В статье описаны проблемы, с которыми может столкнуться организация при управлении привилегированными пользователями, и каким образом на это влияют выбранные способы аутентификации.
- Введение
- Управление привилегиями как мера противодействия атакам
- Привилегии макро- и микроуровня
- Проблема управления привилегиями
- Стратегия управления привилегированными пользователями
- 5.1. Терминологические сложности
- 5.2. Личное vs. общественное
- 5.3. Приобретенное vs. нативное
- 5.4. Аутентификация без PAM
- Выводы
Введение
Эта публикация продолжает и развивает уже сложившуюся серию материалов, посвященных проблеме управления привилегированными пользователями:
— Рынок решений для управления привилегированными пользователями
— Контроль привилегированных пользователей (PUM) — обзор мирового и российского рынка
— Сравнение систем контроля действий привилегированных пользователей (PUM) 2017
— Как контролировать привилегированных пользователей
Предлагаем на некоторое время отвлечься от сопоставления представленных на рынке отечественных и зарубежных решений и взглянуть на проблему управления и аутентификации привилегированных пользователей с другой стороны.
Управление привилегиями как мера противодействия атакам
Общеизвестно, что большинство атак на информацию зарождаются за пределами организации. Многочисленные подтверждения этому можно обнаружить в статьях, отчётах об уязвимостях, аналитических материалах в области информационной безопасности. Внешние атаки, как правило, проводятся по следующему сценарию:
- Преодоление периметра организации. Производится как непосредственно, так и с использованием теневой загрузки программного обеспечения на компьютер или фишинговой атаки, направленной на компрометацию пользовательской системы.
- Установление соединения. На данном этапе задача атакующей стороны состоит в том, чтобы 6ез промедлений создать канал для загрузки в целевую систему инструментальных средств, вспомогательных данных или передать управляющие воздействия.
- Деятельность внутри периметра сети. Далее нарушитель исследует топологию и ресурсы сети, а также занимается поиском возможностей для сбора дополнительных параметров доступа (имен и паролей пользователей), повышения привилегий или использования уже имеющихся скомпрометированных привилегий для несанкционированного доступа к системам, приложениям и данным.
- Достижение цели атаки. В конечном итоге атакующая сторона собирает, упаковывает и выводит данные из информационной системы или оказывает какое-либо разрушительное воздействие, направленное на информационные ресурсы системы.
Очевидно, что с помощью какого-то одного средства защиты невозможно обеспечить защиту на всех этапах выполнения атаки. Крайне затруднительно на практике обойтись без использования систем своевременного обновления компонентов программного обеспечения, межсетевого экранирования, защиты от воздействия вредоносного кода, обнаружения вторжений. Но, помимо этих очевидных и давно привычных средств, необходим также комплекс мероприятий, связанных с управлением и аудитом привилегий. Использование инфраструктуры управления привилегиями может оказаться весьма эффективной мерой противодействия атакам на всех этапах их проведения: от сокращения поверхности атак до обнаружения фактов несанкционированной активности, оперативного реагирования и снижения уровня негативных последствий несанкционированного доступа.
Привилегии макро- и микроуровня
Для понимания того, каким образом привилегии могут использоваться в качестве вектора проведения атак, необходимо определить собственно это понятие. Несколько упрощенно, привилегия это особое право или преимущество — превышение нормы, разрешение, недоступное общей массе пользователей. Сюда можно отнести возможность устанавливать программное обеспечение, изменять его настройки, управлять операциями резервного копирования и многие другие операции. Наличие такого рода прав у пользователя еще не означает, что он является администратором. Оно свидетельствует о том, что на некоем уровне «детализированной» (за счет введения множества уровней в соответствии с привилегированными операциями) иерархической структуры пользователь наделен соответствующими полномочиями, выходящими за пределами базового набора, которым обладает «обычный» (standard) пользователь.
«Детализированность» подразумевает наличие стольких уровней и свойств, сколько требуется в отдельно взятой организации.
Базовый, привычный подход предполагает наличие двух уровней: «обычный» пользователь и администратор. В некоторых организациях в данную базовую иерархическую структуру добавляется еще два уровня: «нет доступа» и «гость». Но при этом очень важно понимать, что приведенная базовая концепция привилегий связана с представлением пользователей исключительно на макроуровнях, в то время как обеспечение наиболее надежной защиты возможно лишь на микроуровнях привилегий, доступных, например, в отношении меток доступа и файлов. Вне зависимости от используемого механизма аутентификации пользователя, будь то имя пользователя и пароль, или сертификат, привилегии должны встраиваться в операционную систему, файловую систему, системные и пользовательские приложения, базы данных, гипервизоры, облачные платформы, сетевую инфраструктуру.
Проблема управления привилегиями
«Обычный» пользователь обладает базовыми привилегиями, достаточными для выполнения задач в соответствии со своими должностными обязанностями. В типичной организации может быть предусмотрено 100-1000 различных ролей, предназначенных для «обычных» пользователей. Каждая роль наделяется специализированным видом доступа к системам, приложениям и данным в зависимости от особенностей выполняемой пользователем работы. Очевидно, что в ряде случаев пользователь может быть членом множества ролей сразу. Довольно распространено положение вещей, при котором многие организации предоставляют пользователям больше привилегий, чем требуется для выполнения должностных обязанностей. С учетом того, что ведение злоумышленной деятельности часто не требует полных административных полномочий, такая ситуация приводит к существенному увеличению риска успешной атаки со стороны инсайдеров.
С другой стороны, распространен и комплекс проблем, возникающих в рамках взаимодействия организации с независимыми поставщиками услуг, к числу которых относятся подрядные организации, поставщики услуг для маршрутизаторов, межсетевых экранов и т. п. Поддержка, оказываемая многими поставщиками, предполагает удаленное подключение к обслуживаемым компонентам. Но на практике эти компоненты подключены также и к корпоративной сети организации — заказчика услуги. А это в сущности означает, что безопасность сетевого окружения целевой организации состоит в прямой зависимости от защитных мер, действующих в информационной системе третьей стороны. Следствия очевидны: параметры удаленного доступа, используемые поставщиком, не находятся под непосредственным контролем заказчика. Очевидно, что при использовании инфраструктуры, включающей различные сети с различными службами каталога пользователей и в общем случае различными политиками безопасности, весьма затруднительно обеспечить соответствие требованиям информационной безопасности. Легко представить ситуацию, когда некий внешний нарушитель может похитить параметры доступа (имя пользователя и пароль) к системе, контролируемой поставщиком, а затем эксплуатировать уязвимости или в недостаточной степени управляемые привилегии для того чтобы атаковать сеть целевой организации в соответствии с приведенным выше типовым сценарием.
Стратегия управления привилегированными пользователями
Терминологические сложности
После того как установлен аутентифицированный сеанс пользователя в рамках информационной системы, вне зависимости от того, является ли он легитимным или стал возможен вследствие успешно проведенной атаки на пароль пользователя, цель нарушителя, как правило, состоит в повышении привилегий и последующем получении несанкционированного доступа к информационным ресурсам. Нарушитель использует следующие основные методы получения привилегий администратора: компрометация паролей, эксплуатация уязвимостей, использование недостатков в конфигурации программных компонентов, использование вредоносного кода, социальная инженерия.
В целом методы несанкционированного получения привилегий хорошо известны, поскольку за прошедшие годы накоплен весьма богатый опыт в деле исследования различных атак на пароли и методов эксплуатации уязвимостей. Совокупность механизмов защиты, направленных на противостояние таким атакам, в общем случае может быть обозначена как дисциплина управления привилегированным доступом (Privileged Access Management, PAM). Довольно широко распространены и созвучные именования: управление учетными записями (Privileged Account Management), управление привилегированной идентификационной информацией пользователей (Privileged Identity Management, PIM), управление привилегированными пользователями (Privileged User Management, PUM) и др.
В предыдущих наших материалах приведенные термины трактовались как взаимозаменяемые и во избежание путаницы понятий при описании существующих на рынке решений была избрана к использованию аббревиатура PUM. Однако может возникнуть закономерный вопрос: имеется ли все-таки разница между перечисленными обозначениями, и насколько она существенна? Поскольку ответ на него, вероятно, поможет глубже понять предметную область, стоит вкратце осветить современные взгляды в отношении указанных понятий.
Не откладывая дело в долгий ящик, следует отметить, что различия между приведенными терминами имеются, могут быть рассмотрены в различных плоскостях и вряд ли могут быть признаны существенными.
Личное vs. общественное
Разница между управлением привилегированными пользователями (PUM) и управлением привилегированной идентификационной информацией пользователей (PIM), видимо, лежит в плоскости личностного восприятия. Дело в том, что под «привилегированным пользователем» подразумевается некая персона, отдельно взятая личность. Термин «идентификационная информация привилегированного пользователя» легче соотнести всего лишь с неким средством, объектом, с помощью которого пользователи-люди могут выполнять специализированные задачи. Существует точка зрения, что использование модели, в рамках которой управление осуществляется над объектом (идентификационной информацией пользователя), а не над субъектом (пользователем), позволяет более точно передать сущность соответствующих процессов:
- С точки зрения здравого смысла на практике вряд ли оправданно существование персоны, которая во всех случаях является привилегированной, всемогущим администратором, которому необходимо выполнять исключительно операции, требующие специальных привилегий. Скорее, целесообразно рассматривать отдельно взятого сотрудника организации, который время от времени нуждается в получении специального вида доступа для выполнения некоей частной задачи, что придает понятию «привилегированный пользователь» нежелательные коннотации.
- Акцент на «привилегированной идентификационной информации» пользователя, а не на самом пользователе позволяет более естественным образом рассматривать соответствующую сущность как объект атаки со стороны как внешнего, так и внутреннего нарушителя.
- Поскольку идентификационная информация — это объект, средство, для организации легче проводить политику по управлению и реализовывать необходимые защитные механизмы. Вероятно, администраторы должны менее болезненно относиться к тому факту, что ограничительные меры принимаются всего лишь по отношению к средству, а не к их персонам непосредственно.
Приобретенное vs. нативное
В настоящее время аналитики выделяют также различия между концепциями PAM и PIM (PUM).
PAM представляет собой процесс, в рамках которого пользователи могут запросить повышенный уровень доступа к приложению или системе от имени своей существующей учетной записи для выполнения некоей обязанности, недоступной для них в условиях текущего уровня прав доступа. Так, если «обычному» пользователю понадобился административной доступ к какой-то системной задаче, PAM предоставляет для него возможность обратиться с соответствующим запросом. После получения одобрения запрос пользователь будет удовлетворен применительно к его учетной записи. Вдобавок PAM может обеспечить действие этого дополнительного разрешения только на протяжении временного отрезка, необходимого для выполнения задачи.
Характерная особенность PAM заключается в предположении, что «обычный» пользователь ни при каких обстоятельствах не должен получать привилегии повышенного уровня раз и навсегда. Поддерживая уровень доступа на минимальном уровне, но предоставляя простой механизм для его повышения в случае возникновения потребности, PAM способствует сокращению рисков информационной безопасности для организации и обеспечивает ту самую «детализированность» в части разрешения доступа. Это означает, что имеется возможность оперировать сразу множеством различных «повышенных» уровней доступа: базовый пользователь, опытный пользователь, пользователь с административными правами, администратор системы, администратор баз данных и пр.
Концепция PIM (PUM), в отличие от PAM, направлена на управление существующими учетными записями: administrator, root и т. п. Эти учетные записи, как правило, встроены в приложения или системы и не могут быть удалены. Зачастую число их ограниченно, и потому они совместно используются различными сотрудниками организации. Этому разделению способствуют и ограничения лицензий, поскольку организации могут предпочесть экономически более выгодное использование единственной учетной записи вместо множества. В свою очередь, данное обстоятельство служит препятствием к использованию многофакторной аутентификации. В большинстве случаев в рамках аутентификации используются только пароли.
Некоторые крупные компании используют PIM (PUM), поскольку полагают, что ограниченное и строго определенное число привилегированных учетных записей позволяет в большей степени контролировать процедуры доступа пользователей к информационным ресурсам. Преимущество PAM видят в обеспечении возможности более глубоко взглянуть на проблему определения, кто именно получал повышенный уровень доступа, какого рода был этот повышенный уровень доступа и на протяжении какого временного отрезка он имел место.
Следует отметить, что организации не принуждены к взаимоисключающему выбору между PIM (PUM) и PAM, а могу посчитать возможным и необходимым для себя использовать сочетание этих техник, получая преимущества от каждой из них. В рамках настоящей публикации представляется разумным рассматривать именно такой обобщенный случай, поскольку предлагаемые суждения в известной степени применимы к той и другой концепции. При этом далее в контексте этого обобщенного случая будем использовать обозначение, соответствующее концепции PAM, поскольку последняя лишена негативных эффектов личностного восприятия и получает в последнее время более широкое распространение.
Аутентификация без PAM
Отсутствие в организации эффективной стратегии PAM приводит к возникновению следующих проблем, имеющих непосредственное отношение к процедурам аутентификации пользователей:
- совместное использование привилегированных учетных записей из соображений удобства (недостаток, который был отмечен выше как свойственный концепции PUM). В рамках этого подхода затруднена возможность сопоставления с определенным физическим лицом действий, выполненных от имени учетной записи;
- уязвимая для различных атак дисциплина использования встроенных параметров доступа. Параметры привилегированного доступа, помимо всего прочего, используются для взаимной аутентификации приложений, а также при доступе приложений к базам данных. При этом часто приложения, системы, устройства поставляются с встроенными параметрами доступа по умолчанию, которые в общем случае могут быть легко раскрыты нарушителем, поскольку хранятся в том числе и в виде открытого текста — в файле, скрипте или «зашиты» в программный код. К несчастью, не существует способа вручную обнаруживать или централизованно управлять паролями, хранимыми внутри приложений или скриптов. Защита встроенных паролей требует отделения пароля от программного кода таким образом, что в то время, когда пароль не используется, он защищенным образом содержится в централизованном хранилище;
- использование ключей SSH для автоматизации процессов защищенного доступа. Использование ключей SSH способствует повышению риска для организаций, который могут оперировать огромным множеством таких ключей, многие из которых давно позабыты и не используются в действительности, но при этом могут быть задействованы нарушителем для преодоления периметра организации за счет доступа с их помощью к критическим серверам;
- распространение политик привилегированного доступа и управления параметрами доступа на сторонние организации, поставляющие услуги. Взаимодействие со сторонними организациями привносит проблему, связанную с обеспечением соответствия процедур аутентификации установленным требованиям информационной безопасности, включая защищенное хранение паролей, соблюдение политик в отношении параметров доступа при увольнении сотрудников сторонней организации и т. д. Об этой проблеме уже упоминалось выше.
Выводы
Первоочередная цель PAM заключается в том, чтобы обеспечивать защиту от случайного или предумышленного неправомерного использования параметров привилегированного доступа (паролей). Соответствующая угроза особенно актуальна для быстрорастущих организаций, осваивающих новые рынки или внедряющих инициативы, направленные на расширение бизнеса. Очевидно, что чем больше и сложнее информационная система организации, тем больше в ней пользователей и тем острее ставится проблема распределения привилегий.
Стратегия PAM обеспечивает защищенный и оптимизированный под рабочие процессы метод для аутентификации и мониторинга деятельности всех привилегированных пользователей в отношении любых ресурсов за счет предоставления следующих основных возможностей:
- предоставление привилегий пользователям только в отношении тех ресурсов, для которых они авторизованы;
- предоставление права доступа тогда, когда это необходимо, и отзыв права доступа, когда потребность в нем исчезает, в том числе автоматически, по достижению определенных условий по времени, количеству использований, согласованиям, тикетам в системе поддержки;
- исключение для привилегированных пользователей необходимости знать системные пароли;
- ассоциация привилегированной деятельности с определенной учетной записью и — далее — с персоной;
- всеобъемлющий аудит привилегированной деятельности посредством записи сеанса работы, регистрации вводимых с клавиатуры последовательностей символов и мониторинга работы приложений, вплоть до извлечения событий из данных сессии администрирования с гранулярностью до кнопок в оконных диалогах.
Информационная технология позволяет обеспечить выполнение этих процедур в отношении учетных записей локального или доменного администратора, сервиса, операционной системы, сетевого устройства, базы данных, приложения, а также в отношении ключей SSH, облачных сред и социальных сетей.
Бизнес-ориентированные процедуры управления паролями реализуют концепцию привычного менеджера паролей, предназначенного для частного использования, на ином уровне. При этом добавляется технология доступа к хранилищу и восстановления паролей на основе ролей, автоматическая ротация паролей, API для программного доступа к паролям, функции аудита промышленного масштаба, шифрование, возможность регистрации событий для множества пользователей и приложений уровня предприятия.
Решения по управлению паролями в зависимости от потребностей организации могут быть реализованы в различных форматах: традиционное программное обеспечение, программно-аппаратные комплексы, виртуальное программное обеспечение, а также могут быть размещены в облачной среде. Вне зависимости от используемого формата цель остается неизменной — защита паролей привилегированных учетных записей и обеспечение того, чтобы собственно система управления паролями не стала препятствием для ведения бизнеса.
Надо учитывать также, что организация процессов, связанных с контролем изменений и контролем действий администраторов ИС является предметом требований руководящих документов ФСТЭК и других контролирующих органов для ГИС, средств защиты АСУ ТП, персональных данных, ключевой инфраструктуры телекоммуникаций (см. 17, 21, 31 приказы ФСТЭК, 135 приказ Минкомсвязи, требования к защите критичной инфраструктуры). Соответственно, выполнение этих требований подразумевает использование соответственно сертифицированных средств, как правило, произведенных в РФ, на базе сертифицированных операционных, с сертификатом не менее НДВ-4.
Организации часто используют систему управления паролями в качестве аварийного решения, обеспечивающего доступ к информационной системе в условиях, когда штатные процессы аутентификации оказываются непригодными к использованию или их применение серьезно ухудшает работу самой организации, за счет повышения рисков надежности и доступности. В организации может использоваться аутентификация с помощью службы каталогов или многофакторная аутентификация, и установлена политика, согласно которой пользователь должен пройти процедуру аутентификации для того чтобы получить административные привилегии. Когда использование этого подхода невозможно, пользователи, которым необходим доступ к привилегированным паролям, обращаются к средству для восстановления пароля или установления сеанса, с помощью которого получают возможность выполнять задачи и операции в соответствии с назначенной ролью. За счет применения средств контроля действий администраторов, владельцы информационной системы могут решать основные задачи штатного временного повышения привилегий путем использования не слишком сложных решений, внедряемых с минимальными рисками для существующей инфраструктуры и процессов.