Привилегированные аккаунты остаются одним из ключевых векторов целевых атак: они позволяют злоумышленникам с минимальными усилиями обходить защиту и получать прямой доступ к критической инфраструктуре компании. В чем опасность привилегированных пользователей и как выстроить процесс контроля за правами, рассказывает Игорь Еньков, владелец продуктa Innostage Cardinal PAM компании Innostage.
Кто такие привилегированные пользователи и чем они опасны
Привилегированный пользователь — это пользователь, который имеет расширенные права доступа или управления внутри инфраструктуры компании. Например, по управлению, конфигурации информационной системы, сетевого оборудования, инфраструктурных средств, бизнес-приложений.
Это могут быть внутренние сотрудники – системный администратор или главный бухгалтер. А могут быть и внешние – подрядчики, контрагенты, разработчики на аутсорсе.
Все они имеют в системе учетные записи с расширенными правами, которые нужны им для выполнения своих рабочих обязанностей. Если доступ к такой учетной записи получает злоумышленник — ему уже не нужно ничего взламывать, он легитимно (с точки зрения системы) может получить доступ к интересующей его базе данных, установить вредоносное ПО, запустить процесс шифрования, похитить денежные средства или совершить любые другие действия, на которые достаточно полномочий используемой учетной записи.
К инцидентам с участием привилегированных пользователей приводят три типовые проблемы:
1) Одинаковые пароли. Это могут быть пароли по-умолчанию, которые передаются сотруднику для первичного доступа и после не меняются, слабые пароли или переиспользование уже утекших паролей от других учетных записей.
2) Бессрочный доступ. Например, менеджеру был выдан доступ к чувствительным данным для выполнения разовой задачи. Но затем его не отозвали, и сотрудник месяцами может продолжать смотреть, например, информацию о зарплатах всего отдела.
3) Отсутствие журналирования. Журналирование позволяет понять, кто и когда получил доступ к той или иной информации, внес изменения в систему. Если этого процесса нет, невозможно выяснить, кто нарушил работу системы, через какую учетную запись утекли данные.
С точки зрения атакующего привилегированная учетная запись — это возможность с минимальными усилиями обойти средства защиты и получить доступ ко всей инфраструктуре и данным компании. Часто для успеха достаточно просто провести фишинговую рассылку.
Показательный пример — компания Okta, специализирующаяся на аутентификации и управлении доступом. В 2022 и 2023 годах она столкнулась с двумя серьёзными инцидентами, и в обоих случаях причиной компрометации стали привилегированные учётные записи. В первом случае хакеры получили доступ через аккаунт подрядчика с расширенными правами. Во втором — через учётную запись сотрудника материнской компании, которая также имела привилегированный доступ.
Поэтому проблема привилегированных учетных записей актуальна для всех — и для небольших компаний, и для крупных.
Как сделать привилегированный доступ безопасным
Можно выделить несколько основных правил построения безопасного управления доступом:
1) Принцип Just-in-time. Доступ выдается сотруднику для выполнения конкретной задачи, на определенное время и после отзывается.
2) Построение строгой матрицы доступа в соответствии с должностными обязанностями и автоматизация контроля ее консистентности.
3) Автоматизация отзыва доступа. Очевидно, что контролировать доступ в ручном режиме и оперативно его отзывать сложно, даже если сотрудников несколько десятков — нужна автоматизация.
4) Журналирование действий. Журнал доступов позволяет выстроить системную работу, понять кто и зачем получил доступ, как часто им пользуется, как следствие — своевременно выявить аномалию и заблокировать атаку. Аномалией, например, может быть попытка получить доступ в нерабочее время или из отпуска.
В совокупности это позволяет построить прозрачную и контролируемую систему, где сотрудник может оперативно получить привилегии для решения рабочих задач, но они своевременно отзываются и контролируются. Кроме этого, эти меры помогают избежать ситуаций, когда доступ к информации получает сотрудник, которому этот доступ не нужен.
PAM-системы как ключ к контролю
Privileged Access Management (PAM) — это класс систем, который направлен на комплексное решение всех вопросов, связанных с привилегированными пользователями. Благодаря PAM контролируются процессы делегирования доступа: кто, куда, кому предоставил доступ и зачем. И непосредственно фиксируется кто, как и куда подключается.
Рассмотрим, как это работает:
1) Единая точка входа. PAM выступает как единый шлюз доступа сотрудников к критически важным ресурсам и данным. Нет сценария, в котором сотрудник получит этот доступ не легитимно.
2) Матрица доступов. Она позволяет задать преднастроенные роли в системе, которые автоматически присваиваются пользователю на основе данных о его должности и задачах.
3) Контроль на уровне протоколов администрирования (RDP, SSH и т.п.) и слоя автоматизации (скриптов и плейбуков). Возможность закладывать безопасное взаимодействие с информацией на уровне работы с ОС, приложениями и базами данных.
4) Инвентаризация привилегированных учетных записей в инфраструктуре и анализ стойкости их паролей к взлому.
5) Мониторинг и запись сессий. Каждая привилегированная сессия записывается (видео и команды), анализируется в реальном времени и может быть остановлена вручную, либо автоматически. Подозрительное действие является триггером.
6) Управление секретами. Все пароли, ключи и токены переведены в PAM. Не передаются пользователям напрямую, используются только по запросу и автоматически логируются.
В результате компания получает систему, в которой нет «ненужных» привилегированных доступов. А те доступы, которые действительно нужны тем или иным пользователям, находятся под постоянным мониторингом и могут быть отозваны как службой ИБ вручную, так и автоматически, по преднастроенным правилам.
PAM-центричная кибербезопасность
Такая концепция позволяет использовать PAM не просто как один из инструментов обеспечения ИБ, а как его основную часть. Вокруг PAM выстраивается эшелонированная защита компании.
PAM лучше раскрывается, если его интегрировать с другими системами защиты и сделать частью общего ландшафта безопасности:
- Анализирует (через SIEM, Sanbox, антиврусы, DLP);
- Защищается (через WAF, MFA);
- Реагирует (самостоятельно и с помощью сетевых средств защиты).
Мы рассматриваем PAM не как дополнительный модуль, а как полноценный инфраструктурный элемент, на базе которого можно выстраивать современную архитектуру Zero Trust и эффективно противостоять актуальным угрозам.
Такое решение позволяет полностью исключить постоянные привилегии, централизовать контроль над действиями с высоким уровнем риска, обеспечить прозрачность и управляемость в наиболее чувствительных зонах инфраструктуры. Кроме того, PAM повышает оперативность реагирования со стороны SOC благодаря возможности интеграции с другими системами и наличию контекстной информации.
Таким образом, PAM можно использовать и как самостоятельное решение в инфраструктурах, где нет большого количества СЗИ, так и в качестве основы для построения защиты с большим количеством решений разных классов.
Почему это важно для бизнеса
Внедрение PAM-системы, безусловно, имеет большое значение с точки зрения обеспечения информационной безопасности, а также положительно влияет и на другие аспекты. Например, снижает время обработки заявок и нагрузку на администраторов ИБ, автоматизирует рутинные процессы предоставления доступа, позволяет уместить процесс выдачи доступа в несколько кликов или автоматизировать полностью.
Второй важный эффект — это повышение прозрачности. Компания знает кто, когда и зачем получает доступ к тем или иным данным и возможностям. Речь не только об извечном вопросе «кто виноват», но и про операционную деятельность — если сотруднику действительно нужен доступ, которого у него нет, он получит его быстро и в достаточном объеме.
Из этого вытекает и еще одно преимущество — инвентаризация. Компания понимает, какие активы у нее есть, их степень критичности и важность. Это работает и в обратную сторону — система позволяет выявить дублирующие роли, неактуальные активы и минимизировать их.
Немаловажно, что PAM позволяет снизить влияние человеческого фактора. Большое количество инцидентов начинаются без злого умысла, а иногда и вовсе происходят случайно — просто, потому что к важной системе с полными привилегиями получил доступ стажер. Или, например, менеджер может решить скопировать важные документы для того, чтобы поработать с ними из дома, с устройства, которое находится вне периметра защиты компании.
Жить по своим правилам
В условиях непрерывного роста количества кибератак важно максимально усложнить возможность проведения атаки, создать условия, когда злоумышленник неизбежно проявит себя до того, как сможет совершить критическое воздействие на инфраструктуру.
PAM — это мощный инструмент обеспечения информационной безопасности, который может выступать и как самостоятельная единица, и как отправная точка всей системы ИБ в компании.
При этом важно уделить внимание настройке, потому что ни одна PAM-система не способна «из коробки» полностью соответствовать специфическим бизнес-процессам конкретной компании. Чем выше кастомизация правил, чем лучше проработаны матрицы доступа — тем выше качество работы системы.
Читать далее:
Наша Вселенная прибыла из другого мира: теория мироздания оказалась неверна?
Сверхзвуковой «Конкорд» возвращается: почему в США поменяли мнение о самолете
Новый вирус пугает пользователей соцсетей: «горло будто порезали лезвием»
Обложка: Drazen Zigic