Сегодня всё больше компаний задумываются о необходимости контроля за привилегированными пользователями, чтобы своевременно выявлять скомпрометированные учётные записи и предотвращать риски со стороны злоумышленников. Рассмотрим, какие меры можно принять для снижения рисков несанкционированного доступа и как это поможет защитить конфиденциальные данные компании от утечек и успешных атак.
Введение
Тема информационной безопасности сегодня актуальна как никогда. То и дело появляются новости об очередной утечке персональных данных, кибератаке или свежей угрозе. Но одними из основных для безопасности компании остаются внутренние риски, связанные с сотрудниками.
В организациях всё чаще стали задаваться вопросами о том, как контролировать действия пользователей с высокими правами доступа ко критически важным информационным системам, как ограничивать число неэффективных и неправомерных действий в их работе или фиксировать задачи, которые ими выполнялись.
На рост интереса к этой теме повлиял целый ряд факторов.
Во-первых, у руководителей организаций появилась необходимость более тщательно контролировать действия собственных сотрудников с целью предотвращать внутренние угрозы и повышать операционную эффективность. Это стало особенно актуальным в период пандемии, когда большинство компаний были вынуждены перевести людей на удалённый формат работы.
Во-вторых, компании чаще стали обращаться за услугами аутсорсинга. В основном это связано с постоянным расширением инфраструктуры. Поскольку управлять большим объёмом серверов и сетевых устройств становится сложнее, компании обращаются за помощью к специализированным организациям, у которых имеются необходимые компетенции и экспертиза.
Подрядчики, оказывающие услуги по администрированию информационной системы, получают расширенные права доступа. Как при этом контролировать таких пользователей, неизвестно. У руководителей бизнеса возникает вопрос о том, действительно ли эти люди выполняют свою работу в полном объёме согласно условиям соглашения о качестве (SLA), а у специалистов отвечающих за информационную безопасность — о том, не злоупотребляют ли они своими правами и возможностями.
Контролировать пользователей, которые не входят в штат компании, ещё труднее, чем собственных сотрудников. Практически невозможно отследить, кто именно использует учётную запись и каким лицам она передаётся, что в свою очередь влечёт за собой ещё большие риски для компании.
В-третьих, злоумышленнику проще выбрать цель в лице привилегированного пользователя, ведь эффективнее завладеть одной учётной записью сотрудника с расширенными правами, чем десятками аккаунтов обычных пользователей. С помощью привилегированной учётной записи злоумышленник получает доступ к широкому спектру критически важных для компании информационных систем, где хранятся важные данные, поэтому такого рода пользователи являются одной из главных мишеней для злоумышленника.
Потеря подобной информации, её передача третьим лицам или модификация приводит к серьёзным последствиям, как финансовым, так и репутационным. Стоит также обратить внимание на то, что злоумышленник способен вывести из строя информационные системы, которые обеспечивают движение бизнес-процессов компании. Восстановить подобные сервисы весьма трудно, потребуется определённое время (в зависимости от сложности проблемы), за которое компания понесёт большие убытки.
Охота за данными компании
Самым распространённым способом компрометации учётных записей является фишинг. Хотя этот вид интернет-мошенничества хорошо известен большинству и существует уже долгие годы, его популярность только растёт. С помощью фишинговой атаки возможно получить доступ сразу к большому объёму данных пользователей. Даже с учётом того, что вероятность перехода единичного пользователя на фальшивую страницу невелика, массовость подобных рассылок увеличивает вероятность, что хоть кто-то из получателей не заметит подмены и «попадётся на крючок». Например, очень часто злоумышленники используют поддельные страницы, которые выглядят максимально похоже на официальный сайт компании, и заметить подмену сможет далеко не каждый. В других случаях используется письмо, на первый взгляд также похожее на обычную рабочую рассылку, но содержащее вредоносные файлы или ссылки, которые ничего не подозревающий сотрудник открывает и в итоге скачивает себе на ПК опасную программу.
Второй способ — завладение логином и паролем от привилегированной учётной записи. Возможные сценарии:
- Умышленное злоупотребление собственными правами со стороны сотрудника вследствие подкупа или желания навредить организации. Примером может служить администратор AD, который создаёт новую учётную запись в каталоге пользователя, не ограничивая её в каких-либо правах, с предоставлением доступа к большому объёму конфиденциальной информации и в дальнейшем передаёт её злоумышленнику.
- Передача учётной записи третьим лицам по незнанию или в надежде на порядочность коллеги или партнёра.
Злоумышленники также могут собственными силами завладеть учётными записями, например, посредством брутфорса, т. е. путём подбора логина и пароля с помощью специализированного программного обеспечения, которое позволяет в считаные минуты получить нужный вариант из тысячи.
Подобные способы компрометации учётных данных можно перечислять ещё долго. Но давайте остановимся на том, как безопасно предоставлять привилегированный доступ сотрудникам, которые работают с критически важными системами компании, ведь от безопасности этих данных зависит дальнейшее существование организации.
Контроль действий привилегированных пользователей
Предоставление сотруднику расширенных прав доступа, несомненно, создаёт определённые риски для организации. Конечно, часть угроз можно закрыть внутренними инструментами: регулярно проводить обучение сотрудников цифровой гигиене, ввести парольную политику, проводить регулярные аудиты и использовать средства защиты. Но на практике это даёт весьма слабый результат. К тому же, для подобных случаев уже разработано готовое решение — система контроля действий привилегированных пользователей, или PAM (Privileged Account / Access Management), которая позволяет:
- Предоставлять пользователям доступ только к необходимым для работы информационным системам согласно их должностным обязанностям, то есть использовать принцип наименьших полномочий. Сюда же можно добавить функциональность отзыва доступа или его заморозки при увольнении или длительном отсутствии сотрудника.
- Предоставлять пользователям временный доступ к информационным системам, с которыми не требуется работать на постоянной основе.
- Ограничивать взаимодействие пользователей с информационной системой при помощи чёрных и белых списков команд, запуска диалоговых окон, работы в режиме «только просмотр» без разрешения на редактирование, копирование или удаление данных.
- Использовать систему единого входа, когда пользователям достаточно знать только один пароль — от PAM-системы. Эта функциональность избавляет от необходимости запоминать большое количество логинов и паролей от различных систем, тем самым повышая удобство использования. Со стороны безопасности такой способ авторизации помогает обеспечить высокую защищённость информационной системы, прежде всего потому, что сам пользователь не знает актуального пароля. Также возможно менять пароли после каждого завершения сессии или по расписанию, согласно преднастроенной парольной политике.
- Проводить аудит учётных записей, чтобы сформировать полный и актуальный список привилегированных пользователей. Решение PAM позволяет в заданный промежуток времени сканировать информационные системы на наличие новых учётных записей, которые при обнаружении будут автоматически добавлены в хранилище с последующей заменой пароля.
- Определять активность и идентифицировать пользователей с деперсонифицированной учётной записью (например, «root» или «admin»). С помощью PAM-системы возможно получить детализированную информацию и определить, какой именно пользователь заходил под этой учётной записью, в какое время и какие действия он выполнял.
- Фиксировать все действия пользователей при работе с информационными системами: ход сеанса, нажатие клавиш, запуск процессов и т. д. При этом журналы операций хранятся в защищённом и недоступном пользователю месте. С помощью PAM-системы проводятся текстовая запись сессий, видеофиксация, а также сохранение снимков экрана. Таким образом, сохранённые данные можно использовать в том числе и при расследовании преступлений и предоставлять как одну из основных улик.
- Использовать многофакторную аутентификацию (у PAM-систем есть как встроенная функциональность, так и возможность интегрировать стороннее решение MFA). Можно выбрать одноразовый пароль (OTP), пуш-уведомление, которое приходит в мобильное приложение, или физический токен.
- Просматривать сессии в режиме реального времени. С помощью PAM-системы возможно контролировать работу пользователей в тот момент, когда она выполняется. При выявлении подозрительных действий администратор системы может временно заморозить сессию, прервать её или взять управление на себя.
- Предупреждение администраторов о различных событиях по информационной безопасности привилегированного доступа. С помощью подобной функциональности возможно настроить отправку уведомлений необходимым лицам. Например, в адрес администратора PAM-системы направляется уведомление о вводе запрещённой команды, для последующего разбора и исключения неблагоприятных последствий.
Сегодня на российском рынке представлен обширный выбор PAM-систем. Среди наиболее популярных можно выделить такие решения, как СКДПУ НТ («АйТи Бастион»), Indeed PAM («Компания Индид») и Infrascope (NGR Softlab).
Выводы
Очень многие компании уже стали жертвами киберпреступников. Согласно аналитике, кража личных данных — один из самых популярных приёмов злоумышленников.
В докладе «The Forrester Wave: Privileged Identity Management, Q4 2018» сообщается, что не менее 80 % утечек информации связаны с компрометацией учётных данных (таких как токены или пароли) для привилегированных аккаунтов. Кроме того, согласно докладу Cybersecurity Insiders «2020 Insider Threat Report», 63 % организаций считают, что пользователи с расширенными полномочиями являются самой большой базовой угрозой безопасности.
Относительно простые инструменты в сочетании с системами контроля действий привилегированных пользователей могут помочь обнаружить скомпрометированные учётные записи с расширенными правами и остановить злоумышленников до того, как они смогут нанести ущерб организации.