7 zabójczo uprzywilejowanych kont

7 zabójczo uprzywilejowanych kont: odkryj → zabezpiecz → zarządzaj.

 

Konta uprzywilejowane i uprzywilejowany dostęp są dziś sercem biznesu każdej firmy. Zapewniają zespołowi IT możliwość administrowania i zarządzania systemami organizacji, infrastrukturą i oprogramowaniem, a pracownikom dostęp do danych, które umożliwiają im podejmowanie kluczowych decyzji biznesowych.

Konta uprzywilejowane są także najczęstszym celem hakerów i cyberprzestępców. Pozwalają im na swobodne i niewykrywalne poruszanie się po sieci, uzyskiwanie dostępu do krytycznych systemów i poufnych danych. Konta uprzywilejowane umożliwiają wprowadzanie zmian w konfiguracji systemu i oprogramowania, wykonywanie zadań administracyjnych, tworzenie i modyfikowanie kont użytkowników, instalowanie oprogramowania, tworzenie kopii zapasowych danych, aktualizowanie zabezpieczeń i poprawek, włączanie interaktywnych logowań i oczywiście uzyskiwanie dostępu do wrażliwych danych. Wszystkie te działania mają kluczowe znaczenie dla funkcjonowania firmy, utrzymania systemów i oprogramowania w ruchu.

Nie zakładaj, że konta uprzywilejowane są bezpośrednio dostosowane do ról pracowników

Konta uprzywilejowane są zazwyczaj ograniczone do ról pracowników w firmie, ale czasami mogą być mapowane na konta użytkowników niezależnie od ich roli. Dlatego założenie, że konta uprzywilejowane są bezpośrednio dostosowane do zadań pracowników to duży błąd. Konta uprzywilejowane mogą być używane przez wiele różnych podmiotów, na przykład: administratorów IT, zespoły bezpieczeństwa, pracowników działu pomocy technicznej, zewnętrznych wykonawców, właścicieli aplikacji, administratorów baz danych, a także systemy operacyjne i konta usług.

Konta uprzywilejowane można znaleźć w całej infrastrukturze organizacji, niezależnie od ich fizycznej lokalizacji – czy to  w siedzibie firmy, czy to w chmurze, czy  poprzez aplikacje SaaS. Typowe lokalizacje kont uprzywilejowanych to domyślne poświadczenia na serwerach, punktach końcowych
i systemach operacyjnych. Można je również znaleźć w środowiskach wirtualnych, oprogramowaniu, środowiskach chmurowych, bazach danych, kontach usług i większości aplikacji. To tylko kilka przykładów. Pokazuje to jednak, że konta uprzywilejowane można znaleźć praktycznie wszędzie,
a organizacja ma ich często nawet pięć razy więcej niż systemów.

Wiele organizacji boryka się z problemem zmęczenia cybernetycznego – stanu przytłoczenia przez obowiązki związane z zabezpieczeniem, czyli ogromną liczbą haseł i poświadczeń, które pracownicy muszą utrzymywać i pamiętać. Jest to poważny problem w całej firmie i wpływa nie tylko na zespół IT, ale także na zespół odpowiadający za bezpieczeństwo i wszystkich pracowników, którzy potrzebują dostępu do wielu systemów i aplikacji.

 

Brak aktualizacji stanu uprzywilejowanych kont spowodowało straty finansowe wielu organizacji

Oprócz zmęczenia cybernetycznego firmy stoją przed wyzwaniem bieżącego utrzymania uprzywilejowanego dostępu, zwłaszcza gdy zmieniają się role pracowników lub gdy opuszczają oni organizację. Naruszenie i nadużycie kont uprzywilejowanych naraziło już wiele organizacji na ogromne straty. Wyzwanie stanowi także zabezpieczenie kont usług, ponieważ w przeszłości konfigurowano je za pomocą hasła statycznego, które nie wygasa i nigdy się nie zmienia.

W odpowiedzi na te wyzwania prezentujemy „7 zabójczo uprzywilejowanych kont”, które wszystkie organizacje powinny odkryć, odpowiednio zabezpieczyć oraz zarządzać nimi tak, aby zmniejszyć ryzyko związane z bezpieczeństwem ich działalności.

 

1. Król wszystkich kont: „Konto administratora domeny”

Konto, z poziomu którego można zrobić prawie wszystko. Konto administratora domeny ma pełny dostęp i kontrolę nad domeną AD. Ta grupa jest domyślnie członkiem grupy Administratorzy na wszystkich kontrolerach domeny, wszystkich stacjach roboczych domeny i wszystkich serwerach członkowskich w momencie dołączenia do domeny. Domyślnie konto administratora jest członkiem tej grupy. Ponieważ grupa ma pełną kontrolę w domenie, zawsze dodawaj użytkowników ze szczególną ostrożnością, pełnym audytem i uwierzytelnieniem. [1]

Konta te powinny być jak najbardziej ograniczone: dostęp i korzystanie z tych kont musi być udzielane wyłącznie na zasadzie żądania z dodatkowymi uwierzytelnieniami w celu zapobieżenia nieuprawnionemu użyciu. Wszystkie ich działania powinny być w pełni kontrolowane i monitorowane.

2. Trudne i przerażające „Konta usług domenowych”

Konta te łączą wiele systemów i aplikacji, dzięki czemu mogą komunikować się i uzyskiwać dostęp do potrzebnych zasobów, zazwyczaj do uruchamiania raportów, uzyskiwania dostępu do baz danych lub wywoływania interfejsów API. Konta te wydają się być problematyczne, zwłaszcza przy zmianie hasła, które w niemal wszystkich sytuacjach powoduje zerwanie aplikacji do momentu zsynchronizowania w środowisku. Te trudne i przerażające chwile wynikają z przyjętej w organizacjach zasady „nie dotykaj tego hasła” lub szczegółowych procesów dotyczących ich obsługi. Konta te są zwykle używane do tworzenia kopii zapasowych, rozwiązań analitycznych, wdrażania oprogramowania i aktualizacji poprawek zabezpieczeń.

3. Zapomniane „Lokalne konto administratora”

Czasami nazywane „zapomnianym kontem uprzywilejowanym”, czyli tym, do którego wiele firm udziela dostępu wszystkim pracownikom.  To właśnie w nie wszyscy cyberprzestępcy celują, aby ocenić bezpieczeństwo i poziom ochrony organizacji. To główny winowajca nadmiernie uprzywilejowanych kont pracowników.

Domyślnym lokalnym kontem administratora jest konto użytkownika dla administratora systemu. Każdy komputer ma konto administratora (SID S-1-5-domena-500, nazwa wyświetlana: Administrator), jest ono pierwszym kontem tworzonym podczas instalacji dla wszystkich systemów operacyjnych Windows Server i klienta Windows.

W systemach operacyjnych Windows Server konto Administrator daje użytkownikowi pełny dostęp do plików, katalogów, usług i innych zasobów, będących pod kontrolą lokalnego serwera. Konto Administrator może być używane do tworzenia lokalnych użytkowników, przypisywania uprawnień użytkownika oraz uprawnień kontroli dostępu. Konto administratora można również wykorzystać do przejęcia kontroli nad lokalnymi zasobami w dowolnym momencie, po prostu zmieniając prawa użytkownika i uprawnienia.

Domyślne konto administratora nie może zostać usunięte lub zablokowane, ale można je zmienić lub dezaktywować. [2]

4. Pomocne „Konta awaryjne”

Konta te są zazwyczaj domyślnie wyłączone do czasu krytycznego zdarzenia. Po jego wystąpieniu określeni użytkownicy muszą mieć uprzywilejowany dostęp do przywracania systemów, usług lub nawet reagowania na incydenty bezpieczeństwa. Są one używane tylko w sytuacjach awaryjnych, gdy normalne usługi nie są dostępne. Przykładowo, podczas incydentu cyberprzestępstwa, są one wykorzystywane do uzyskania dostępu do systemów w celu przeprowadzenia cyfrowej ekspertyzy i zredukowania zanieczyszczenia dowodów z rejestru logów. Mogą być również używane do ograniczania ciągłego nadużywania zagrożonych kont.

5. Ukryte i wieczne „Konta serwisowe”

Konta usług są zwykle używane w systemach operacyjnych do uruchamiania aplikacji lub programów, zarówno w kontekście kont systemowych (konta o wysokim uprzywilejowaniu bez hasła), jak i określonego konta użytkownika (zwykle tworzonego ręcznie lub podczas instalacji oprogramowania). W systemach Unix i Linux często są znane jako ‘init’ lub ‘inetd’ i również mogą uruchamiać programy. Konta usług zwykle nie mogą logować się do systemów, jednak najczęściej zabezpiecza je nigdy nie zmieniane hasło. Co więcej, konta te nie wygasają. Konta serwisowe są często nadużywane przez cyberprzestępców, którzy łamią je i uruchamiają własne pliki binarne na podwyższonych uprawnieniach, zapewniających im dostęp zdalny.

6. Podwyższone „Konta aplikacji”

Konta aplikacji są rutynowo używane do zapewnienia aplikacji dostępu do wymaganych zasobów, takich jak bazy danych, sieci, zautomatyzowane zadania (np. wdrażanie oprogramowania), automatyczne aktualizacje i możliwości wprowadzania zmian w konfiguracji. Konta te zazwyczaj przechowują hasła w plikach konfiguracyjnych, czasem dla uzyskania niezbędnego dostępu używają kont lokalnych lub usługowych. Konta aplikacji są również częstym celem cyberprzestępców, ponieważ mogą być łatwo naruszone przy użyciu znanych luk, które umożliwiają atakującym uzyskanie zdalnego dostępu, zmodyfikowanie binarów systemu lub podniesienie standardowych kont do uprzywilejowanych, umożliwiające im poruszanie się po sieci. Większość organizacji nie potrafi poprawnie „łatać” aplikacji, więc atakujący mogą nadużywać tych luk zbyt często.

7. Niepozorne, ale zabójczo niebezpieczne, „Konta użytkowników uprzywilejowanych danych”

Jest to prawdopodobnie najbardziej niebezpieczny uprzywilejowany dostęp ze wszystkich. Tak, to konto jest standardowym kontem użytkownika, ale ma DOSTĘP do WRAŻLIWYCH, PRYWATNYCH DANYCH. Pomyśl o lekarzu, który ma dostęp do danych pacjenta lub księgowym, który ma dostęp do sprawozdań finansowych. To zwykłe konta użytkownika, ale chodzi o to do czego mają dostęp. Konta użytkowników uprzywilejowanych danych często nie są monitorowane lub zabezpieczone, jak konta uprzywilejowane, a bezpieczeństwo koncentruje się na aplikacji, w której dane są przechowywane, choć nie zawsze. Firmy powinny przeprowadzać ocenę ryzyka danych, aby wykryć uprzywilejowane dane i zabezpieczyć WSZYSTKIE standardowe konta, które mają dostęp do poufnych danych.

To tylko niektóre z uprzywilejowanych kont, których zabezpieczenie organizacje powinny traktować priorytetowo, aby zmniejszyć ryzyko ich naruszenia i nadużycia.

Inne konta uprzywilejowane to:

– Konta root

– Konta używane do uzyskiwania dostępu do rozwiązań bezpieczeństwa

– Konta Wi-Fi

– Konta sprzętowe, takie jak BIOS i vPro

– Uprzywilejowane konta użytkowników

– Sprzęt sieciowy

– Konta zapory

– Współdzielone konta uprzywilejowane

Chcesz dowiedzieć się więcej o zabezpieczaniu kont uprzywilejowanych? Skontaktuj się z nami!

Źródło: https://thycotic.com/company/blog/2019/03/26/top-7-deadly-privileged-accounts/?utm_medium=Organic-Social&utm_source=linkedin&utm_campaign=7-deadly-privileged-acccounts&utm_content=32519&utm_term=32519_7-deadly-privileged-acccounts