Привілейовані облікові записи, які необхідно захистити в першу чергу
Що таке привілейовані облікові записи?
Привілейований обліковий запис — це будь-який обліковий запис, який надає певний рівень доступу до даних і повноваження. Облікові дані, пов’язані з привілейованими обліковими записами, називаються привілейованими обліковими даними. Типи привілейованих облікових даних включають привілейовані паролі, ключі SSH і секрети DevOps.
Оскільки для виконання більшості векторів атак потрібні привілеї, привілейовані облікові записи є ціллю кіберзловмисниками. Це пояснюється тим, що вони дозволяють зловмисникам легко пересуватися по мережі, отримувати доступ до важливих систем і чутливих даних, залишаючись непоміченими та вміло приховуючи свої сліди.
Майже кожне порушення безпеки сьогодні включає привілейовані облікові записи або доступ.
Керування привілейованим доступом (Privileged Access Management, PAM) — також називається керуванням привілейованими обліковими записами — відноситься до стратегій, технологій і рішень для керування, захисту та аудиту привілейованих облікових записів.
Привілейовані облікові записи дозволяють налаштовувати програмну та системну конфігурацію, встановлювати та оновлювати програмне забезпечення, створювати облікові записи та змінювати їх, і звичайно, отримувати доступ до привілейованих даних. Ці дії є необхідними для адекватного функціонування бізнесу та всіх необхідних процесів в організації.
Часто компанії стикаються з проблемою підтримки привілейованого доступу в актуальному стані, особливо коли ролі співробітників змінюються або коли вони звільняються.
Останнім часом привілейований доступ став гарячою темою. Контроль привілейованих облікових записів є головним важелем відповідності нормам стандартів безпеки у кожній галузі.
Згідно з недавнім звітом Verizon DBIR 2023 - 74% усіх порушень включають людський фактор, причому люди залучені через помилку, неправильне використання привілеїв, використання викрадених облікових даних або соціальну інженерію.
Три основні способи отримання доступу кіберзлочинцями до організацій – це викрадення облікових даних, фішинг і використання прогалин в кібербезпеці та вразливостей.
Контроль привілейованих облікових записів є головним фактором відповідності всім нормам стандартів безпеки у кожній галузі.
Нижче, ми перерахували основні типи привілейованих облікових записів, які всі організації повинні виявити, керувати ними та захистити, щоб зменшити ризики безпеки свого бізнесу.
Типи привілейованих облікових записів
Облікові записи адміністратора домену
Такі облікові записи мають найбільш широкі повноваження, оскільки вони мають повний контроль над усіма контролерами домену та можливість змінювати членство кожного адміністративного облікового запису в межах домену. Злом цих облікових записів часто вказується як «найгірший сценарій» і потребує дуже ретельного моніторингу. Доступ і використання цих облікових записів має бути надано виключно на основі «за вимогою» з додатковими засобами контролю безпеки, щоб запобігти несанкціонованому використанню.
Облікові записи служби домену
Ці облікові записи об’єднують кілька систем і програм, щоб вони могли контактувати та отримувати доступ до потрібних ресурсів, як правило, для запуску звітів, доступу до баз даних або викликів API. Ці облікові записи, як правило, викликають проблеми, особливо під час зміни пароля, що майже в усіх ситуаціях порушує роботу програм(и), доки обліковий запис не буде синхронізовано в середовищі. Ці облікові записи зазвичай використовуються для рішень резервного копіювання, аналітичних рішень, розгортання програмного забезпечення та оновлення патчів безпеки.
Облікові записи локального адміністратора
Зазвичай ці облікові записи не є особистими та надають адміністративний доступ до локального хосту. Ці облікові записи зазвичай використовуються ІТ-спеціалістами для виконання технічного обслуговування або налаштування нових робочих станцій.
Обліковий запис локального адміністратора за замовчуванням є обліковим записом користувача для системного адміністратора. Обліковий запис адміністратора – це перший обліковий запис, який створюється під час встановлення для всіх операційних систем Windows Server і клієнтських операційних систем Windows.
Для операційних систем Windows Server обліковий запис адміністратора надає користувачеві повний контроль над файлами, каталогами, службами та іншими ресурсами, які знаходяться під контролем локального сервера. Обліковий запис адміністратора можна використовувати для створення локальних користувачів і призначення прав користувачів і дозволів контролю доступу. Обліковий запис адміністратора також можна використовувати для контролю над локальними ресурсами в будь-який час, просто змінивши права користувача та дозволи.
Часто ці облікові записи матимуть однаковий пароль на всій платформі чи організації. Ці спільні паролі використовуються тисячами хостів і створюють безпечну мішень для хакерів.
Облікові записи привілейованих користувачів
Як правило, це одна з найбільш поширених форм привілейованого доступу до облікового запису, що дозволяє користувачам мати права адміністратора, наприклад, на своїх локальних комп’ютерах або в системах, якими вони керують. Часто ці облікові записи мають унікальні та складні паролі. Ці облікові записи слід моніторити, хто має доступ, до чого вони мають доступ і як часто вони запитують доступ.
Екстрені облікові записи
Ці облікові записи зазвичай є відключеними, поки не станеться критичний інцидент, після чого певним користувачам потрібно мати привілейований доступ для відновлення систем, служб або навіть реагування на кіберінциденти. Вони використовуються лише в екстрених ситуаціях (зазвичай відомих як «розбити скло» або обліковими записами «пожежного виклику»).
Сервісні облікові записи
Ці облікові записи є привілейованими локальними або доменними обліковими записами, які використовуються програмою чи службою для взаємодії з ОС.
Сервісним обліковим записам зазвичай не дозволяється входити в системи, однак вони, як правило, мають паролі, які ніколи не змінюються, і термін дії цих облікових записів не закінчується. Такі облікові записи зазвичай вразливі до зламів, коли кіберзлочинці знаходять способи як запустити власні двійкові файли з підвищеними привілеями, дозволяючи зловмиснику віддалений доступ.
Облікові записи програми
Такі облікові записи регулярно використовуються програмами для доступу до баз даних, мережі, автоматичних оновлень і внесення зміни в конфігурацію. Ці облікові записи зазвичай зберігають паролі у файлах конфігурації або іноді використовують локальні або службові облікові записи для отримання необхідного доступу. Облікові записи програм також є мішенню для кіберзлочинців, оскільки ними можна легко зловживати, використовуючи відомі вразливості, які дозволяють зловмисникам отримати віддалений доступ, змінювати системні двійкові файли або підвищувати стандартні облікові записи до привілейованих, щоб вони могли переміщатися по мережі.
Існують ще і інші привілейовані облікові записи, яким організації повинні надати пріоритет і захистити їх, щоб зменшити ризик їх зламу та зловживань:
· Корінні облікові записи
· Облікові записи, які використовуються для доступу до рішень безпеки
· Облікові записи Wi-Fi
· Апаратні облікові записи, такі як BIOS і vPro
· Мережеве обладнання
· Облікові записи міжмережевого екрана
· Спільні привілейовані облікові записи.
Як захистити привілейовані облікові записи та дані?
Обізнаний - отже, озброєний! Виявлення усіх наявних облікових записів у вашій організації і розуміння принципів керування ними це вже великий крок до захисту привілейованих та важливих даних своєї організації.
Рішення керування привілейованим доступом (PAM) впроваджують для захисту від загроз, пов’язаних із крадіжкою облікових даних і зловживанням привілеями. PAM відноситься до комплексної стратегії кібербезпеки, що включає людей, процеси та технології, щоб контролювати, відстежувати, захищати та перевіряти всі привілейовані ідентифікаційні дані та дії людей і програм у ІТ-середовищі підприємства.
CyberArk Privileged Access Management (PAM) — це надійне та комплексне рішення, призначене для захисту та керування привілейованими обліковими записами, обліковими даними та доступом в організації. PAM пропонує кілька переваг безпеки, які відіграють вирішальну роль у покращенні загального стану кібербезпеки:
Контроль доступу до привілейованих облікових записів: PAM допомагає організаціям контролювати доступ до привілейованих облікових записів з підвищеними привілеями, які мають доступ до конфіденційної інформації. Це мінімізує випадки зламу та витоку даних.
Запобігання атакам на привілейовані облікові записи: кіберзлочинці надають велику увагу привілейованим обліковим, оскільки вони надають доступ до конфіденційних даних і систем. Рішення PAM допомагають запобігти кібератакам, відстежуючи активність привілейованих облікових записів, а також виявляючи підозрілу поведінку та реагуючи на неї.
Відповідність стандартам безпеки: багато галузей, наприклад охорона здоров’я та фінанси, повинні підтримувати відповідність стандартам безпеки. Рішення PAM допомагають організаціям досягти відповідності за рахунок застосування політик контролю доступу, відстеження активності привілейованих облікових записів і створення звітів про аудит.
Підвищення продуктивності: рішення PAM можуть автоматизувати такі завдання, як створення та зберігання паролів, заощаджуючи час і підвищуючи продуктивність.
Інтеграція в середовищі: PAM-рішення інтегруються із існуючими інструментами та рішеннями кібербезпеки, такими як рішення управління інцидентами та подіями безпеки (SIEM).
Встановлення життєвого циклу процесів: рішення PAM створюють ефективні процеси життєвого циклу, щоб гарантувати, що всі зміни в обліковому записі привілейованого доступу відомі та належним чином відстежуються, щоб повідомляти про кожен привілейований обліковий запис і те, до чого він може отримати доступ.
Загалом PAM захищає важливу інформацію та ресурси організації від несанкціонованого доступу та витоку даних. Впровадження PAM як частини комплексної стратегії безпеки та управління ризиками дає змогу організаціям записувати та реєструвати всі дії, пов’язані з критично важливою ІТ-інфраструктурою та конфіденційною інформацією, допомагаючи їм спростити вимоги аудиту та відповідності.