Спасибо
Мы свяжемся с вами в ближайшее время!

ПРИВИЛЕГИРОВАННЫЕ УЧЕТНЫЕ ЗАПИСИ. ГДЕ ОНИ И КТО ИХ ИСПОЛЬЗУЕТ?

ИТ сегодня не просто часть любой компании – это ее основа. Рабочие станции, ноутбуки, сервера, базы данных, веб-приложения. Все это часть повседневного бизнес процесса. Проникновение информационных технологий в ежедневный график любого сотрудника, от секретаря и до президента достигло немалых высот. Порой, от доступности того или иного информационного ресурса зависит доступность самого бизнеса, его прибыль.

Перед ИТ директором или руководителем службы информационной безопасности стоит непростая задача – обеспечить безопасность вверенных ресурсов, не прервав при этом бизнес процесс. Для обеспечения безопасности инструменты защиты развились очень сильно. На помощь приходят межсетевые экраны, впн тунели, антивирусы, карты доступа, детекторы атак. Эффективность всех этих инструментов доказана годами использования. Тем не менее, все чаще и чаще в прессе появляется информация о новых взломах, утечках информации, потере репутации и прибыли.

В чем же дело? Неужели годами проверенные инструменты потеряли свою эффективность? Нет, к счастью это не так. Тем не менее, учитывая растущую с каждым днем сложность и мощность атак, возможностей классических решений обеспечения защиты периметра недостаточно. По сути, и периметра, как такового уже нет. Мобильные устройства и мобильный доступ настолько глубоко проникли в ежедневные процессы, что определить границы периметра с каждым днем все труднее и труднее

.

Возникает несколько вопросов – что это за учетные записи, где они используются и кто имеет к ним доступ? По данным опроса Cyber-Privileged Account Security & Compliance Survey, порядка 30% компаний, с количество сотрудников больше 1000 не смогли дать ответ на вопрос: «Сколько привилегированных учетных записей используется в Вашей компании?» Вторым по популярности был ответ – от 1 до 250. В чем же дело? Почему, такой простой, на первый взгляд, вопрос ставит руководителей профильных подразделений в тупик? Не спешите подозревать Ваших коллег в не профессионализме или близорукости. Возможно, дело в отсутствии доступных инструментов для поиска ответа на этот вопрос?

Давайте попробуем определить, какие же из инструментов доступны инженерам информационной безопасности, позволяющие определить наличие и количество привилегированных учетных записей. Возьмем, к примеру, классическую инфраструктуру, в основе которой лежат решения от Microsoft. Периметр организован и защищен устройствами и решения на базе Unix. На ум сразу приходят доступные сервисы службы каталогов. Безусловно, список учетных записей, их полномочия и так далее, мы получим. Но сможет ли этот инструментарий дать ответ на следующие вопросы: когда последний раз использовалась учетная запись, дата последнего изменения пароля и срок его действия? А главное – кто именно, когда и откуда использовал ту или иную запись? Увы, стандартного инструментария службы каталогов недостаточно для получения ответов на все эти вопросы.

Допустим, в компании уже есть решение по управлению учетными записями – классический Identity Management, позволяющий создавать учетные записи, с определенными правами во множестве систем. Уж это решение даст нам ответы на эти вопросы! Увы, не все так просто. Классический IDM является хорошим инструментом ИТ, позволяющим существенно снизить операционные затраты на создание и администрирование учетных записей. Но что делать, когда IDM внедрен недавно или все еще находится на стадии внедрения (как правило, процесс тестирования, выбора и внедрения решения занимает около года-полтора)? Мы возвращаемся к исходной точке – как узнать информацию о использовании учетных записей на системах, не охваченных проектом внедрения IDM? К тому же, даже правильно внедренный IDM не поможет контролировать действия администраторов и гарантировать, что данной учетной записью воспользовался именно тот, кто должен иметь к ней доступ, а не кто-то другой.

Для удобства поиска решения, предлагаю разбить задачу на две: поиск привилегированных учетных записей в инфраструктуре компании и выбор решения по управлению и контролю использования привилегированных учетных записей.

Итак, какую информацию нам требуется получить? Имя учетной записи, устройство на котором она используется, соответствие пароля корпоративной политике (сложность, срок действия, дата последнего изменения), дата последнего использования пароля. Причем, данные эти нам нужны как из Windows окруження, так и Unix. Неплохо было бы получить еще и сведения о том, на какие устройства можно авторизоваться, используя ту или иную учетную запись, тем самым понимать, уязвима или нет наша инфраструктура к атаке Pass-the-Hash.

Имея перед собой список задач, можно смело приступать к поиску инструмента. В своей работе, мы используем инструмент разработки CyberArk – Discovery & Audit Tool, который обладает всем необходимым функционалом по поиску привилегированных учетных записей в инфраструктуре компании. Все, что нужно для его работы – доступ только для чтения к учетной записи доменного администратора или root, в случае Unix окружения. Утилита не требует установки и может быть запущена с любом машины в домене организации. В результате ее работы мы получаем удобный и понятный отчет в формате excel, с пирогами Кроме того, утилита позволяет строить карту из узлов сети, уязвимых к атаке Pass-the-Hash.

При запуске утилиты (установка не требуется), мы выдим приглашение на выбор файла лицензии (лицензируется по количеству сканируемых хостов Windows/Unix, ограничена по времени). Далее у нас есть выбор: сканирование AD или набора хостов из файла (шаблон прилагается).

psa_1

По окончанию процесса сканирования (время сканирования зависит от размеров инфраструктуры), мы видим краткий отчет о результатах.

psa_2 psa_3

Более подробный отчет, в формте excel, содержит следующую информацию:

Имя хоста, тип, имя учетной записи, тип учетной записи, категорию (привилегированная или нет), группу, возможно ли использование учетной записи для атаки Pass-the-Hash, наличие хэша:

psa_4

На каком количестве хостов присутствует данная уязвимость, возможная угроза, описание учетной записи, тип сервисной учетной записи:

psa_5

Описание сервисной учетной записи, статус соответствия, состояние учетной записи (активна/не активна), наличие флага “пароль никогда не истекает”, возраст пароля, дата последнего изменения пароля, дата последнего входа с использованием этой учетной записи, дата окончания срока действия учетной записи:

psa_6

Операционная система, детали:

psa_7

В рамках услуг, которые мы предлагаем наших клиентам, использование утилиты CyberArk Discovery & Audit Tool является абсолютно бесплатным, все что требуется от клиента – указать количество Windows и Unix хостов в инфраструктуре.

Получив на руки подробный отчет о наличии привилегированных записей в нашей инфраструктуре и деталей их использования, мы можем сделать вывод о истинном положении дел в управлении привилегированных доступом, соблюдении политик информационной безопасности и уровне защищенности критичных систем. Кроме того, подобный отчет служит хорошей базой к выбору и внедрению системы управления и контроля привилегированный доступом.

О том, какие решения доступны на рынке, их возможности и особенности – в следующей серии.

Симуляция фишинга — новая услуга на рынке инфобеза.
Друзья! С сегодняшнего дня мы готовы предоставлять нашим партнёрам и заказчикам полностью автоматизированный сервис симуляции фишинговых атак, не требующий настройки со стороны клиента. Уникальный подход и разработанная технология помогает снизить риск ущерба от фишинг атак, значительно повышает уровень...
Решение CounterBreach от компании Imperva использует поведенческий анализ для предотвращения кражи данных внутри сети
Согласно статистике, основная угроза хищения корпоративных данных исходит именно от действий внутренних пользователей, будь-то злонамеренный умысел или неосторожность.  Типичным примером является сохранение рабочих ...
Incapsula – лучшая защита для вашего web-ресурса
В современном высокотехнологичном мире, в конкурентной борьбе, компании все чаще пользуются услугами хакеров. Сегодня, наличие сайта и онлайн платежной системы, является наиболее значимыми инструментами работы, это касается как SMB так и корпоративного бизнеса. Это в свою...