используя такие методы, как принцип наименьших привилегий. Разрешайте только те привилегии, которые необходимы для выполнения задания. Наименьшее количество привилегий лучше — всегда.

Убедитесь, что доступ к привилегированным учетным записям постоянно контролируется и управляется соответствующим образом. Проверяйте использование привилегированных учетных записей — независимо от того, кто к ним обращается. Избегайте анонимного и неограниченного доступа любой ценой. Возможно, рассмотрите возможность установки лимитов для выделенного использования для заранее определенных временных сессий. Или ограничить доступ к привилегированной учетной записи. Например, не разрешайте или хотя бы ограничивайте удаленный доступ. Должен быть рассмотрен любой способ, которым организация может ограничить доступ и эффективно им управлять. Таким образом, любое поведение, выходящее за рамки нормы, и вредоносная активность могут быть легко обнаружены.

5. Управляйте и защищайте привилегированные учетные записи и учетные данные

Учетные данные для привилегированных учетных записей должны правильно управляться. Кроме того, их не следует раздавать бессистемно. Первым условием для получения доступа к конфиденциальным областям и областям, которые запрещены для большинства, являются учетные данные. При этом часто именно здесь совершаются и первые ошибки. В бизнесе сотрудники, ответственные за эти учетные данные, такие как административные учетные данные, например, часто не задумываются, прежде чем поделиться ими с другими. Часто учетные данные даже не передаются и не хранятся в безопасном месте — это делается ненадлежащим образом. Это неправильное управление приводит к тому, что учетные данные оказываются там, где они не должны, и в чужих руках. Кроме того, когда они не изменяются периодически и повторно используются в нескольких привилегированных учетных записях, это увеличивает потенциальный риск. Убедитесь, что привилегированные учетные данные контролируются, защищены, регулярно изменяются, не используются совместно, а их использование проверяется. Используйте многофакторные методы аутентификации. Все эти тактики имеют большое значение, чтобы помочь. Если ими правильно управлять, любое злоупотребление ими становится более заметным.

6. Отслеживайте и обнаруживайте

Изображение 10074
Шаттерсток

Мониторинг может дать лучшее представление о происходящей деятельности. Важно следить за моделями поведения (как используются учетные данные и привилегированные учетные записи). Это необходимо для того, чтобы можно было установить нормальные действия, чтобы было замечено все необычное. Средства обнаружения любого подозрительного использования и действий путем выявления изменений в шаблонах поведения могут помочь обнаружить ненадлежащее использование привилегированных учетных записей, а также потенциальные атаки и злонамеренную активность. Для этого отлично подходит автоматизированный процесс. Отчеты являются важной частью процесса, но только в том случае, если они применимы к действиям, чтобы организация могла извлечь уроки из того, что произошло, и использовать эту информацию для повышения безопасности.

Не дает злоумышленникам использовать ваши системы против вас

Точно так же, как злоумышленники используют систематический процесс использования привилегированных учетных записей для собственной выгоды, организациям необходимо следовать стратегическому методу, чтобы вернуть себе контроль над привилегированными учетными записями, а также лучше управлять и защищать их и их более широкие системы, чтобы предотвратить такого рода злоупотребления. Целью должна быть разработка действенного плана, который не позволит злоумышленникам использовать ваши привилегированные учетные записи и системы против вас. От организаций требуется повысить безопасность за счет уменьшения поверхности атаки, чтобы уменьшить вероятность утечки данных и ущерба от кибератак. Повышение общей безопасности достижимо только за счет устранения как можно большего числа областей потенциальных угроз, и если потенциальную угрозу нельзя полностью устранить (что часто бывает), управление угрозой и потенциальным риском имеет важное значение.

Если потенциал для этой угрозы не контролируется, потенциальный риск взлома высок.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023