Чем опасны привилегированные пользователи

Финансовые и персональные данные компаний и их клиентов стоят больших денег. Поэтому они представляют лакомый кусок для злоумышленников. Чтобы защититься от них тратятся значительные ресурсы, однако гораздо большую и реальную опасность представляют сами сотрудники организации.

Инсайдерские угрозы сложно устранить, и еще труднее обнаружить. Поэтому у компаний не остается другого выбора, как упредить угрозу со стороны своих работников. Особенно тех, кто ежедневно работает с «чувствительной» информацией и файлами конфигурации системы.

И естественно, что наиболее опасными инсайдерами становятся сотрудники, которые владеют привилегированными учетными записями. Такие учетные записи не только дают им законный доступ к “чувствительной” информации, но и предоставляют полный контроль над системой, что создает оптимальные условия для совершения вредоносных действий.

Несмотря на значительные инвестиции в кибербезопасность, далеко не все организации тратят на решение этой проблемы необходимые деньги и выделяют специалистов. В то же время мониторинг и контроль доступа привилегированных пользователей – самая необходимая составляющая любой надежной системы информационной безопасности. И для того, чтобы процесс происходил правильно, многим компаниям необходимо изменить свой подход, согласно которому на ситуацию обращают внимание только после того как «все уже случилось». Начинать нужно раньше, активно внедряя современные методы и решения уже сейчас.

Американский технический специалист и спецагент Эдвард Сноуден в начале июня 2013 года передал газетам The Guardian и The Washington Post секретную информацию АНБ. Во время работы системным администратором на базе АНБ на Гавайях Сноуден убедил от 20 до 25 коллег предоставить ему свои логины и пароли, пояснив, что это необходимо ему для работы. По данным доклада Пентагона, Сноуден похитил 1,7 млн секретных файлов.

Чтобы понять, как контролировать привилегированных пользователей, необходимо знать, что такое привилегированная учетная запись и как ее идентифицировать. Сам термин используется для описания любой учетной записи, предоставляющей неограниченный доступ к системе, изменению ее параметров, просмотру секретных данных и т. д.

В компании необходимо идентифицировать каждый используемый привилегированный аккаунт. Самый простой способ классификации привилегированных учетных записей – по области, которую они позволяют контролировать:

● Доменные - типы привилегированных учетных записей, предоставляющие доступ ко всем рабочим станциям и серверам в определенном домене. Учетные записи этого типа обеспечивают наивысший уровень контроля над системой, например, возможность управлять каждой системой и управлять учетными записями администратора для каждой системы в домене.

● Локальные - типы привилегированных учетных записей предоставляющие административный доступ к одному серверу или рабочей станции. Они обеспечивают полный контроль над системой и часто используются ИТ-специалистами для проведения технического обслуживания системы.

● Учетные записи приложений - типы привилегированных учетных записей предоставляющие административный доступ к приложениям. Они могут использоваться для доступа и управления базами данных, выполнения настройки и обслуживания. Эти учетные записи обеспечивают контроль над всеми данными внутри приложения и могут быть легко использованы для кражи конфиденциальной информации.

Привилегированные учетные записи могут создаваться для достижения следующих целей:

● Личные - учетные записи, предоставляющие административные привилегии одному конкретному сотруднику. Эти учетные записи часто создаются для менеджеров или операторов баз данных, которые работают с конфиденциальной информацией, такой как финансовые или кадровые данные.

● Административные - это стандартные административные учетные записи, созданные автоматически для каждой системы. Обычно они обрабатываются ИТ-специалистами или сотрудниками службы безопасности.

● Служебные - эти учетные записи созданы, чтобы приложения могли взаимодействовать через сеть более безопасным образом.

● Аварийные - эти учетные записи используются на случай возникновения проблем, требующих повышения уровня доступа.

Типичными пользователями привилегированных учетных записей являются системные администраторы, сетевые инженеры, администраторы баз данных, операторы центров обработки данных, высшее руководство, сотрудники службы безопасности и т. д. Они непосредственно работают с критическими данными и инфраструктурой и обычно пользуются высоким уровнем доверия со стороны компании. Однако этот уровень доступа и доверия является именно тем, что делает их потенциально опасными для компании.

Cистемный администратор Майкл Томас в декабре 2011 года удалил «бэкапы», систему уведомления о проблемах сети, отключил доступ к VPN, стер внутренние wiki-страницы и контакты внешней техподдержки компании ClickMotive. После этих манипуляций он оставил в офисе ключи, ноутбук, «бэйдж» с заявлением на увольнение и ушел. И хотя суд признал его виновным в «умышленном вредительстве без разрешения на защищенном компьютере», в судебном процессе адвокат заявлял, что его подзащитный был авторизован — это продиктовано его трудовыми обязанностями. Действия по настройке корпоративной почты, VPN-сети, удаление «бэкапов» все сисадмины выполняют регулярно.

Повышенный уровень доступа позволяет таким пользователям выполнять самые разнообразные вредоносные действия - от неправильного использования данных до полного разрушения системы. Они могут украсть любую конфиденциальную и финансовую информацию компании и клиента – продать ее или просто выложить в Интернет. Привилегированные учетные записи также могут использоваться для изменения или удаления данных, что открывает возможности для мошенничества. Пользователи с высокой степенью доступа могут использовать такие учетные записи для установки backdoor или эксплойтов, что дает им полный доступ к системе. Нелояльные сотрудники могут даже сломать всю систему, изменив критические настойки параметров.

Однако то, что делает привилегированные учетные записи опасными, - это даже не степень доступа, а скорее то, как легко их владельцам совершить вредоносные действия и как трудно их обнаружить.

Благодаря легитимному доступу к конфиденциальным данным и системным настройкам вредоносные действия привилегированных пользователей часто неотличимы от повседневной деятельности. Они легко могут заметать свои следы, и даже если их поймают, то могут просто заявить, что допустили ошибку. Таким образом, преступные действия могут оставаться необнаруженными в течение очень долгого времени, что только увеличит убытки.

Также стоит отметить, что вредоносное поведение - не единственная опасность, которую представляют такие учетных записях. С расширенным уровня доступа ошибки и непреднамеренные действия становятся столь же дорогостоящими для компании, как и преднамеренные атаки. Простая отправка по электронной почте конфиденциальных данных не тому человеку может привести к миллионам убытков.

Еще одна большая проблема - безопасность таких учетных записей. Если преступникам удастся заполучить привилегированную учетную запись, они получат доступ ко всей системе.

В конце 2014 года представитель Sony Pictures Entertainment заявил, что анонимная кибер-группировка Guardians of Peace (Защитники Мира) получила прямой доступ к сети компании. По словам следователей, атака была выполнена с помощью украденной учетной записи системного администратора. Привилегированные логин и пароль предоставили неограниченный доступ к записям сотрудников, невыпущенным фильмам, интеллектуальной собственности, электронным сообщениям и другим конфиденциальным данным.

Привилегированные пользователи представляют собой уникальную проблему для безопасности, с которой большинство инструментов на практике не могут справиться.

В конечном счете, эффективная безопасность в этой ситуации сводится к эффективному управлению пользователями, контролю и мониторингу. Необходимо использовать надежных людей и правильные инструменты контроля.

● Убедиться, что все привилегированные пользователи в организации учтены, что отсутствуют пользователи с излишне высоким уровнем привилегий. Необходимо регламентировать процедуры создания и закрытия таких учетных записей.

● Контролировать кто, когда и с какой целью имел доступ к привилегированной учетной записи. Управление паролями, различные формы многоуровневой аутентификации и контроля доступа - отличные способы управления привилегированным доступом, которые позволяют тщательно защищать привилегированные учетные записи от несанкционированного доступа и точно определять всех, кто использует такие учетные записи.

● Записывать действий пользователя - лучший способ предотвратить инсайдерские угрозы и эффективный инструмент обнаружения в случае, если инсайдерская атака произошла. Профессиональные DLP решения для мониторинга пользователей, такие как наша разработка SecureTower, способны обеспечить необходимую прозрачность каждого привилегированного сеанса, а также незамедлительно среагировать на любые инциденты.

В 2017 г. компания Falcongaze провела опрос среди пользователей своего продукта SecureTower. Из него следовало, что у 80% были предотвращены утечки информации, предоставляющий коммерческую ценность; а 11% указали, что попытки извлечь подобные данные совершались более 10 раз.

Все инсайдерские угрозы, как связанные, так и нет с привилегированными пользователями, требуют сложного многоуровневого подхода для эффективного решения этих проблем. Только таким образом можно со всех сторон защитить конфиденциальные данные компании и усилить информационную безопасность.