Многие сотрудники, несмотря на правила «цифровой гигиены», пренебрегают требованиями руководства — посещают опасные или недоверенные сайты, открывают фишинговые письма, пользуются рабочими сервисами через небезопасные Wi-Fi-точки. Но почему руководство компаний не применяют серьезные меры по отношению к недобросовестным работникам? С помощью таких сотрудников злоумышленники получают доступ к привилегированным аккаунтам и крадут огромное количество конфиденциальных данных.
Сложно оценить ущерб от подобных утечек, общее число украденных записей исчисляется миллионами — информация о кредитных картах, о сотрудниках, учетные записи пользователей, медицинские записи и многое другое. Такие атаки и кражи данных происходят в промышленных масштабах. По данным отчета Forrester, 80% ИБ-инцидентов связаны с кражей данных привилегированных пользователей, в качестве примера здесь можно привести кейс с утечкой данных компании JP Morgan в 2014 году или взлом компании Yahoo, который стал широко известен лишь совсем недавно. Оба инцидента показывают, что хакеры смогли украсть информацию благодаря взлому привилегированных аккаунтов. И это в очередной раз доказывает, что бизнесу пора проснуться и обращать пристальное внимание на подобные инциденты.
Как данные попадают под угрозу?
Сообщество ИБ-специалистов осознает, что сетевой периметр безопасности сам по себе уже не способен сдержать злоумышленников. В век цифровой экономики с публичными приложениями, BYOD (личными устройствами сотрудников, на которых используются корпоративные приложения) и гибридными ИТ-сетями существует огромное количество способов вторжения в экосистемы компании, и хакеры активно используют эти дыры в защите.
Первое внешнее расследование. Несмотря на существующие в мировой ИБ-практике случаи, когда жертвами злоумышленников становились ИТ-специалисты, которые, по идее, должны быть осведомлены о «цифровой гигиене» в компании, в первую очередь хакеры выбирают более доступную жертву. Как только рядовой сотрудник попадает под прицел и его учетная запись будет скомпрометирована, хакеры направятся в сторону своей конечной цели — другим привилегированным аккаунтам. Если у хакеров есть достаточно информации о жертве, которую они находят через социальные сети, то становится понятно, как киберпреступники способны создавать убедительные сообщения для манипуляции пользователями.
Укрепление позиций злоумышленниками. Чтобы получить доступ к ИТ-среде, хакеры используют несколько методов. Чаще всего это комбинация нескольких способов получения удобной стартовой позиции внутри инфраструктуры, с помощью которой злоумышленники дальше могут проводить разведку — фишинг или целевой фишинг, установка вредоносных программ, таких как кейлоггеры, которые записывают нажатия клавиш — все эти способы еще популярны, несмотря на постоянные предупреждения ИТ-служб. Хакер заставляет пользователя выполнить ряд действий, которые помогут злоумышленнику продвинуться к цели атаки, многие вторжения начинаются с попытки обмана ничего не подозревающего рядового пользователя: обычно через электронную почту или мессенджеры злоумышленник пытается убедить жертву поделиться конфиденциальной информацией, к примеру, логинами, или открыть документ, перейти по ссылке, которая позволит хакеру внедрить вредонос. Целевой фишинг более конкретный, часто используется информация, которая собирается во время предварительного исследования организации, после чего составляются письма, которые на первый взгляд кажутся очень аутентичными.
Внутренняя разведка. Если киберпреступник проник в ИТ-инфраструктуру и закрепился там, то сразу же он начинает проводить разведку, чтобы укрепить свои позиции и развивать атаку дальше. Злоумышленник пытается собрать максимальное количество информации об ИТ-инфраструктуре, составить карту сети и систем, к которым он получил доступ. Это можно сделать с помощью различных инструментов диагностики сети — команд ping и netstat, таких утилит как traceroute и т.д. Записи DNS и сканнеры портов, например nmap, дают ценную информацию о состоянии ИТ-среды компании.
Расширение привилегий. Вооружившись всеми полученными знаниями о сети, хакер может пойти дальше и попытаться расширить привилегии, чтобы получить доступ к контроллеру домена. Pass-the-hash, SSH-ключи, kernel или сервис-эксплойты — три наиболее распространенные техники, которые используются для расширения привилегий.
- Pass-the-hash. На протяжении десятилетий пароли были главным инструментом обеспечения информационной безопасности. И до сих пор они являются базой, поэтому при хранении пароли зашифрованы с помощью одностороннего преобразования под названием хэш. Как правило, чтобы получить доступ к системам, хакерам нужно не только украсть пароли, но и расшифровать их, чтобы получить доступ к ИТ-системам, а на решение этой задачи они потратят немало времени. На компьютеры под Windows хэши паролей кэшируются на сервере проверки подлинности локальной системы безопасности (англ. Local Security Authority Subsystem, сокр. LSASS). Если хакер получит доступ к этой информации, особенно к аккаунтам администратора домена, он сможет дальше загрузить хэши и подключиться к устройствам и системам сети. После этого злоумышленник сможет пройти аутентификацию на удаленном сервере или службе с помощью NTLM или LanMan хэша пароля от аккаунта вместо текстового пароля.
- Ключ SSH. Многие организации используют протокол Secure Shell (SSH) для удаленного управления устройствами под Linux/Unix. Ключи SSH, данные доступа в протоколе SSH часто используются системными администраторами и опытными пользователями для автоматизированных процессов и для внедрения беспарольного входа по SSH на целевые хосты. Хакеры устанавливают вредоносные программы и собирают эти ключи, обеспечивая бэкдор, получают доступ к другим серверам и в некоторых случаях компрометируют всю сеть, получив доступ к центральным маршрутизаторам. Но сам по себе SSH недостаточно безопасен, поскольку часто таким образом предоставляет root-доступ или точнее права ничем не ограниченного в действиях администратора, что дает хакерам возможность и дальше устанавливать вредоносные программы.
- Эксплойты. Эксплойт — программа, которая использует уязвимости в приложениях или операционных системах. Эти фрагменты кода позволяют хакерам взять под контроль системы рабочих станций, серверов или расширить привилегии в атакуемых операционных системах. Такое программное обеспечение использует уязвимости в Linux или Windows и позволяет получить доступ к аккаунту суперпользователя в намеченных системах в формате командной строки. Во многих случаях расширить привилегии до администраторского или root-доступа так же легко, как и закачать kernel-эксплойт в операционную систему, скомпилировать его и запустить.
В Linux-системах хакеры могут использовать и другие техники, чтобы использовать уязвимости с помощью SUID, когда можно установить ID пользователя, и в дальнейшем с повышением привилегий посредством SUDO повысив привилегии укрепиться в атакованной системе. Когда система неправильно сконфигурирована, хакеры могут получить контроль над этими двумя сервисами, установить root-привилегии и получить контроль над системой.
5 шагов к снижению риска кражи привилегированных данных
Один из способов быстро снизить риск кражи привилегированных данных — устранить слабые места в системе безопасности. Вот несколько советов, как компания может защитить свою ИТ-инфраструктуру:
- Знайте своих привилегированных пользователей. По мере того, как ИТ-инфраструктура растет, увеличивается и число учетных записей с привилегированными правами доступа к критичным данным и сервисам. В компаниях, которые используют сети с тысячами или десятками тысяч серверов и сетевых устройств, часто отсутствует точная инвентаризация этих ресурсов. Поэтому важно вовремя обнаруживать и ограничивать доступ к важной информации тем пользователям, которые в ней не нуждаются.
- Ограничивайте права привилегированных аккаунтов. Нужно четко ограничивать права каждого привилегированного аккаунта по принципу «наименьших привилегий». Это значит, что каждый сотрудник должен иметь необходимый минимум прав для решения своих конкретных задач. Например, аккаунт, настроенный для администрирования приложения, не должен иметь никаких системных привилегий, кроме тех, которые ему необходимы для внесения изменений в конфигурацию администрируемого приложения и его перезагрузки.
- Удаляйте ненужные аккаунты и привилегии. Часто дыра в безопасности образовывается из-за того, что доступ к критически важным системам остается у сотрудников, которые ушли из компании или сменили должность. Вовремя проверяйте, находятся ли такие аккаунты в системе.
- Внедрите строгую политику паролей. Компании с серьезным подходом к безопасности внедряют руководство по работе с паролями для привилегированных аккаунтов. Политика должна включать правило об изменении паролей по умолчанию, об использовании максимально сложного пароля и о запрете на передачу паролей третьим лицам, даже если те представляются сотрудниками компании. Эти рекомендации выглядят очевидными, но компании, которые пренебрегают такими правилами, сильно упрощают жизнь злоумышленникам.
- Введите запрет на быстрый доступ и использование горячих клавиш. Пользователи с привилегированными учетными записями с правами администратора или сервисные аккаунты ежедневно пользуются быстрым доступом и горячими клавишами, поскольку они, как и любой сотрудник компании, хотят максимально эффективно выполнять свою работу. Но в то же время они готовы пренебрегать правилами безопасности и применять запрещенные техники. Один из способов уменьшить риски — провести для сотрудников тренинг по базовым правилам безопасной работы в офисе.
Кража личных данных — один из самых популярных методов злоумышленников. На сегодняшний день огромное количество компаний стало жертвами сложных, хорошо обеспеченных ресурсами киберпреступников, но существуют и меры по смягчению рисков атак. Относительно простые инструменты в сочетании с правильными технологиями, такими как мониторинг и управление сессиями привилегированных аккаунтов и аналитика действий учетных записей, могут помочь обнаружить скомпрометированные привилегированные учетные записи и остановить злоумышленников до того, как они смогут нанести ущерб организации.