Dobrze przygotowany program zarządzania kontami uprzywilejowanymi (Privileged Account Security – PAS) powinien zawierać procedury rozpoznawania zagrożeń oraz opisy najczęściej stosowanych metod ataków i włamań do systemów. Przy budowie takiego programu warto odpowiedzieć sobie na pytanie „Od czego zacząć”? Dobrym punktem zaczepienia mogą być działania związane z audytem zewnętrznym, dedykowanym spotkaniem nt. bezpieczeństwa, zgłoszenia klientów lub żądania od biznesu uruchomienia odpowiednich procedur.
Warto zapoznać się z dobrymi i sprawdzonymi praktykami w zakresie budowania własnych planów bezpieczeństwa. Poniżej przedstawiamy 5 kluczowych rekomendacji pozwalających działom IT na zwiększenie bezpieczeństwa, i które mogą zminimalizować ryzyko wystąpienia zagrożeń, co w czasie przełoży się na wymierne oszczędności firm IT w zakresie inwestycji w technologie bezpieczeństwa.
ISCG rekomenduje:
Rekomendacja #1: Zmniejsz prawa dostępu do krytycznych systemów i kontrolerów domen.
Działanie to powinno iść w połączeniu z wielopoziomową autentykacją i systemem zarządzania tożsamościami w celu ciągłego monitoringu systemów i szybkiego wykrywania znanych, podejrzanych procesów (np. Mimikatz). Zastosowanie wielu warstw ochrony wzmacnia bezpieczeństwo i pozwala zminimalizować ryzyko przejęcia kontroli nad siecią. Cyberprzestępcy często wykorzystują złe zabezpieczenia i zbyt duże uprawienia przypisane do kont indywidualnych, dzięki czemu jeden dostęp gwarantuje im możliwość wyrządzenia szkód w wielu obszarach. Ustalenie wyraźnych reguł i granic uprawnień pozwoli skutecznie zminimalizować szkody, wyrządzone zarówno przez ataki z zewnątrz jak i wewnątrz infrastruktury IT.
Rekomendacja #2: Usuń lokalne konta Administratorów i uruchom procedury bezpiecznego sprawdzania dostępu do aplikacji, w szczególności dla systemów księgowych, deweloperskich, kontroli domen czy stacji roboczych.
Cyberprzestępcy często podszywają się pod dane konto użytkownika, wcześniej stosując atak phisingowy, na który szczególnie podatni są końcowi użytkownicy w poszczególnych działach firmy. Po przejęciu konta hakerzy mogą nie tylko wstrzyknąć złośliwy kod, ale także nadać sobie wyższe uprawnienia, by dostać się do bardziej krytycznych zasobów. Działania te są zmorą wielu organizacji, które nie zawsze tworzą listy zaufanych aplikacji i dostępu do nich (Whitelisting), nadając uprawnienia osobom zewnętrznym lub tymczasowym pracownikom. Ponadto, usunięcie praw dostępu z kont pracowników wysokiego szczebla nie jest łatwe, co zwiększa znacząco ryzyko ataków.
Warto ustawić jasne polityki filtrowania dostępu do aplikacji oraz usunąć nadmierne prawa administratorów na końcówkach sieci. To działanie może okazać się zbawienne dla bezpieczeństwa poufnych informacji składowanych na kontach uprzywilejowanych.
Rekomendacja #3: Ustawiaj losowe hasła dla kont Administratorów w systemach Windows, UNIX czy Linux.
Częstą bolączką firm jest regularna zmiana haseł dla kont uprzywilejowanych. Nawet, jeśli hasła są aktualizowane, to często są takie same dla wszystkich urządzeń końcowych. Umożliwia to hakerom kradzież tożsamości i użycia ich w celu dostępu do krytycznych zasobów składowanych na laptopach, komputerach stacjonarnych czy serwerach. Warto zastosować unikalne dostępy i skomplikowane, często zmieniane, hasła. Zminimalizuje to potencjalną możliwość wykorzystania „tylnych furtek” wejścia do systemu.
Rekomendacja #4: Chroń i zmieniaj regularnie krytyczne konta z najwyższym dostępem do systemów i aplikacji.
Krytyczne konta i klucze powinny być używane dynamicznie i często zmieniane. Typowymi przykładami aplikacji, dla których warto stosować tą metodę, są:
- QualysGuard, Rapid7, Tenable Nessus i McAfee Vulnerability Manager w zakresie zarządzania ochroną i odpornością haseł
- Systemy do autmotyzacji takie jak Puppet, Ansible, Jenkins, Docker czy EC2
- Systemy Service-Now Discovery, HP Universal Discovery I ForeScout CounterAct
Systemy te często działają w trybie ciągłym, poza standardowymi godzinami pracy działów IT, przez co manualna zmiana i rotacja haseł nie zawsze jest możliwa. Brak zmian w polityce bezpieczeństwa może spowodować wykorzystanie tych aplikacji do uzyskania przez atakującego dostępów do wyższych poziomów i przeniknięcia do struktury organizacji od wewnątrz. Warto stosować szablony zarządzania dostępami i kontami dla tych aplikacji, aby w razie potrzeby szybko można było uruchomić odpowiednie polityki bezpieczeństwa.
Rekomendacja #5: Zwiększ bezpieczeństwo poprzez zastosowanie wyższych poziomów ochrony do Centrum Przetwarzania Danych stosując wirtualne konsole i osobne klucze do chmury publicznej i prywatnej.
Większość dostawców usług w chmurze publicznej np. AWS (Amazon Web Servics) dostarcza firmom specyficzny zestaw kluczy bez możliwości ich zmiany. Kradzież tych kluczy to ryzyko wejścia do systemu i uzyskania dostępu do krytycznych kont i tożsamości. Jeśli atakujący uzyska dostęp do systemu z użyciem Wirtualnej Konsoli, kupi sobie czas, który pozwoli mu np. na skopiowanie zawartości systemów i zapisanie ich w tylko sobie znanym miejscu. To pojedynczy punkt awarii, który w niepowołanych rękach może wyrządzić znaczne szkody w każdej firmie
Regularna zmiana miejsca składowania, poziomów dostępów oraz rotacji haseł dla kont uprzywilejowanych umożliwi organizacjom większą kontrolę nad kontami uprzywilejowanymi i zmniejszy ryzyko ich kradzieży. Warto logować
i nagrywać wszystkie sesje logowań – informacje pozyskane z nich mogą być pomocne w przygotowaniu i wdrożeniu rozwiązań, które odzyskają potrzebne dane i dostępy do kont w przypadku wystąpienia awarii lub włamania do systemu.
Możesz także we własnym zakresie wykonać analizę używanych kont uprzywilejowanych. Sposób opisaliśmy na blogu pod adresem: https://www.iscg.pl/dna/
Źródło: https://www.cyberark.com/
Potrzebujesz dodatkowego wsparcia? Skorzystaj z bezpłatnej konsultacji z ekspertem ISCG i dowiedz się jak zwiększyć Twój komfort bezpieczeństwa.