В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
Привилегированные учетные записи с расширенными полномочиями, необходимыми для установки нового аппаратного и программного обеспечения, конфигурации и обслуживания инфраструктуры, предоставляют права суперпользователя для работы практически с любым ресурсом в сети. Эти записи могут использоваться не только штатным и внештатным персоналом, но также бизнес-приложениями и компьютерными службами.
Киберпреступники, как правило, сначала рассылают грамотно составленные фишинговые электронные письма, предлагающие ничего не подозревающим пользователям из организации-жертвы открыть вредоносное вложение, или же применяют более сложную "стратегию водопоя" (watering hole), заранее заражая сайты, которые, по мнению злоумышленников, с высокой долей вероятности пользователи могут посетить. Заполучив учетные данные пользователя, злоумышленники проникают в сеть организации через его компьютер и затем внедряют вредоносное ПО, разработанное самостоятельно или построенное на использовании уязвимостей таких популярных программ, как Microsoft Internet Explorer, Adobe Flash Player или Oracle Java. Взломав таким образом сеть организации, они могут найти слабо защищенные общие привилегированные учетные записи и через них получить контроль над широким кругом систем в сети, увидеть всю ее инфраструктуру и украсть конфиденциальную информацию. Это простая, но крайне эффективная стратегия.
Риск заражения сети организации вредоносным ПО постоянно растет. Последний ежегодный отчет об инцидентах с кражами данных [1] показал, что количество случаев взлома (81%) и применения вредоносных программ (69%) выросло на 31 и 20% соответственно, а в 85% случаев факт кражи становился известным лишь спустя несколько недель.
Вывод очевиден: последняя линия обороны организации, она же главное препятствие на пути злоумышленников к ее информации, - это пароли доступа к привилегированным учетным записям. Где хранятся ваши привилегированные учетные данные и как ими могут воспользоваться злоумышленники?
Потенциально уязвимые привилегированные учетные записи присутствуют практически в любом сегменте IT-инфраструктуры организации (см. таблицу, демонстрирующую принцип четырех "A" (Actors - пользователи, Assets - активы, Accounts - учетные записи, Actions-действия)). Существует много типов пользователей (Actor), которые могут нарушить принципы информационной безопасности: конфиденциальность, целостность и доступность. Например, в большинстве организаций привилегированные учетные записи являются общими и могут быть использованы анонимно. Более того, риски есть и тогда, когда предоставление полномочий суперпользователя оправданно.
Некоторые работают под привилегированными учетными записями на постоянной основе, в том числе для выполнения задач, вовсе не требующих таких полномочий. Большинству пользователей, например разработчикам приложений и администраторам баз данных, привилегированные учетные записи требуются лишь от случая к случаю, но, несмотря на это, они часто пользуются ими на постоянной основе - из одних лишь соображений удобства.
Однако на самом деле работать под привилегированными учетными записями на постоянной основе не нужно даже штатным системным администраторам. Как бы ни доверяло таким пользователям руководство, они могут непреднамеренно или злонамеренно поспособствовать нарушению информационной безопасности. Таким образом, если в организации существуют никем не контролируемые привилегированные учетные записи, используемые на постоянной основе или используемые совместно несколькими лицами, или же к чрезвычайным привилегированным учетным записям прибегают в критических ситуациях, возникающих в нерабочее время, то организация становится крайне уязвимой для кибератак. А ваши привилегированные учетные записи защищены, контролируются и подвергаются аудиту?
Предлагаем вам самостоятельно оценить управление привилегированными учетными записями (РАМ - Privileged Account Management) в вашей организации, ответив на следующие вопросы, и определить, к какой стадии зрелости можно отнести ее по шкале зрелости РАМ [2]:
С большой долей уверенности можно предположить, что ваша организация, как и большинство других современных предприятий, находится в левой части шкалы зрелости РАМ.
На первый взгляд задача защиты привилегированных учетных записей может показаться непосильной, но на самом деле для введения строгого контроля по всему периметру "дома" достаточно трех простых шагов.
Шаг1. Найти "ключи"
Проведите полный аудит всей сети организации и выявите все места, где имеются привилегированные учетные записи. В том числе необходимо проверить, насколько защищены учетные данные: уникальность, сложность и периодичность смены. Управление привилегированными учетными записями, скажем, в типовом ЦОД, где их могут быть тысячи, с целью непрерывного соответствия требованиям аудита, требует автоматического решения.
Шаг 2. Запереть "двери"
Внедрите базовые средства автоматизации РАМ, позволяющие залатать все выявленные бреши в системе безопасности. ПО автоматического поиска привилегированных учетных записей является экономически выгодным решением, которое легко масштабируется и обеспечивает безопасность привилегированных учетных записей в крупных сетях за несколько часов или дней вместо нескольких месяцев.
Шаг 3. Не забыть защитить "окна"
Корпеть над защитой сети бессмысленно, если при этом важные наружные элементы остаются уязвимыми. Попросите основных деловых партнеров, включая провайдеров облачных служб, центры сертификации и т.д., подтвердить их соответствие авторитетным рекомендациям, например "Общепринятым правилам информационной безопасности" (Consensus Audit Guidelines) [3].
Именно про "ключи" забыли многие организации, когда узнали о том, что злоумышленники могут взломать любую корпоративную сеть: в панике и замешательстве они поспешили запереть "двери", но "ключи" при этом остались в замках.
Привилегированные учетные записи крайне важны для функционирования IT-инфраструктуры предприятия. Так было и так будет всегда. Отсутствие защиты этих учетных записей может свести на нет все прочие меры ИБ. Теперь вы знаете обо всех рисках, так что защита "ключей" к информационным активам предприятия в ваших руках.
В следующей статье мы рассмотрим лучшие методики в области управления привилегированными учетными записями и дадим рекомендации по выбору средств РАМ.
Литература
Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2013