Как обеспечить контроль привилегированных учетных записей?

Филипп
Либерман

Президент и CEO, Lieberman Software Corporation

Лев
Смородинский

Д.ф.н., менеджер по научному и бизнес-развитию, Lieberman Software Corporation

Кибератаки, нацеленные на привилегированные учетные записи

Привилегированные учетные записи с расширенными полномочиями, необходимыми для установки нового аппаратного и программного обеспечения, конфигурации и обслуживания инфраструктуры, предоставляют права суперпользователя для работы практически с любым ресурсом в сети. Эти записи могут использоваться не только штатным и внештатным персоналом, но также бизнес-приложениями и компьютерными службами.

Киберпреступники, как правило, сначала рассылают грамотно составленные фишинговые электронные письма, предлагающие ничего не подозревающим пользователям из организации-жертвы открыть вредоносное вложение, или же применяют более сложную "стратегию водопоя" (watering hole), заранее заражая сайты, которые, по мнению злоумышленников, с высокой долей вероятности пользователи могут посетить. Заполучив учетные данные пользователя, злоумышленники проникают в сеть организации через его компьютер и затем внедряют вредоносное ПО, разработанное самостоятельно или построенное на использовании уязвимостей таких популярных программ, как Microsoft Internet Explorer, Adobe Flash Player или Oracle Java. Взломав таким образом сеть организации, они могут найти слабо защищенные общие привилегированные учетные записи и через них получить контроль над широким кругом систем в сети, увидеть всю ее инфраструктуру и украсть конфиденциальную информацию. Это простая, но крайне эффективная стратегия.

Риск заражения сети организации вредоносным ПО постоянно растет. Последний ежегодный отчет об инцидентах с кражами данных [1] показал, что количество случаев взлома (81%) и применения вредоносных программ (69%) выросло на 31 и 20% соответственно, а в 85% случаев факт кражи становился известным лишь спустя несколько недель.

Вывод очевиден: последняя линия обороны организации, она же главное препятствие на пути злоумышленников к ее информации, - это пароли доступа к привилегированным учетным записям. Где хранятся ваши привилегированные учетные данные и как ими могут воспользоваться злоумышленники?

Анатомия риска привилегированных учетных записей: принцип четырех "А"

Потенциально уязвимые привилегированные учетные записи присутствуют практически в любом сегменте IT-инфраструктуры организации (см. таблицу, демонстрирующую принцип четырех "A" (Actors - пользователи, Assets - активы, Accounts - учетные записи, Actions-действия)). Существует много типов пользователей (Actor), которые могут нарушить принципы информационной безопасности: конфиденциальность, целостность и доступность. Например, в большинстве организаций привилегированные учетные записи являются общими и могут быть использованы анонимно. Более того, риски есть и тогда, когда предоставление полномочий суперпользователя оправданно.

Некоторые работают под привилегированными учетными записями на постоянной основе, в том числе для выполнения задач, вовсе не требующих таких полномочий. Большинству пользователей, например разработчикам приложений и администраторам баз данных, привилегированные учетные записи требуются лишь от случая к случаю, но, несмотря на это, они часто пользуются ими на постоянной основе - из одних лишь соображений удобства.

Однако на самом деле работать под привилегированными учетными записями на постоянной основе не нужно даже штатным системным администраторам. Как бы ни доверяло таким пользователям руководство, они могут непреднамеренно или злонамеренно поспособствовать нарушению информационной безопасности. Таким образом, если в организации существуют никем не контролируемые привилегированные учетные записи, используемые на постоянной основе или используемые совместно несколькими лицами, или же к чрезвычайным привилегированным учетным записям прибегают в критических ситуациях, возникающих в нерабочее время, то организация становится крайне уязвимой для кибератак. А ваши привилегированные учетные записи защищены, контролируются и подвергаются аудиту?

Шкала зрелости управления привилегированными учетными записями: каков уровень безопасности вашей организации на сегодняшний день?

Предлагаем вам самостоятельно оценить управление привилегированными учетными записями (РАМ - Privileged Account Management) в вашей организации, ответив на следующие вопросы, и определить, к какой стадии зрелости можно отнести ее по шкале зрелости РАМ [2]:

• Известны ли вам все привилегированные учетные записи, которые существуют в сети организации? Как часто проверяется добавление новых устройств и учетных записей?
• Оформлены ли документально факты предоставления привилегированных учетных записей конкретным лицам?
• Возможно ли выяснить, кто, когда и с какой целью обращался под привилегированными учетными записями к IT-ресурсам организации?
• Возможно ли проверить, насколько криптографически сложны, уникальны и как часто меняются пароли привилегированных учетных записей? Можно ли считать их надежными?

С большой долей уверенности можно предположить, что ваша организация, как и большинство других современных предприятий, находится в левой части шкалы зрелости РАМ.

Защита "дома": "ключи" нельзя оставлять в замках

На первый взгляд задача защиты привилегированных учетных записей может показаться непосильной, но на самом деле для введения строгого контроля по всему периметру "дома" достаточно трех простых шагов.

Шаг1. Найти "ключи"
Проведите полный аудит всей сети организации и выявите все места, где имеются привилегированные учетные записи. В том числе необходимо проверить, насколько защищены учетные данные: уникальность, сложность и периодичность смены. Управление привилегированными учетными записями, скажем, в типовом ЦОД, где их могут быть тысячи, с целью непрерывного соответствия требованиям аудита, требует автоматического решения.

Шаг 2. Запереть "двери"
Внедрите базовые средства автоматизации РАМ, позволяющие залатать все выявленные бреши в системе безопасности. ПО автоматического поиска привилегированных учетных записей является экономически выгодным решением, которое легко масштабируется и обеспечивает безопасность привилегированных учетных записей в крупных сетях за несколько часов или дней вместо нескольких месяцев.

Шаг 3. Не забыть защитить "окна"
Корпеть над защитой сети бессмысленно, если при этом важные наружные элементы остаются уязвимыми. Попросите основных деловых партнеров, включая провайдеров облачных служб, центры сертификации и т.д., подтвердить их соответствие авторитетным рекомендациям, например "Общепринятым правилам информационной безопасности" (Consensus Audit Guidelines) [3].

Именно про "ключи" забыли многие организации, когда узнали о том, что злоумышленники могут взломать любую корпоративную сеть: в панике и замешательстве они поспешили запереть "двери", но "ключи" при этом остались в замках.

Заключение

Привилегированные учетные записи крайне важны для функционирования IT-инфраструктуры предприятия. Так было и так будет всегда. Отсутствие защиты этих учетных записей может свести на нет все прочие меры ИБ. Теперь вы знаете обо всех рисках, так что защита "ключей" к информационным активам предприятия в ваших руках.

В следующей статье мы рассмотрим лучшие методики в области управления привилегированными учетными записями и дадим рекомендации по выбору средств РАМ.

Литература

1. 2012 Data Breach Investigation Report//Verizon RISK Team, 2012, www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf.
2. Lieberman P. Customers Reveal All: Securing Privileged Identities in the Real World / Lieberman Software Corp. Gartner Identity and Access Management Summit, December 2012, Las Vegas, USA, http://agend-abuilder.gartner.com/IAM7/web-pages/Session Detail.aspx?Events essionld=879.
3. Twenty Critical Security Controls for Effective Cyber Defense: Consensus Audit Guidelines // SANS, 2008-2012, www.sans.org/critical-security-controls.