Системы аутентификации постоянно модернизируются. Однако компании делают упор преимущественно на способах аутентификации, оставляя без внимания проблему кражи учётных данных. Её призван решить новый класс продуктов — ITDR. Что это за софт и чем он отличается от других средств обеспечения ИБ, расскажем в этой статье.
Введение
Учётные данные в инфраструктурах компаний — основная мишень для атак. Завладев ими, злоумышленники могут обойти систему управления доступом (IAM) и перемещаться по инфраструктуре организации-жертвы, оставаясь незамеченными. Ущерб в результате такой атаки может быть нанесён в том числе деловым партнёрам компании.
По данным различных исследований, злоумышленники значительно повысили свою квалификацию, а киберпреступления превратились за последние пять лет в настоящий бизнес. С тех пор как был опубликован исходный код некоторых популярных шпионских программ, он стал широко использоваться по схеме «вредонос как услуга» (Malware-as-a-Service, MaaS). В интернет-магазинах стали продавать лицензии на средства сборки вредоносных программ, а не на сами вредоносы как продукт (см. отчёт Kaspersky ICS CERT от 19.01.22). Также распространились сервисы по монетизации взломов и легализации средств от этой деятельности.
Не так давно компания Gartner ввела новый термин — ITDR (Identity Threat Detection and Response, «выявление угроз для учётных данных и реагирование на них»). Он описывает набор средств и лучших практик защиты в этой области. Компании тратят значительные средства на модернизацию систем управления доступом, но модернизация в основном касается улучшения технологий аутентификации, что приводит к увеличению площади атаки в основополагающей части инфраструктуры безопасности. Системы ITDR призваны обеспечивать защиту учётных данных, выявлять и предотвращать атаки на них.
Зачем потребовался новый класс средств защиты, когда есть IGA, IAM, PAM?
Для начала давайте рассмотрим работу уже известных систем защиты учётных данных.
Системы IGA (Identity Governance and Administration) реализовывают управление учётными данными пользователей и правами доступа. Они позволяют создавать роли с необходимыми наборами привилегий и назначать их пользователям, а также автоматизировать процесс создания учётных записей и назначения ролей. Как правило, решения этого класса сфокусированы на пользователях, оставляя без внимания сервисные (административные) учётные данные.
Системы IAM (Identity and Access Management) осуществляют многофакторную аутентификацию и управление доступом. Дополнительный фактор аутентификации добавляется при помощи так называемых агентов — модулей для целевых ресурсов, обеспечивающих «инъекцию» фактора в процесс входа. Таких плагинов очень много: агент для RADIUS-сервера, LDAP-прокси, агент для входа в операционную систему и т. п. К сожалению, интегрировать их можно далеко не всегда. Некоторые системы вообще не позволяют добавить второй фактор за счёт агентов — например, утилиты командной строки, папки общего доступа, различные shell-оболочки. Также стоит отметить, что центральный провайдер аутентификации — служба каталогов (Directory Services) — работает в однофакторном режиме и «не знает» о существовании МФА.
Системы PAM обеспечивают защиту привилегированных (административных) учётных записей. Администраторы подключаются к промежуточному узлу, где после многофакторной аутентификации им предоставляется возможность работать с целевой системой от имени привилегированного аккаунта. При этом сам специальный аккаунт и его пароль скрыты от администратора. Такой подход обеспечивает защиту специальных учётных данных и контроль их использования. Однако для внедрения PAM зачастую требуется много усилий. Необходимо на сетевом уровне исключить возможность соединения с целевыми ресурсами в обход системы, а также обеспечить безопасный процесс создания административных учётных записей и передачи их под управление PAM.
Для проведения атак злоумышленники используют фрагментарное покрытие инфраструктуры — «слепые зоны» систем защиты учётных данных. Когда кража учётной записи состоялась, у преступников развязываются руки — их действия практически невозможно отследить с помощью традиционных инструментов. ITDR, постоянно анализируя и накапливая информацию о запросах доступа, позволяет выявлять:
- нелегитимное использование учётных записей;
- попытки повышения привилегий;
- сервисные и псевдоадминистративные учётные данные;
- атаки против учётных данных («password spraying», «golden / diamond ticket», «lateral movement» и т. п.).
Также он даёт возможность противодействовать атакам путём блокировки доступа и информирования других систем безопасности.
Выводы
Обеспечение безопасности учётных данных является сегодня приоритетной задачей, а выявление атак на учётные данные и противодействие им — острой необходимостью. В то время как большинство средств защищают корпоративную сеть, решения класса ITDR дополняют арсенал организаций новым и крайне необходимым инструментом для выявления уязвимых учётных данных и атак на них в режиме реального времени.
Современные злоумышленники используют украденные учётные данные для сокрытия своих перемещений внутри сети. Решения класса ITDR играют здесь решающую роль, справляясь с задачей противодействия киберпреступникам значительно эффективнее других существующих систем безопасности.