Чим небезпечні привілейовані користувачі
Фінансові та персональні дані компаній і їх клієнтів коштують великих грошей. Тому це ласий шматок для зловмисників. Значні ресурси витрачаються для того щоб захиститися від них, проте набагато більшу і реальну небезпеку становлять самі співробітники організації.
Інсайдерські загрози складно усунути, і ще складніше виявити. Тому у компаній не залишається іншого вибору, як попередити загрозу з боку своїх працівників. Особливо тих, хто щодня працює з «чутливою» інформацією і файлами конфігурації системи.
І природно, що самими небезпечними інсайдерами стають співробітники, які володіють привілейованими обліковими записами. Такі облікові записи не тільки дають їм законний доступ до "чутливої" інформації, але і надають повний контроль над системою, що створює оптимальні умови для здійснення шкідливих дій.
Незважаючи на значні інвестиції в кібербезпеку, далеко не всі організації витрачають на вирішення цієї проблеми необхідні гроші і виділяють фахівців. У той же час моніторинг і контроль доступу привілейованих користувачів – найнеобхідніша складова будь-якої надійної системи інформаційної безпеки. І для того, щоб процес відбувався правильно, багатьом компаніям необхідно змінити свій підхід, згідно з яким на ситуацію звертають увагу тільки після того як «все вже трапилося». Починати потрібно раніше, активно впроваджуючи сучасні методи і рішення вже зараз.
Американський технічний фахівець і спецагент, Едвард Сноуден на початку червня 2013 передав газетам «The Guardian» і «The Washington Post» секретну інформацію АНБ. Під час роботи системним адміністратором на базі АНБ на Гаваях Сноуден переконав від 20 до 25 колег надати йому свої логіни і паролі, пояснивши, що це необхідно йому для роботи. За даними доповіді Пентагону, Сноуден викрав 1,7 млн секретних файлів.
Щоб зрозуміти, як контролювати привілейованих користувачів, необхідно знати, що таке привілейований обліковий запис і як його ідентифікувати. Сам термін використовується для опису будь-якого облікового запису, що надає необмежений доступ до системи, зміни її параметрів, перегляду секретних даних і т. д.
В компанії необхідно ідентифікувати кожен привілейований аккаунт, що використовується. Найпростіший спосіб класифікації привілейованих облікових записів – по області, яку вони дозволяють контролювати:
● Доменні – типи привілейованих облікових записів, що надають доступ до всіх робочих станцій і серверів в певному домені. Облікові записи цього типу забезпечують найвищий рівень контролю над системою, наприклад, можливість управляти кожною системою і управляти обліковими записами адміністратора для кожної системи в домені.
● Локальні – типи привілейованих облікових записів надають адміністративний доступ до одного сервера або робочої станції. Вони забезпечують повний контроль над системою їх часто використовують ІТ-фахівці для проведення технічного обслуговування системи.
● Облікові записи додатків – типи привілейованих облікових записів надають адміністративний доступ до додатків. Їх можуть використовувати для доступу і управління базами даних, проведення налаштувань і обслуговування. Ці облікові записи забезпечують контроль над усіма даними всередині програми, їх можна легко використати для крадіжки конфіденційної інформації.
Привілейовані облікові записи можна створювати для досягнення таких цілей:
● Особисті – облікові записи, що надають адміністративні привілеї одному конкретному співробітнику. Ці облікові записи часто створюють для менеджерів або операторів баз даних, які працюють з конфіденційною інформацією, такою як фінансові або кадрові дані.
● Адміністративні – це стандартні адміністративні облікові записи, створені автоматично для кожної системи. Зазвичай вони обробляються ІТ-фахівцями або співробітниками служби безпеки.
● Службові – ці облікові записи створені, щоб додатки могли взаємодіяти через мережу більш безпечним чином.
● Аварійні – ці облікові записи використовуються на випадок виникнення проблем, що вимагають підвищення рівня доступу.
Типовими користувачами привілейованих облікових записів є системні адміністратори, мережеві інженери, адміністратори баз даних, оператори центрів обробки даних, вище керівництво, співробітники служби безпеки і т. д. Вони безпосередньо працюють з критичними даними і інфраструктурою і зазвичай користуються високим рівнем довіри з боку компанії. Однак цей рівень доступу і довіри є саме тим, що робить їх потенційно небезпечними для компанії.
Системний адміністратор Майкл Томас в грудні 2011 року вилучив «бекапи», систему сповіщень про проблеми в мережі, відключив доступ до VPN, стер внутрішні wiki-сторінки і контакти зовнішньої техпідтримки компанії ClickMotive. Після цих маніпуляцій він залишив в офісі ключі, ноутбук, «бейдж» з заявою на звільнення і пішов. І хоча суд визнав його винним в «умисному шкідництві без дозволу на захищеному комп'ютері», в судовому процесі адвокат заявляв, що його підзахисний був авторизований – це продиктовано його трудовими обов'язками. Дії по налаштуванню корпоративної пошти, VPN-мережі, видалення «бекапів» всі сисадміни виконують регулярно.
Підвищений рівень доступу дозволяє таким користувачам виконувати найрізноманітніші шкідливі дії – від неправильного використання даних до повного руйнування системи. Вони можуть вкрасти будь-яку конфіденційну і фінансову інформацію компанії і клієнта – продати її або просто викласти в Інтернет. Привілейовані облікові записи також можуть використовувати для зміни або видалення даних, що відкриває можливості для шахрайства. Користувачі з високим ступенем доступу можуть використовувати такі облікові записи для установки backdoor або експлойтів, що дає їм повний доступ до системи. Нелояльні співробітники можуть навіть зламати всю систему, змінивши критичні налаштування параметрів.
Однак те, що робить привілейовані облікові записи небезпечними, - це навіть не ступінь доступу, а скоріше те, як легко їх власникам здійснити шкідливі дії і як важко їх виявити.
Завдяки легітимному доступу до конфіденційних даних і системних налаштувань шкідливі дії привілейованих користувачів часто не відрізняються від повсякденної діяльності. Вони легко можуть замітати свої сліди, і навіть якщо їх спіймають, то можуть просто заявити, що допустили помилку. Таким чином, злочинні дії можуть залишатися невиявленими протягом дуже довгого часу, що тільки збільшить збитки.
Також варто відзначити, що шкідлива поведінка – не єдина небезпека, яку представляють такі облікові записи. З розширеним рівня доступу помилки і ненавмисні дії стають настільки ж дорогими для компанії, як і навмисні атаки. Проста відправка електронною поштою конфіденційних даних не тій людині може привести до мільйонів збитків.
Ще одна велика проблема – безпека таких облікових записів. Якщо злочинцям вдасться роздобути привілейований обліковий запис, вони отримають доступ до всієї системи.
В кінці 2014 року представник Sony Pictures Entertainment заявив, що анонімне кібер-угруповання Guardians of Peace (Захисники Миру) отримало прямий доступ до мережі компанії. За словами слідчих, атака була виконана за допомогою вкраденого облікового запису системного адміністратора. Привілейовані логін і пароль надали необмежений доступ до записів співробітників, невипущеними фільмів, інтелектуальної власності, електронних повідомлень і інших конфіденційних даних.
ЯК ПОДОЛАТИ
Привілейовані користувачі – це унікальна проблема для безпеки, з якою більшість інструментів на практиці не можуть впоратися.
Зрештою, ефективна безпека в цій ситуації зводиться до ефективного управління користувачами, контролю і моніторингу. Необхідно використовувати надійних людей і правильні інструменти контролю.
● Переконатися, що всі привілейовані користувачі в організації враховані, що відсутні користувачі з надмірно високим рівнем привілеїв. Необхідно регламентувати процедури створення і закриття таких облікових записів.
● Контролювати те, хто, коли і з якою метою мав доступ до привілейованого облікового запису. Управління паролями, різні форми багаторівневої аутентифікації і контроль доступу – відмінні способи управління привілейованим доступом, які дозволяють ретельно захищати привілейовані облікові записи від несанкціонованого доступу і точно визначати всіх, хто використовує такі облікові записи.
● Записувати дії користувача – кращий спосіб запобігти інсайдерським загрозам і ефективний інструмент виявлення у випадку, якщо інсайдерська атака таки сталася. Професійні DLP рішення для моніторингу користувачів, такі як наша розробка SecureTower, здатні забезпечити необхідну прозорість кожного привілейованого сеансу, а також негайно реагувати на будь-які інциденти.
У 2017 році компанія Falcongaze провела опитування серед користувачів свого продукту SecureTower. З нього випливало, що у 80% було попереджено витік інформації, що має комерційну цінність; а 11% вказали, що спроби витягти подібні дані відбувалися більше 10 разів.
Всі інсайдерські загрози, як пов'язані, так і не пов’язані з привілейованими користувачами, вимагають складного багаторівневого підходу для ефективного вирішення цих проблем. Тільки таким чином можна з усіх боків захистити конфіденційні дані компанії і посилити інформаційну безпеку.