В статье рассматриваются основные заблуждения, связанные с управлением привилегированными учётными записями в локальных сетях предприятий. Как правило, усилия, прилагаемые для организации эффективного управления учётными записями пользователей, пропадают даром, если администраторы не следуют собственным же разработанным правилам, а также надеются на то, что успешное прохождение аудитов решает все проблемы с информационной безопасностью.
2. Заблуждение 1. Наша система безопасности только что успешно прошла аудит
3. Заблуждение 2. Мы регулярно меняем пароли
4. Заблуждение 3. У каждого администратора собственные параметры доступа
5. Заблуждение 4. Наш ИТ-отдел контролирует доступ
6. Заблуждение 5. У нас установлена система управления доступа к учётным записям
Введение
Тот факт, что локальные сети предприятий обычно защищены межсетевыми экранами, системами обнаружения и предотвращения вторжений — является аксиомой. Но все это может оказаться бесполезным против несанкционированных действий своих же привилегированных пользователей. Действия таких пользователей обычно плохо регулируются политиками безопасности предприятия.
Это приводит к укоренению в сознании администраторов локальных сетей определённых заблуждений. Например, факт существования никем неконтролируемых привилегированных пользователей в корпоративной сети может свести на нет эффективность всей выстроенной системы информационной безопасности. Далее, успешное прохождение аудита вовсе не означает, что и другие сотрудники на предприятии неукоснительно соблюдают все принятые политики информационной безопасности. Наконец, ситуация, когда одинаковые параметры доступа могут использоваться несколькими людьми, делает невозможным установить виновника утечки информации.
Ниже перечислены пять основных заблуждений в части информационной безопасности, которые могут привести к существенному снижению уровня защиты информационных систем предприятий, если не учитывать наличие привилегированных пользователей.
Заблуждение 1. Наша система безопасности только что успешно прошла аудит
Тот факт, что аудит прошёл успешно, вовсе не означает, что вы автоматически защищены от атак. Многие компании, использующие средства разграничения доступа и защиты от внешних атак, в течение последнего года были успешно атакованы.
Почему на практике успешно пройденный аудит не означает полной защищённости? Во-первых, в большинстве случаев ИТ-отделы в преддверие аудита ведут себя примерно, чтобы показать соответствие требованиям стандарта безопасности. Однако, как только давление внешнего аудита пропадает, эти же сотрудники начинают пренебрегать правилами информационной безопасности, и так до следующей проверки. Во-вторых, аудиторы не всегда стараются выяснить слабые места в информационной безопасности конкретного предприятия, не учитывают его специфику и, как следствие, могут пропустить серьезные уязвимости.
Аудиты информационной безопасности предприятия можно разделить на несколько видов. При проведении активного аудита внешний специалист играет роль взломщика и, таким образом, находит недочёты в системе безопасности. При проведении экспертного аудита производится сбор информации обо всех подразделениях, потоках информации, техническом устройстве сетей и серверов, проводится общение с ответственным персоналом. Наиболее распространен при этом аудит на соответствие определённым стандартам. Все эти виды аудита проводятся с достаточно редкой периодичностью. При этом аудит на соответствие предприятия требованиям определённых стандартов информационной безопасности может не выявить реальные проблемы на предприятии, даже если они проявляются во время проведения аудита. Связано это с тем, что аудит на соответствие какому-либо стандарту включает определённый перечень проверок и тестов, который априори не может быть всеобъемлющим, в т.ч. в них может вообще не содержаться особых требований, которые касаются привилегированных учётных записей.
В качестве примера можно привести нашумевший случай с Heartland Payment Systems, когда сервис этой компании был сертифицирован по стандарту PCI DSS, но при этом оказался уязвимым. Система этой компании была взломана в 2008 году, и компания Visa исключила её из своего списка организаций, подвергнув сомнению соответствие сервисов компании положениям стандартов PCI DSS.
Аудиторы также могут оказаться не вполне квалифицированными. Например, предъявлять заведомо невыполнимые требования, заостряя внимание на формальной стороне вопроса и не акцентируя его на более важных практических проблемах.
Рекомендации. После прохождения аудита продолжайте внимательно контролировать, как сотрудники выполняют рекомендации в области безопасности при ежедневной работе. Уязвимости ваших систем должны оцениваться регулярно, и над каждой потенциальной брешью в защите должна проводиться постоянная работа в зависимости от приоритета. Также необходимо удостовериться, проверяются ли при аудите политики управления привилегированными учётными записями.
Заблуждение 2. Мы регулярно меняем пароли
Если вы меняете пароли обычных пользователей, то привилегированные пользователи часто этот момент игнорируют. Административные учётные записи могут меняться нерегулярно или не меняться вовсе. Если администраторы меняют пароли вручную, то этот процесс не носит системный характер, каждый раз будет отнимать значительное время и ресурсы, а безопасность локальной сети будет страдать.
Привилегированный пользователь, подключающийся к машине физически (или с помощью скриптов), чтобы сменить пароль, с высокой вероятностью столкнётся с проблемами или сделает ошибки, учитывая сложность сервисов, установленных на серверах. Эти сервера и системы должны быть корректно выключены перед внесением изменений, а затем снова запущены, после чего на них необходимо запустить необходимые задачи. Это может вызвать сложности, если производить данную процедуру по всем правилам. Немногие сотрудники могут проводить её безопасно и незаметно для производственных процессов.
Например, довольно часто на предприятиях можно встретить ситуацию, когда пароли и PIN-коды, использующиеся в бухгалтерском программном обеспечении, остаются в предустановленном виде, либо устанавливаются простые пароли. Администраторы тоже при установке различного ПО часто оставляют предустановленные логины и пароли в надежде на то, что обычному пользователю не хватит знаний, чтобы ими воспользоваться. И в случае паролей к бухгалтерскому ПО, и в случае административных ресурсов пароли часто не меняются годами. Злоумышленникам хорошо известны пароли по умолчанию, и они могут методом частичного или полного перебора быстро их подобрать.
Согласно исследованию проблем парольной защиты в российских компаниях, проведённому Positive Technologies, администраторы часто используют откровенно слабые пароли (хотя они, в среднем, и сложнее, чем у рядовых пользователей). В частности, цифровые пароли используют 9% администраторов. Существуют факты использования администраторами пустых паролей. В 10% случаев пароль совпадает с именем пользователя, а в 15% – в публично распространяемых словарях.
Рекомендации.Перед тем как развернуть новое устройство или систему в своей сети, убедитесь, что все пароли по умолчанию изменены. Возможно, количество общеизвестных параметров доступа гораздо больше, чем вы думаете. Необходимо также внести изменения в политику информационной безопасности предприятия, которые бы распространили процедуры управления и правила использования пользовательских учётных записей также и на привилегированные.
Заблуждение 3. У каждого администратора собственные параметры доступа
Комфорт может перевесить безопасность? Множество компаний были взломаны за самоуверенность, что их привилегированным сотрудникам не обязательно использовать уникальные логины и пароли. При этом сознательно создавалась ситуация, при которой одинаковые учётные записи использовались одновременно многими привилегированными пользователями. Информационная система любого крупного предприятия подразумевает привлечение множества привилегированных пользователей, осуществляющих её управление. И нередко можно встретить ситуацию, когда одни и те же реквизиты доступа используются сразу несколькими сотрудниками. Когда множество привилегированных пользователей используют одинаковые логины и пароли для доступа к системам и вносят изменения, то невозможно узнать, кто именно произвёл изменения, и кто именно получал доступ к конфиденциальным данным.
Усугубляют проблему компании, предлагающие сервисы удалённого управления безопасностью. По данным исследования Frost & Sullivan, в 2013 году рынок подобных услуг вырастет почти на 20% и составит около 10 млрд. долларов США. При этом администраторы таких аутсорсинговых компаний обычно используют одни и те же учётные записи для управления безопасностью сетей предприятий-клиентов. Например, это происходит благодаря посменной работе удалённых администраторов. Также сами предприятия не в состоянии контролировать процесс управления учётными записями специалистов компаний, осуществляющих подобные сервисы.
Рекомендации. Планируйте обновления своих привилегированных учётных записей так часто, как это возможно. Применяйте сложные и уникальные пароли для каждой привилегированной учётной записи. И, если возможно, автоматизируйте процесс. Если вы пользуетесь услугами аутсорсинговых компаний, которые удалённо управляют информационной безопасностью вашего предприятия, организуйте контроль их деятельности. Как правило, такие компании могут сами предложить различные способы организации контроля.
Заблуждение 4. Наш ИТ-отдел контролирует доступ
Осуществление контроля доступа зачастую не означает, что сеть защищена. Пароли высокопривилегированных пользователей обычно интегрируются в приложения или напрямую передаются внешним сервис-провайдерам. В ситуации, когда эти параметры доступа находятся у неопределённого круга лиц, абсолютно невозможно узнать точно, кто конкретно и что делал в течение сессии. Из-за того, что такие пароли де-факто меняются редко, сотрудники, недавно покинувшие компанию, или внешний сервис-провайдер, контракт с которым подошёл к концу, могут воспользоваться ими для несанкционированного доступа к ресурсам компании.
Весьма распространенной является ситуация, когда именно привилегированные пользователи являются причинами утечек конфиденциальной информации, составляющей коммерческую, государственную и другие виды тайн. При этом если все администраторы используют одни и те же параметры доступа к административным ресурсам, то в случае утечки информации невозможно будет определить, кто именно виновен в утечке.
В качестве примера можно привести случай с Эдвардом Сноуденом, работавшим в отделе информационной безопасности АНБ (Агентстве национальной безопасности США) и передавший журналистам сведения, составляющие государственную тайну США. Этот человек решил действовать открыто и разглашал информацию от своего имени. Но информация могла бы передаваться и без указания источников.
Согласно исследованию Forrester, 27% утечек информации связаны с некорректным использованием прав доступа. В некоторых случаях администраторы осуществляют продажу параметров учётных записей. Так, например, произошло в случае с компанией Vodafone, где сотрудник предположительно продал такие данные преступникам. В любом случае, по результатам расследования из данной компании было уволено несколько человек.
Рекомендации. Система управления доступа к учётным записям является лишь частью решения, т.к. не позволяет оптимально управлять учётными записями при высокой текучке кадров. Когда компания растёт и развивается, развиваются и сотрудники. Они сменяют должности, роли, берут на себя дополнительные зоны ответственности и полномочия и, естественно, иногда покидают организацию. Если их параметры доступа не меняются после смены должности и при увольнении, у них всё ещё будет оставаться доступ к информации и сервисам, которые могут уже не соответствовать их новому статусу.
Заблуждение 5. У нас установлена система управления доступа к учётным записям
Компании редко внедряют решения для управления привилегированными учётными записями – теми, которые используются в непредвиденных случаях или для административного доступа. Это означает, что не существует решения в области безопасности, такого, как межсетевой экран или стандартная система управления учётными записями, которое бы позволило отслеживать и контролировать доступ к привилегированным учётным записям. Если не развернуть специализированное решение, не надейтесь, что вышеперечисленные продукты решат указанные проблемы.
Очень часто в утечке информации или сбоях в системе виновны как раз те сотрудники, которые призваны защищать информацию предприятия. Поэтому необходим контроль за всеми учётными записями, включая привилегированные. Несоблюдение этого принципа приводит к проблемам с утечками.
Под привилегированными учётными записями понимаются не только учётные записи администраторов локальных сетей, но и сотрудники, имеющие доступ к финансовой информации предприятия, а также к клиентской базе. Клиентские базы часто используют так называемые «перебежчики», у которых по долгу службы был доступ к соответствующей информации. В качестве примера утечки финансовой информации можно привести случай с экс-директором банка Goldman Sachs, который раскрыл детали закрытой финансовой отчётности, чем нанёс серьёзный ущерб.
Рекомендации. Установите и используйте решения, которые могут работать со всеми привилегированными учётными записями. Проводите ревизию всей активности, осуществляемой под этими учётными записями. Отслеживайте и записывайте все действия и запаситесь инструментами для контроля за работой администраторов.
Выводы
1. Из перечисленных заблуждений видно, что хакеры пользуются беспечностью сотрудников, ответственных за информационную безопасность предприятия. Они находят наиболее слабые точки в защите и бьют по ним. И для защиты недостаточно выставить правильные настройки и ввести действие соответствующие инструкции.
2. Специалист по безопасности должен всегда сомневаться в стопроцентной защищённости доверенной ему системы и постоянно работать над совершенствованием её защиты, учитывать всю специфику конфигурации локальной сети, а также не забывать о наличии привилегированных пользователей, которые часто забывают, что дополнительные права учётных записей, которые они используют, компенсируются большей ответственностью.
3. Что касается внешних аудитов, то их проводить необходимо, но они не должны заменять внутренних плановых периодических проверок соблюдения правил политики информационной безопасности предприятия.
Просмотрите ещё раз описанные заблуждения и рекомендации по решению проблем, которые они вызывают. А после этого откорректируйте собственную политику информационной безопасности. А, может, для начала нужно её создать?