7 zabójczo uprzywilejowanych kont: odkryj → zabezpiecz → zarządzaj. Konta uprzywilejowane i uprzywilejowany dostęp są dziś sercem biznesu każdej firmy. Zapewniają zespołowi IT możliwość administrowania i zarządzania systemami organizacji, infrastrukturą i
27 czerwca uczestniczyliśmy w „Dniu polskiego przemysłu”, organizowanym przez NATO Support and Procurement Agency (NSPA) w Luksemburgu. Konferencja skierowana była do wybranych polskich dostawców towarów i technologii podwójnego zastosowania. Mieliśmy okazję do zaprezentowania naszej aktualnej oferty
Ebook Thycotic to prosty i skuteczny sposób na edukację pracowników w zakresie ochrony zarówno swoich jak i firmowych zasobów. Umożliwia zrozumienie i rozpoznanie najpowszechniejszych zagrożeń cyberbezpieczeństwa, z jakimi borykamy się w codziennej pracy i życiu osobistym. Dzięki niemu dowiecie
Jeżeli podczas edycji obiektu (np. sekwencji zadań) w konsoli administracyjnej Configuration Manager’a wystąpi błąd, którego skutkiem jest awaryjne zamknięcie konsoli, wówczas po ponownym jej uruchomieniu okazuje się, że nie można edytować poprzednio otwartego obiektu: Ten
Użytkownicy urządzeń mobilnych są narażeni na coraz więcej zagrożeń.Już 20 lutego zobaczysz jak do kwestii zabezpieczania urządzeń mobilnych podchodzi Microsoft oraz MobileIron – liderzy najnowszego raportu Gartnera. Doświadczeni specjaliści przedstawią scenariusze biznesowe oraz pokażą
Każdy, kto dysponując odpowiednimi uprawnieniami próbował bezskutecznie skasować kolekcję w konsoli Configuration Manager’a (albo posługując się poleceniami PowerShell-a) musiał przeżyć niemałe zdziwienie. Nie zawsze bowiem pracując w obrębie konsoli otrzymujemy komunikat poprzedzający skuteczne skasowanie
Czy Ty lub Twój zespół jesteście zagrzebani w alarmach i zdarzeniach z narzędzi monitorujących? Spędzasz wiele godzin zastanawiając się, co się stanie, jeśli aplikacja biznesowa będzie niedostępna przez długi czas i jak szybko znajdziesz punkt awarii? Szukasz
W dzisiejszych czasach wiele firm, a może nawet większość, korzysta z różnych systemów monitorowania infrastruktury. Mowa o monitorowaniu systemów, aplikacji oraz urządzeń sieciowych. W wielu przypadkach, systemy te mają już ponad dekadę rozwoju. Weźmy np. Microsoft SCOM,
Podczas wdrażania usług Skype dla Firm na urządzeniach przenośnych, laptopach lub jakichkolwiek innych urządzeniach mobilnych poza siecią firmową, należy zwrócić szczególną uwagę na usługi uwierzytelniania oraz sposób publikacji usługi Skype dla Firm w Internecie.
Attention IT Security Managers. Call to action! We are pleased to invite you to learn about the market leading Skype for Business security and compliance solution – SphereShield. The seminar
Na świecie jest wiele rozwiązań bezpieczeństwa, zarówno dla całych systemów, jak również dla bardzo wyszukanych, wąskich dziedzin. Poniżej opisujemy rozwiązanie chroniące usługi Skype dla Firm oraz Active Directory Federation Services (ADFS) między
ISCG od lat zajmuje się budowaniem polityk bezpieczeństwa, analizą ryzyka, audytami bezpieczeństwa systemów. Obsługujemy instytucje wojskowe, ministerstwa, banki, korporacje i firmy przemysłowe. Wychodząc naprzeciw nowym regulacjom prawnym, pragniemy zachować bezpieczeństwo informacji i systemów,
W poprzedniej części raportu opisywaliśmy typy podatności, a także przedstawiliśmy wybrane liczby i dane dotyczące ilości podatności z podziałem na producentów, rankingiem zagrożeń oraz najczęstszymi wektorami ataku. W części drugiej skupimy się na tematyce aktualizacji oprogramowania, opiszemy podatności
Aktualizacje oprogramowania i systemów już od ponad dekady są jednym z głównych punktów, na które zwraca się uwagę przy wstępnym zabezpieczeniu systemów. Microsoft w latach 2001-2003 uruchomił zaawansowane mechanizmy zabezpieczenia własnych systemów. To wtedy pojawiły się
Hakerzy bardzo lubią konta uprzywilejowane. Mogą to być konta usług wymagających wyższych uprawnień, administratorów lokalnych czy wreszcie domeny. Jak tylko uzyskają do nich dostęp, mogą eskalować poziom zniszczeń poprzez nadawanie sobie dodatkowych uprawnień w systemie.
Wielokrotnie podczas działania sekwencji zadań (Task Sequence) przydałoby się, aby potrzebne oprogramowanie „już było” na dysku lokalnym. Obecnie można to osiągnąć bez większej trudności, gdyż pojawiło się nowe polecenie „Download Package Content”, dostępne w edytorze
ISCG organizuje serię warsztatów Windows 10 Security dla małych, średnich i dużych przedsiębiorstw. Bazując na wieloletnim doświadczeniu i wiedzy naszego eksperta w tej dziedzinie, przekazujemy praktyczną wiedzę, istotne informacje i kluczowe rozwiązania. Jakie korzyści
Rok 2017 zostanie zapamiętany jako jeden z przełomowych w naszych dziejach. Ataki Ransomware siały spustoszenie w firmach na całym świecie, pokazując niedoskonałość systemów zabezpieczeń. Przypuszcza się, że hakerzy mieli także wpływ na wyniki wyborów w niektórych krajach,
Nowe zasady ochrony danych osobowych, które zaczną obowiązywać od 25 maja 2018 r. pozwolą nam wszystkim zwiększyć kontrolę nad przetwarzaniem naszych danych. Jednolity zestaw zasad będzie obowiązywał wszystkie firmy prowadzące działalność na terenie
Działy HR są niezastąpionym elementem spajającym wszystkie procesy i komunikację w każdej firmie. Według badań Nintex (www.nintex.com) szacuje się, że ponad 50% czasu codziennej pracy działów HR jest poświęcana na procesowanie informacji dotyczących pracowników
Dobrze przygotowany program zarządzania kontami uprzywilejowanymi (Privileged Account Security – PAS) powinien zawierać procedury rozpoznawania zagrożeń oraz opisy najczęściej stosowanych metod ataków i włamań do systemów. Przy budowie takiego programu warto odpowiedzieć sobie
Temat prywatności i poufności danych to nieodzowny element dyskusji rządów z obywatelami. Nie tylko rządy nie dotrzymują obietnic przestrzegania zasad bezpieczeństwa przetwarzania naszych danych ale my – użytkownicy – także nie jesteśmy wystarczająco świadomi, aby skutecznie chronić
Zapraszamy na kolejne organizowane przez ISCG warsztaty już 21 marca 2018 r. w siedzibie naszej firmy. Tym razem ukażemy jak za pomocą różnych rozwiązań zabezpieczać stacje robocze, serwery, całe centrum danych czy sieć. Nie będzie nudy!
Większość producentów w tym Microsoft zaleca organizacjom stosowanie proaktywnego podejścia do zarządzania ryzykiem i aktywnego zwiększania posiadanych warstw zabezpieczeń. Jako podstawowy sposób ochrony punktów końcowych, producent rekomenduje przyjęcie polityki najmniejszych uprawnień: „Wszyscy użytkownicy
Podczas Konferencji Black Hat 2017, która odbyła się w dniach 25-27 czerwca 2017r. w Las Vegas przeprowadzono ankietę wśród ponad 250 uczestników konferencji, którymi byli…hakerzy na temat bezpieczeństwa. Wyniki badania jasno pokazują: sami (świadomie
Już niedługo czekają nas istotne zmiany w polskim porządku prawnym. Głośne w ostatnim czasie określenie RODO (Rozporządzenie Ogólne o Ochronie Danych Osobowych), którym jesteśmy zasypywani w mediach, to polski akronim nowego europejskiego Rozporządzenia Parlamentu Europejskiego i Rady
Gdy trzeba zainstalować system kliencki za pomocą Configuration Manager-a na nowym sprzęcie nieraz okazuje się, że brakuje obsługi karty sieciowej. Wtedy dość oczywistym rozwiązaniem wydaje się być „mobilna karta sieciowa” czyli podłączana z zewnątrz poprzez
Monitorując urządzenia (np. drukarki) za pomocą SNMP możemy uzyskać czas pracy urządzenia mierzony w „timeticks”. Kogo jednak interesuje czas pracy mierzony w setnych częściach sekundy (bo tak zdefiniowana jest w tym przypadku jednostka miary czasu)? Na ogół
Właśnie przetoczyła się fala informacji związanych z błędami w architekturze procesorów Intel i AMD. Rok 2017 zapiszemy w pamięci jako rok o najwyższym poziomie zagrożeń względem bezpieczeństwa w IT. Wykorzystując pozytywny moment związany z Walentynkami chcemy ten
Nowy skaner Barracuda wykrywa zaawansowane zagrożenia, które przekroczyły granicę zabezpieczeń w Twojej poczcie i znajdują się w Twoim Office365, w poczcie Exchange (Cloud) oraz w Exchange lokalnie (OnPremise). W dzisiejszym świecie każda skrzynka pocztowa jest celem spamu,
7 zabójczo uprzywilejowanych kont: odkryj → zabezpiecz → zarządzaj.
Konta uprzywilejowane i uprzywilejowany dostęp są dziś sercem biznesu każdej firmy. Zapewniają zespołowi IT możliwość administrowania i zarządzania systemami organizacji, infrastrukturą
i oprogramowaniem, a pracownikom dostęp do danych, które umożliwiają im podejmowanie kluczowych decyzji biznesowych.
Konta uprzywilejowane są także najczęstszym celem hakerów i cyberprzestępców. Pozwalają im na swobodne i niewykrywalne poruszanie się po sieci, uzyskiwanie dostępu do krytycznych systemów i poufnych danych. Konta uprzywilejowane umożliwiają wprowadzanie zmian w konfiguracji systemu i oprogramowania, wykonywanie zadań administracyjnych, tworzenie i modyfikowanie kont użytkowników, instalowanie oprogramowania, tworzenie kopii zapasowych danych, aktualizowanie zabezpieczeń i poprawek, włączanie interaktywnych logowań i oczywiście uzyskiwanie dostępu do wrażliwych danych. Wszystkie te działania mają kluczowe znaczenie dla funkcjonowania firmy, utrzymania systemów i oprogramowania w ruchu.
Nie zakładaj, że konta uprzywilejowane są bezpośrednio dostosowane do ról pracowników
Konta uprzywilejowane są zazwyczaj ograniczone do ról pracowników w firmie, ale czasami mogą być mapowane na konta użytkowników niezależnie od ich roli. Dlatego założenie, że konta uprzywilejowane są bezpośrednio dostosowane do zadań pracowników to duży błąd. Konta uprzywilejowane mogą być używane przez wiele różnych podmiotów, na przykład: administratorów IT, zespoły bezpieczeństwa, pracowników działu pomocy technicznej, zewnętrznych wykonawców, właścicieli aplikacji, administratorów baz danych, a także systemy operacyjne i konta usług.
Konta uprzywilejowane można znaleźć w całej infrastrukturze organizacji, niezależnie od ich fizycznej lokalizacji – czy to w siedzibie firmy, czy to w chmurze, czy poprzez aplikacje SaaS. Typowe lokalizacje kont uprzywilejowanych to domyślne poświadczenia na serwerach, punktach końcowych
i systemach operacyjnych. Można je również znaleźć w środowiskach wirtualnych, oprogramowaniu, środowiskach chmurowych, bazach danych, kontach usług i większości aplikacji. To tylko kilka przykładów. Pokazuje to jednak, że konta uprzywilejowane można znaleźć praktycznie wszędzie,
a organizacja ma ich często nawet pięć razy więcej niż systemów.
Wiele organizacji boryka się z problemem zmęczenia cybernetycznego – stanu przytłoczenia przez obowiązki związane z zabezpieczeniem, czyli ogromną liczbą haseł i poświadczeń, które pracownicy muszą utrzymywać i pamiętać. Jest to poważny problem w całej firmie i wpływa nie tylko na zespół IT, ale także na zespół odpowiadający za bezpieczeństwo i wszystkich pracowników, którzy potrzebują dostępu do wielu systemów i aplikacji.
Brak aktualizacji stanu uprzywilejowanych kont spowodowało straty finansowe wielu organizacji
Oprócz zmęczenia cybernetycznego firmy stoją przed wyzwaniem bieżącego utrzymania uprzywilejowanego dostępu, zwłaszcza gdy zmieniają się role pracowników lub gdy opuszczają oni organizację. Naruszenie i nadużycie kont uprzywilejowanych naraziło już wiele organizacji na ogromne straty. Wyzwanie stanowi także zabezpieczenie kont usług, ponieważ w przeszłości konfigurowano je za pomocą hasła statycznego, które nie wygasa i nigdy się nie zmienia.
W odpowiedzi na te wyzwania prezentujemy „7 zabójczo uprzywilejowanych kont”, które wszystkie organizacje powinny odkryć, odpowiednio zabezpieczyć oraz zarządzać nimi tak, aby zmniejszyć ryzyko związane z bezpieczeństwem ich działalności.
Konto, z poziomu którego można zrobić prawie wszystko. Konto administratora domeny ma pełny dostęp i kontrolę nad domeną AD. Ta grupa jest domyślnie członkiem grupy Administratorzy na wszystkich kontrolerach domeny, wszystkich stacjach roboczych domeny i wszystkich serwerach członkowskich w momencie dołączenia do domeny. Domyślnie konto administratora jest członkiem tej grupy. Ponieważ grupa ma pełną kontrolę w domenie, zawsze dodawaj użytkowników ze szczególną ostrożnością, pełnym audytem i uwierzytelnieniem. [1]
Konta te powinny być jak najbardziej ograniczone: dostęp i korzystanie z tych kont musi być udzielane wyłącznie na zasadzie żądania z dodatkowymi uwierzytelnieniami w celu zapobieżenia nieuprawnionemu użyciu. Wszystkie ich działania powinny być w pełni kontrolowane i monitorowane.
Konta te łączą wiele systemów i aplikacji, dzięki czemu mogą komunikować się i uzyskiwać dostęp do potrzebnych zasobów, zazwyczaj do uruchamiania raportów, uzyskiwania dostępu do baz danych lub wywoływania interfejsów API. Konta te wydają się być problematyczne, zwłaszcza przy zmianie hasła, które w niemal wszystkich sytuacjach powoduje zerwanie aplikacji do momentu zsynchronizowania w środowisku. Te trudne i przerażające chwile wynikają z przyjętej w organizacjach zasady „nie dotykaj tego hasła” lub szczegółowych procesów dotyczących ich obsługi. Konta te są zwykle używane do tworzenia kopii zapasowych, rozwiązań analitycznych, wdrażania oprogramowania i aktualizacji poprawek zabezpieczeń.
Czasami nazywane „zapomnianym kontem uprzywilejowanym”, czyli tym, do którego wiele firm udziela dostępu wszystkim pracownikom. To właśnie w nie wszyscy cyberprzestępcy celują, aby ocenić bezpieczeństwo i poziom ochrony organizacji. To główny winowajca nadmiernie uprzywilejowanych kont pracowników.
Domyślnym lokalnym kontem administratora jest konto użytkownika dla administratora systemu. Każdy komputer ma konto administratora (SID S-1-5-domena-500, nazwa wyświetlana: Administrator), jest ono pierwszym kontem tworzonym podczas instalacji dla wszystkich systemów operacyjnych Windows Server i klienta Windows.
W systemach operacyjnych Windows Server konto Administrator daje użytkownikowi pełny dostęp do plików, katalogów, usług i innych zasobów, będących pod kontrolą lokalnego serwera. Konto Administrator może być używane do tworzenia lokalnych użytkowników, przypisywania uprawnień użytkownika oraz uprawnień kontroli dostępu. Konto administratora można również wykorzystać do przejęcia kontroli nad lokalnymi zasobami w dowolnym momencie, po prostu zmieniając prawa użytkownika i uprawnienia.
Domyślne konto administratora nie może zostać usunięte lub zablokowane, ale można je zmienić lub dezaktywować. [2]
Konta te są zazwyczaj domyślnie wyłączone do czasu krytycznego zdarzenia. Po jego wystąpieniu określeni użytkownicy muszą mieć uprzywilejowany dostęp do przywracania systemów, usług lub nawet reagowania na incydenty bezpieczeństwa. Są one używane tylko w sytuacjach awaryjnych, gdy normalne usługi nie są dostępne. Przykładowo, podczas incydentu cyberprzestępstwa, są one wykorzystywane do uzyskania dostępu do systemów w celu przeprowadzenia cyfrowej ekspertyzy i zredukowania zanieczyszczenia dowodów z rejestru logów. Mogą być również używane do ograniczania ciągłego nadużywania zagrożonych kont.
Konta usług są zwykle używane w systemach operacyjnych do uruchamiania aplikacji lub programów, zarówno w kontekście kont systemowych (konta o wysokim uprzywilejowaniu bez hasła), jak i określonego konta użytkownika (zwykle tworzonego ręcznie lub podczas instalacji oprogramowania). W systemach Unix i Linux często są znane jako ‘init’ lub ‘inetd’ i również mogą uruchamiać programy. Konta usług zwykle nie mogą logować się do systemów, jednak najczęściej zabezpiecza je nigdy nie zmieniane hasło. Co więcej, konta te nie wygasają. Konta serwisowe są często nadużywane przez cyberprzestępców, którzy łamią je i uruchamiają własne pliki binarne na podwyższonych uprawnieniach, zapewniających im dostęp zdalny.
Konta aplikacji są rutynowo używane do zapewnienia aplikacji dostępu do wymaganych zasobów, takich jak bazy danych, sieci, zautomatyzowane zadania (np. wdrażanie oprogramowania), automatyczne aktualizacje i możliwości wprowadzania zmian w konfiguracji. Konta te zazwyczaj przechowują hasła w plikach konfiguracyjnych, czasem dla uzyskania niezbędnego dostępu używają kont lokalnych lub usługowych. Konta aplikacji są również częstym celem cyberprzestępców, ponieważ mogą być łatwo naruszone przy użyciu znanych luk, które umożliwiają atakującym uzyskanie zdalnego dostępu, zmodyfikowanie binarów systemu lub podniesienie standardowych kont do uprzywilejowanych, umożliwiające im poruszanie się po sieci. Większość organizacji nie potrafi poprawnie „łatać” aplikacji, więc atakujący mogą nadużywać tych luk zbyt często.
Jest to prawdopodobnie najbardziej niebezpieczny uprzywilejowany dostęp ze wszystkich. Tak, to konto jest standardowym kontem użytkownika, ale ma DOSTĘP do WRAŻLIWYCH, PRYWATNYCH DANYCH. Pomyśl o lekarzu, który ma dostęp do danych pacjenta lub księgowym, który ma dostęp do sprawozdań finansowych. To zwykłe konta użytkownika, ale chodzi o to do czego mają dostęp. Konta użytkowników uprzywilejowanych danych często nie są monitorowane lub zabezpieczone, jak konta uprzywilejowane, a bezpieczeństwo koncentruje się na aplikacji, w której dane są przechowywane, choć nie zawsze. Firmy powinny przeprowadzać ocenę ryzyka danych, aby wykryć uprzywilejowane dane i zabezpieczyć WSZYSTKIE standardowe konta, które mają dostęp do poufnych danych.
To tylko niektóre z uprzywilejowanych kont, których zabezpieczenie organizacje powinny traktować priorytetowo, aby zmniejszyć ryzyko ich naruszenia i nadużycia.
Inne konta uprzywilejowane to:
– Konta root
– Konta używane do uzyskiwania dostępu do rozwiązań bezpieczeństwa
– Konta Wi-Fi
– Konta sprzętowe, takie jak BIOS i vPro
– Uprzywilejowane konta użytkowników
– Sprzęt sieciowy
– Konta zapory
– Współdzielone konta uprzywilejowane
Chcesz dowiedzieć się więcej o zabezpieczaniu kont uprzywilejowanych? Skontaktuj się z nami!
Źródło: https://thycotic.com/company/blog/2019/03/26/top-7-deadly-privileged-accounts/?utm_medium=Organic-Social&utm_source=linkedin&utm_campaign=7-deadly-privileged-acccounts&utm_content=32519&utm_term=32519_7-deadly-privileged-acccounts
7 zabójczo uprzywilejowanych kont: odkryj → zabezpiecz → zarządzaj.
Konta uprzywilejowane i uprzywilejowany dostęp są dziś sercem biznesu każdej firmy. Zapewniają zespołowi IT możliwość administrowania i zarządzania systemami organizacji, infrastrukturą
i oprogramowaniem, a pracownikom dostęp do danych, które umożliwiają im podejmowanie kluczowych decyzji biznesowych.
Konta uprzywilejowane są także najczęstszym celem hakerów i cyberprzestępców. Pozwalają im na swobodne i niewykrywalne poruszanie się po sieci, uzyskiwanie dostępu do krytycznych systemów i poufnych danych. Konta uprzywilejowane umożliwiają wprowadzanie zmian w konfiguracji systemu i oprogramowania, wykonywanie zadań administracyjnych, tworzenie i modyfikowanie kont użytkowników, instalowanie oprogramowania, tworzenie kopii zapasowych danych, aktualizowanie zabezpieczeń i poprawek, włączanie interaktywnych logowań i oczywiście uzyskiwanie dostępu do wrażliwych danych. Wszystkie te działania mają kluczowe znaczenie dla funkcjonowania firmy, utrzymania systemów i oprogramowania w ruchu.
Nie zakładaj, że konta uprzywilejowane są bezpośrednio dostosowane do ról pracowników
Konta uprzywilejowane są zazwyczaj ograniczone do ról pracowników w firmie, ale czasami mogą być mapowane na konta użytkowników niezależnie od ich roli. Dlatego założenie, że konta uprzywilejowane są bezpośrednio dostosowane do zadań pracowników to duży błąd. Konta uprzywilejowane mogą być używane przez wiele różnych podmiotów, na przykład: administratorów IT, zespoły bezpieczeństwa, pracowników działu pomocy technicznej, zewnętrznych wykonawców, właścicieli aplikacji, administratorów baz danych, a także systemy operacyjne i konta usług.
Konta uprzywilejowane można znaleźć w całej infrastrukturze organizacji, niezależnie od ich fizycznej lokalizacji – czy to w siedzibie firmy, czy to w chmurze, czy poprzez aplikacje SaaS. Typowe lokalizacje kont uprzywilejowanych to domyślne poświadczenia na serwerach, punktach końcowych
i systemach operacyjnych. Można je również znaleźć w środowiskach wirtualnych, oprogramowaniu, środowiskach chmurowych, bazach danych, kontach usług i większości aplikacji. To tylko kilka przykładów. Pokazuje to jednak, że konta uprzywilejowane można znaleźć praktycznie wszędzie,
a organizacja ma ich często nawet pięć razy więcej niż systemów.
Wiele organizacji boryka się z problemem zmęczenia cybernetycznego – stanu przytłoczenia przez obowiązki związane z zabezpieczeniem, czyli ogromną liczbą haseł i poświadczeń, które pracownicy muszą utrzymywać i pamiętać. Jest to poważny problem w całej firmie i wpływa nie tylko na zespół IT, ale także na zespół odpowiadający za bezpieczeństwo i wszystkich pracowników, którzy potrzebują dostępu do wielu systemów i aplikacji.
Brak aktualizacji stanu uprzywilejowanych kont spowodowało straty finansowe wielu organizacji
Oprócz zmęczenia cybernetycznego firmy stoją przed wyzwaniem bieżącego utrzymania uprzywilejowanego dostępu, zwłaszcza gdy zmieniają się role pracowników lub gdy opuszczają oni organizację. Naruszenie i nadużycie kont uprzywilejowanych naraziło już wiele organizacji na ogromne straty. Wyzwanie stanowi także zabezpieczenie kont usług, ponieważ w przeszłości konfigurowano je za pomocą hasła statycznego, które nie wygasa i nigdy się nie zmienia.
W odpowiedzi na te wyzwania prezentujemy „7 zabójczo uprzywilejowanych kont”, które wszystkie organizacje powinny odkryć, odpowiednio zabezpieczyć oraz zarządzać nimi tak, aby zmniejszyć ryzyko związane z bezpieczeństwem ich działalności.
Konto, z poziomu którego można zrobić prawie wszystko. Konto administratora domeny ma pełny dostęp i kontrolę nad domeną AD. Ta grupa jest domyślnie członkiem grupy Administratorzy na wszystkich kontrolerach domeny, wszystkich stacjach roboczych domeny i wszystkich serwerach członkowskich w momencie dołączenia do domeny. Domyślnie konto administratora jest członkiem tej grupy. Ponieważ grupa ma pełną kontrolę w domenie, zawsze dodawaj użytkowników ze szczególną ostrożnością, pełnym audytem i uwierzytelnieniem. [1]
Konta te powinny być jak najbardziej ograniczone: dostęp i korzystanie z tych kont musi być udzielane wyłącznie na zasadzie żądania z dodatkowymi uwierzytelnieniami w celu zapobieżenia nieuprawnionemu użyciu. Wszystkie ich działania powinny być w pełni kontrolowane i monitorowane.
Konta te łączą wiele systemów i aplikacji, dzięki czemu mogą komunikować się i uzyskiwać dostęp do potrzebnych zasobów, zazwyczaj do uruchamiania raportów, uzyskiwania dostępu do baz danych lub wywoływania interfejsów API. Konta te wydają się być problematyczne, zwłaszcza przy zmianie hasła, które w niemal wszystkich sytuacjach powoduje zerwanie aplikacji do momentu zsynchronizowania w środowisku. Te trudne i przerażające chwile wynikają z przyjętej w organizacjach zasady „nie dotykaj tego hasła” lub szczegółowych procesów dotyczących ich obsługi. Konta te są zwykle używane do tworzenia kopii zapasowych, rozwiązań analitycznych, wdrażania oprogramowania i aktualizacji poprawek zabezpieczeń.
Czasami nazywane „zapomnianym kontem uprzywilejowanym”, czyli tym, do którego wiele firm udziela dostępu wszystkim pracownikom. To właśnie w nie wszyscy cyberprzestępcy celują, aby ocenić bezpieczeństwo i poziom ochrony organizacji. To główny winowajca nadmiernie uprzywilejowanych kont pracowników.
Domyślnym lokalnym kontem administratora jest konto użytkownika dla administratora systemu. Każdy komputer ma konto administratora (SID S-1-5-domena-500, nazwa wyświetlana: Administrator), jest ono pierwszym kontem tworzonym podczas instalacji dla wszystkich systemów operacyjnych Windows Server i klienta Windows.
W systemach operacyjnych Windows Server konto Administrator daje użytkownikowi pełny dostęp do plików, katalogów, usług i innych zasobów, będących pod kontrolą lokalnego serwera. Konto Administrator może być używane do tworzenia lokalnych użytkowników, przypisywania uprawnień użytkownika oraz uprawnień kontroli dostępu. Konto administratora można również wykorzystać do przejęcia kontroli nad lokalnymi zasobami w dowolnym momencie, po prostu zmieniając prawa użytkownika i uprawnienia.
Domyślne konto administratora nie może zostać usunięte lub zablokowane, ale można je zmienić lub dezaktywować. [2]
Konta te są zazwyczaj domyślnie wyłączone do czasu krytycznego zdarzenia. Po jego wystąpieniu określeni użytkownicy muszą mieć uprzywilejowany dostęp do przywracania systemów, usług lub nawet reagowania na incydenty bezpieczeństwa. Są one używane tylko w sytuacjach awaryjnych, gdy normalne usługi nie są dostępne. Przykładowo, podczas incydentu cyberprzestępstwa, są one wykorzystywane do uzyskania dostępu do systemów w celu przeprowadzenia cyfrowej ekspertyzy i zredukowania zanieczyszczenia dowodów z rejestru logów. Mogą być również używane do ograniczania ciągłego nadużywania zagrożonych kont.
Konta usług są zwykle używane w systemach operacyjnych do uruchamiania aplikacji lub programów, zarówno w kontekście kont systemowych (konta o wysokim uprzywilejowaniu bez hasła), jak i określonego konta użytkownika (zwykle tworzonego ręcznie lub podczas instalacji oprogramowania). W systemach Unix i Linux często są znane jako ‘init’ lub ‘inetd’ i również mogą uruchamiać programy. Konta usług zwykle nie mogą logować się do systemów, jednak najczęściej zabezpiecza je nigdy nie zmieniane hasło. Co więcej, konta te nie wygasają. Konta serwisowe są często nadużywane przez cyberprzestępców, którzy łamią je i uruchamiają własne pliki binarne na podwyższonych uprawnieniach, zapewniających im dostęp zdalny.
Konta aplikacji są rutynowo używane do zapewnienia aplikacji dostępu do wymaganych zasobów, takich jak bazy danych, sieci, zautomatyzowane zadania (np. wdrażanie oprogramowania), automatyczne aktualizacje i możliwości wprowadzania zmian w konfiguracji. Konta te zazwyczaj przechowują hasła w plikach konfiguracyjnych, czasem dla uzyskania niezbędnego dostępu używają kont lokalnych lub usługowych. Konta aplikacji są również częstym celem cyberprzestępców, ponieważ mogą być łatwo naruszone przy użyciu znanych luk, które umożliwiają atakującym uzyskanie zdalnego dostępu, zmodyfikowanie binarów systemu lub podniesienie standardowych kont do uprzywilejowanych, umożliwiające im poruszanie się po sieci. Większość organizacji nie potrafi poprawnie „łatać” aplikacji, więc atakujący mogą nadużywać tych luk zbyt często.
Jest to prawdopodobnie najbardziej niebezpieczny uprzywilejowany dostęp ze wszystkich. Tak, to konto jest standardowym kontem użytkownika, ale ma DOSTĘP do WRAŻLIWYCH, PRYWATNYCH DANYCH. Pomyśl o lekarzu, który ma dostęp do danych pacjenta lub księgowym, który ma dostęp do sprawozdań finansowych. To zwykłe konta użytkownika, ale chodzi o to do czego mają dostęp. Konta użytkowników uprzywilejowanych danych często nie są monitorowane lub zabezpieczone, jak konta uprzywilejowane, a bezpieczeństwo koncentruje się na aplikacji, w której dane są przechowywane, choć nie zawsze. Firmy powinny przeprowadzać ocenę ryzyka danych, aby wykryć uprzywilejowane dane i zabezpieczyć WSZYSTKIE standardowe konta, które mają dostęp do poufnych danych.
To tylko niektóre z uprzywilejowanych kont, których zabezpieczenie organizacje powinny traktować priorytetowo, aby zmniejszyć ryzyko ich naruszenia i nadużycia.
Inne konta uprzywilejowane to:
– Konta root
– Konta używane do uzyskiwania dostępu do rozwiązań bezpieczeństwa
– Konta Wi-Fi
– Konta sprzętowe, takie jak BIOS i vPro
– Uprzywilejowane konta użytkowników
– Sprzęt sieciowy
– Konta zapory
– Współdzielone konta uprzywilejowane
Chcesz dowiedzieć się więcej o zabezpieczaniu kont uprzywilejowanych? Skontaktuj się z nami!
Źródło: https://thycotic.com/company/blog/2019/03/26/top-7-deadly-privileged-accounts/?utm_medium=Organic-Social&utm_source=linkedin&utm_campaign=7-deadly-privileged-acccounts&utm_content=32519&utm_term=32519_7-deadly-privileged-acccounts
7 zabójczo uprzywilejowanych kont: odkryj → zabezpiecz → zarządzaj.
Konta uprzywilejowane i uprzywilejowany dostęp są dziś sercem biznesu każdej firmy. Zapewniają zespołowi IT możliwość administrowania i zarządzania systemami organizacji, infrastrukturą
i oprogramowaniem, a pracownikom dostęp do danych, które umożliwiają im podejmowanie kluczowych decyzji biznesowych.
Konta uprzywilejowane są także najczęstszym celem hakerów i cyberprzestępców. Pozwalają im na swobodne i niewykrywalne poruszanie się po sieci, uzyskiwanie dostępu do krytycznych systemów i poufnych danych. Konta uprzywilejowane umożliwiają wprowadzanie zmian w konfiguracji systemu i oprogramowania, wykonywanie zadań administracyjnych, tworzenie i modyfikowanie kont użytkowników, instalowanie oprogramowania, tworzenie kopii zapasowych danych, aktualizowanie zabezpieczeń i poprawek, włączanie interaktywnych logowań i oczywiście uzyskiwanie dostępu do wrażliwych danych. Wszystkie te działania mają kluczowe znaczenie dla funkcjonowania firmy, utrzymania systemów i oprogramowania w ruchu.
Nie zakładaj, że konta uprzywilejowane są bezpośrednio dostosowane do ról pracowników
Konta uprzywilejowane są zazwyczaj ograniczone do ról pracowników w firmie, ale czasami mogą być mapowane na konta użytkowników niezależnie od ich roli. Dlatego założenie, że konta uprzywilejowane są bezpośrednio dostosowane do zadań pracowników to duży błąd. Konta uprzywilejowane mogą być używane przez wiele różnych podmiotów, na przykład: administratorów IT, zespoły bezpieczeństwa, pracowników działu pomocy technicznej, zewnętrznych wykonawców, właścicieli aplikacji, administratorów baz danych, a także systemy operacyjne i konta usług.
Konta uprzywilejowane można znaleźć w całej infrastrukturze organizacji, niezależnie od ich fizycznej lokalizacji – czy to w siedzibie firmy, czy to w chmurze, czy poprzez aplikacje SaaS. Typowe lokalizacje kont uprzywilejowanych to domyślne poświadczenia na serwerach, punktach końcowych
i systemach operacyjnych. Można je również znaleźć w środowiskach wirtualnych, oprogramowaniu, środowiskach chmurowych, bazach danych, kontach usług i większości aplikacji. To tylko kilka przykładów. Pokazuje to jednak, że konta uprzywilejowane można znaleźć praktycznie wszędzie,
a organizacja ma ich często nawet pięć razy więcej niż systemów.
Wiele organizacji boryka się z problemem zmęczenia cybernetycznego – stanu przytłoczenia przez obowiązki związane z zabezpieczeniem, czyli ogromną liczbą haseł i poświadczeń, które pracownicy muszą utrzymywać i pamiętać. Jest to poważny problem w całej firmie i wpływa nie tylko na zespół IT, ale także na zespół odpowiadający za bezpieczeństwo i wszystkich pracowników, którzy potrzebują dostępu do wielu systemów i aplikacji.
Brak aktualizacji stanu uprzywilejowanych kont spowodowało straty finansowe wielu organizacji
Oprócz zmęczenia cybernetycznego firmy stoją przed wyzwaniem bieżącego utrzymania uprzywilejowanego dostępu, zwłaszcza gdy zmieniają się role pracowników lub gdy opuszczają oni organizację. Naruszenie i nadużycie kont uprzywilejowanych naraziło już wiele organizacji na ogromne straty. Wyzwanie stanowi także zabezpieczenie kont usług, ponieważ w przeszłości konfigurowano je za pomocą hasła statycznego, które nie wygasa i nigdy się nie zmienia.
W odpowiedzi na te wyzwania prezentujemy „7 zabójczo uprzywilejowanych kont”, które wszystkie organizacje powinny odkryć, odpowiednio zabezpieczyć oraz zarządzać nimi tak, aby zmniejszyć ryzyko związane z bezpieczeństwem ich działalności.
Konto, z poziomu którego można zrobić prawie wszystko. Konto administratora domeny ma pełny dostęp i kontrolę nad domeną AD. Ta grupa jest domyślnie członkiem grupy Administratorzy na wszystkich kontrolerach domeny, wszystkich stacjach roboczych domeny i wszystkich serwerach członkowskich w momencie dołączenia do domeny. Domyślnie konto administratora jest członkiem tej grupy. Ponieważ grupa ma pełną kontrolę w domenie, zawsze dodawaj użytkowników ze szczególną ostrożnością, pełnym audytem i uwierzytelnieniem. [1]
Konta te powinny być jak najbardziej ograniczone: dostęp i korzystanie z tych kont musi być udzielane wyłącznie na zasadzie żądania z dodatkowymi uwierzytelnieniami w celu zapobieżenia nieuprawnionemu użyciu. Wszystkie ich działania powinny być w pełni kontrolowane i monitorowane.
Konta te łączą wiele systemów i aplikacji, dzięki czemu mogą komunikować się i uzyskiwać dostęp do potrzebnych zasobów, zazwyczaj do uruchamiania raportów, uzyskiwania dostępu do baz danych lub wywoływania interfejsów API. Konta te wydają się być problematyczne, zwłaszcza przy zmianie hasła, które w niemal wszystkich sytuacjach powoduje zerwanie aplikacji do momentu zsynchronizowania w środowisku. Te trudne i przerażające chwile wynikają z przyjętej w organizacjach zasady „nie dotykaj tego hasła” lub szczegółowych procesów dotyczących ich obsługi. Konta te są zwykle używane do tworzenia kopii zapasowych, rozwiązań analitycznych, wdrażania oprogramowania i aktualizacji poprawek zabezpieczeń.
Czasami nazywane „zapomnianym kontem uprzywilejowanym”, czyli tym, do którego wiele firm udziela dostępu wszystkim pracownikom. To właśnie w nie wszyscy cyberprzestępcy celują, aby ocenić bezpieczeństwo i poziom ochrony organizacji. To główny winowajca nadmiernie uprzywilejowanych kont pracowników.
Domyślnym lokalnym kontem administratora jest konto użytkownika dla administratora systemu. Każdy komputer ma konto administratora (SID S-1-5-domena-500, nazwa wyświetlana: Administrator), jest ono pierwszym kontem tworzonym podczas instalacji dla wszystkich systemów operacyjnych Windows Server i klienta Windows.
W systemach operacyjnych Windows Server konto Administrator daje użytkownikowi pełny dostęp do plików, katalogów, usług i innych zasobów, będących pod kontrolą lokalnego serwera. Konto Administrator może być używane do tworzenia lokalnych użytkowników, przypisywania uprawnień użytkownika oraz uprawnień kontroli dostępu. Konto administratora można również wykorzystać do przejęcia kontroli nad lokalnymi zasobami w dowolnym momencie, po prostu zmieniając prawa użytkownika i uprawnienia.
Domyślne konto administratora nie może zostać usunięte lub zablokowane, ale można je zmienić lub dezaktywować. [2]
Konta te są zazwyczaj domyślnie wyłączone do czasu krytycznego zdarzenia. Po jego wystąpieniu określeni użytkownicy muszą mieć uprzywilejowany dostęp do przywracania systemów, usług lub nawet reagowania na incydenty bezpieczeństwa. Są one używane tylko w sytuacjach awaryjnych, gdy normalne usługi nie są dostępne. Przykładowo, podczas incydentu cyberprzestępstwa, są one wykorzystywane do uzyskania dostępu do systemów w celu przeprowadzenia cyfrowej ekspertyzy i zredukowania zanieczyszczenia dowodów z rejestru logów. Mogą być również używane do ograniczania ciągłego nadużywania zagrożonych kont.
Konta usług są zwykle używane w systemach operacyjnych do uruchamiania aplikacji lub programów, zarówno w kontekście kont systemowych (konta o wysokim uprzywilejowaniu bez hasła), jak i określonego konta użytkownika (zwykle tworzonego ręcznie lub podczas instalacji oprogramowania). W systemach Unix i Linux często są znane jako ‘init’ lub ‘inetd’ i również mogą uruchamiać programy. Konta usług zwykle nie mogą logować się do systemów, jednak najczęściej zabezpiecza je nigdy nie zmieniane hasło. Co więcej, konta te nie wygasają. Konta serwisowe są często nadużywane przez cyberprzestępców, którzy łamią je i uruchamiają własne pliki binarne na podwyższonych uprawnieniach, zapewniających im dostęp zdalny.
Konta aplikacji są rutynowo używane do zapewnienia aplikacji dostępu do wymaganych zasobów, takich jak bazy danych, sieci, zautomatyzowane zadania (np. wdrażanie oprogramowania), automatyczne aktualizacje i możliwości wprowadzania zmian w konfiguracji. Konta te zazwyczaj przechowują hasła w plikach konfiguracyjnych, czasem dla uzyskania niezbędnego dostępu używają kont lokalnych lub usługowych. Konta aplikacji są również częstym celem cyberprzestępców, ponieważ mogą być łatwo naruszone przy użyciu znanych luk, które umożliwiają atakującym uzyskanie zdalnego dostępu, zmodyfikowanie binarów systemu lub podniesienie standardowych kont do uprzywilejowanych, umożliwiające im poruszanie się po sieci. Większość organizacji nie potrafi poprawnie „łatać” aplikacji, więc atakujący mogą nadużywać tych luk zbyt często.
Jest to prawdopodobnie najbardziej niebezpieczny uprzywilejowany dostęp ze wszystkich. Tak, to konto jest standardowym kontem użytkownika, ale ma DOSTĘP do WRAŻLIWYCH, PRYWATNYCH DANYCH. Pomyśl o lekarzu, który ma dostęp do danych pacjenta lub księgowym, który ma dostęp do sprawozdań finansowych. To zwykłe konta użytkownika, ale chodzi o to do czego mają dostęp. Konta użytkowników uprzywilejowanych danych często nie są monitorowane lub zabezpieczone, jak konta uprzywilejowane, a bezpieczeństwo koncentruje się na aplikacji, w której dane są przechowywane, choć nie zawsze. Firmy powinny przeprowadzać ocenę ryzyka danych, aby wykryć uprzywilejowane dane i zabezpieczyć WSZYSTKIE standardowe konta, które mają dostęp do poufnych danych.
To tylko niektóre z uprzywilejowanych kont, których zabezpieczenie organizacje powinny traktować priorytetowo, aby zmniejszyć ryzyko ich naruszenia i nadużycia.
Inne konta uprzywilejowane to:
– Konta root
– Konta używane do uzyskiwania dostępu do rozwiązań bezpieczeństwa
– Konta Wi-Fi
– Konta sprzętowe, takie jak BIOS i vPro
– Uprzywilejowane konta użytkowników
– Sprzęt sieciowy
– Konta zapory
– Współdzielone konta uprzywilejowane
Chcesz dowiedzieć się więcej o zabezpieczaniu kont uprzywilejowanych? Skontaktuj się z nami!
Źródło: https://thycotic.com/company/blog/2019/03/26/top-7-deadly-privileged-accounts/?utm_medium=Organic-Social&utm_source=linkedin&utm_campaign=7-deadly-privileged-acccounts&utm_content=32519&utm_term=32519_7-deadly-privileged-acccounts
7 zabójczo uprzywilejowanych kont: odkryj → zabezpiecz → zarządzaj.
Konta uprzywilejowane i uprzywilejowany dostęp są dziś sercem biznesu każdej firmy. Zapewniają zespołowi IT możliwość administrowania i zarządzania systemami organizacji, infrastrukturą
i oprogramowaniem, a pracownikom dostęp do danych, które umożliwiają im podejmowanie kluczowych decyzji biznesowych.
Konta uprzywilejowane są także najczęstszym celem hakerów i cyberprzestępców. Pozwalają im na swobodne i niewykrywalne poruszanie się po sieci, uzyskiwanie dostępu do krytycznych systemów i poufnych danych. Konta uprzywilejowane umożliwiają wprowadzanie zmian w konfiguracji systemu i oprogramowania, wykonywanie zadań administracyjnych, tworzenie i modyfikowanie kont użytkowników, instalowanie oprogramowania, tworzenie kopii zapasowych danych, aktualizowanie zabezpieczeń i poprawek, włączanie interaktywnych logowań i oczywiście uzyskiwanie dostępu do wrażliwych danych. Wszystkie te działania mają kluczowe znaczenie dla funkcjonowania firmy, utrzymania systemów i oprogramowania w ruchu.
Nie zakładaj, że konta uprzywilejowane są bezpośrednio dostosowane do ról pracowników
Konta uprzywilejowane są zazwyczaj ograniczone do ról pracowników w firmie, ale czasami mogą być mapowane na konta użytkowników niezależnie od ich roli. Dlatego założenie, że konta uprzywilejowane są bezpośrednio dostosowane do zadań pracowników to duży błąd. Konta uprzywilejowane mogą być używane przez wiele różnych podmiotów, na przykład: administratorów IT, zespoły bezpieczeństwa, pracowników działu pomocy technicznej, zewnętrznych wykonawców, właścicieli aplikacji, administratorów baz danych, a także systemy operacyjne i konta usług.
Konta uprzywilejowane można znaleźć w całej infrastrukturze organizacji, niezależnie od ich fizycznej lokalizacji – czy to w siedzibie firmy, czy to w chmurze, czy poprzez aplikacje SaaS. Typowe lokalizacje kont uprzywilejowanych to domyślne poświadczenia na serwerach, punktach końcowych
i systemach operacyjnych. Można je również znaleźć w środowiskach wirtualnych, oprogramowaniu, środowiskach chmurowych, bazach danych, kontach usług i większości aplikacji. To tylko kilka przykładów. Pokazuje to jednak, że konta uprzywilejowane można znaleźć praktycznie wszędzie,
a organizacja ma ich często nawet pięć razy więcej niż systemów.
Wiele organizacji boryka się z problemem zmęczenia cybernetycznego – stanu przytłoczenia przez obowiązki związane z zabezpieczeniem, czyli ogromną liczbą haseł i poświadczeń, które pracownicy muszą utrzymywać i pamiętać. Jest to poważny problem w całej firmie i wpływa nie tylko na zespół IT, ale także na zespół odpowiadający za bezpieczeństwo i wszystkich pracowników, którzy potrzebują dostępu do wielu systemów i aplikacji.
Brak aktualizacji stanu uprzywilejowanych kont spowodowało straty finansowe wielu organizacji
Oprócz zmęczenia cybernetycznego firmy stoją przed wyzwaniem bieżącego utrzymania uprzywilejowanego dostępu, zwłaszcza gdy zmieniają się role pracowników lub gdy opuszczają oni organizację. Naruszenie i nadużycie kont uprzywilejowanych naraziło już wiele organizacji na ogromne straty. Wyzwanie stanowi także zabezpieczenie kont usług, ponieważ w przeszłości konfigurowano je za pomocą hasła statycznego, które nie wygasa i nigdy się nie zmienia.
W odpowiedzi na te wyzwania prezentujemy „7 zabójczo uprzywilejowanych kont”, które wszystkie organizacje powinny odkryć, odpowiednio zabezpieczyć oraz zarządzać nimi tak, aby zmniejszyć ryzyko związane z bezpieczeństwem ich działalności.
Konto, z poziomu którego można zrobić prawie wszystko. Konto administratora domeny ma pełny dostęp i kontrolę nad domeną AD. Ta grupa jest domyślnie członkiem grupy Administratorzy na wszystkich kontrolerach domeny, wszystkich stacjach roboczych domeny i wszystkich serwerach członkowskich w momencie dołączenia do domeny. Domyślnie konto administratora jest członkiem tej grupy. Ponieważ grupa ma pełną kontrolę w domenie, zawsze dodawaj użytkowników ze szczególną ostrożnością, pełnym audytem i uwierzytelnieniem. [1]
Konta te powinny być jak najbardziej ograniczone: dostęp i korzystanie z tych kont musi być udzielane wyłącznie na zasadzie żądania z dodatkowymi uwierzytelnieniami w celu zapobieżenia nieuprawnionemu użyciu. Wszystkie ich działania powinny być w pełni kontrolowane i monitorowane.
Konta te łączą wiele systemów i aplikacji, dzięki czemu mogą komunikować się i uzyskiwać dostęp do potrzebnych zasobów, zazwyczaj do uruchamiania raportów, uzyskiwania dostępu do baz danych lub wywoływania interfejsów API. Konta te wydają się być problematyczne, zwłaszcza przy zmianie hasła, które w niemal wszystkich sytuacjach powoduje zerwanie aplikacji do momentu zsynchronizowania w środowisku. Te trudne i przerażające chwile wynikają z przyjętej w organizacjach zasady „nie dotykaj tego hasła” lub szczegółowych procesów dotyczących ich obsługi. Konta te są zwykle używane do tworzenia kopii zapasowych, rozwiązań analitycznych, wdrażania oprogramowania i aktualizacji poprawek zabezpieczeń.
Czasami nazywane „zapomnianym kontem uprzywilejowanym”, czyli tym, do którego wiele firm udziela dostępu wszystkim pracownikom. To właśnie w nie wszyscy cyberprzestępcy celują, aby ocenić bezpieczeństwo i poziom ochrony organizacji. To główny winowajca nadmiernie uprzywilejowanych kont pracowników.
Domyślnym lokalnym kontem administratora jest konto użytkownika dla administratora systemu. Każdy komputer ma konto administratora (SID S-1-5-domena-500, nazwa wyświetlana: Administrator), jest ono pierwszym kontem tworzonym podczas instalacji dla wszystkich systemów operacyjnych Windows Server i klienta Windows.
W systemach operacyjnych Windows Server konto Administrator daje użytkownikowi pełny dostęp do plików, katalogów, usług i innych zasobów, będących pod kontrolą lokalnego serwera. Konto Administrator może być używane do tworzenia lokalnych użytkowników, przypisywania uprawnień użytkownika oraz uprawnień kontroli dostępu. Konto administratora można również wykorzystać do przejęcia kontroli nad lokalnymi zasobami w dowolnym momencie, po prostu zmieniając prawa użytkownika i uprawnienia.
Domyślne konto administratora nie może zostać usunięte lub zablokowane, ale można je zmienić lub dezaktywować. [2]
Konta te są zazwyczaj domyślnie wyłączone do czasu krytycznego zdarzenia. Po jego wystąpieniu określeni użytkownicy muszą mieć uprzywilejowany dostęp do przywracania systemów, usług lub nawet reagowania na incydenty bezpieczeństwa. Są one używane tylko w sytuacjach awaryjnych, gdy normalne usługi nie są dostępne. Przykładowo, podczas incydentu cyberprzestępstwa, są one wykorzystywane do uzyskania dostępu do systemów w celu przeprowadzenia cyfrowej ekspertyzy i zredukowania zanieczyszczenia dowodów z rejestru logów. Mogą być również używane do ograniczania ciągłego nadużywania zagrożonych kont.
Konta usług są zwykle używane w systemach operacyjnych do uruchamiania aplikacji lub programów, zarówno w kontekście kont systemowych (konta o wysokim uprzywilejowaniu bez hasła), jak i określonego konta użytkownika (zwykle tworzonego ręcznie lub podczas instalacji oprogramowania). W systemach Unix i Linux często są znane jako ‘init’ lub ‘inetd’ i również mogą uruchamiać programy. Konta usług zwykle nie mogą logować się do systemów, jednak najczęściej zabezpiecza je nigdy nie zmieniane hasło. Co więcej, konta te nie wygasają. Konta serwisowe są często nadużywane przez cyberprzestępców, którzy łamią je i uruchamiają własne pliki binarne na podwyższonych uprawnieniach, zapewniających im dostęp zdalny.
Konta aplikacji są rutynowo używane do zapewnienia aplikacji dostępu do wymaganych zasobów, takich jak bazy danych, sieci, zautomatyzowane zadania (np. wdrażanie oprogramowania), automatyczne aktualizacje i możliwości wprowadzania zmian w konfiguracji. Konta te zazwyczaj przechowują hasła w plikach konfiguracyjnych, czasem dla uzyskania niezbędnego dostępu używają kont lokalnych lub usługowych. Konta aplikacji są również częstym celem cyberprzestępców, ponieważ mogą być łatwo naruszone przy użyciu znanych luk, które umożliwiają atakującym uzyskanie zdalnego dostępu, zmodyfikowanie binarów systemu lub podniesienie standardowych kont do uprzywilejowanych, umożliwiające im poruszanie się po sieci. Większość organizacji nie potrafi poprawnie „łatać” aplikacji, więc atakujący mogą nadużywać tych luk zbyt często.
Jest to prawdopodobnie najbardziej niebezpieczny uprzywilejowany dostęp ze wszystkich. Tak, to konto jest standardowym kontem użytkownika, ale ma DOSTĘP do WRAŻLIWYCH, PRYWATNYCH DANYCH. Pomyśl o lekarzu, który ma dostęp do danych pacjenta lub księgowym, który ma dostęp do sprawozdań finansowych. To zwykłe konta użytkownika, ale chodzi o to do czego mają dostęp. Konta użytkowników uprzywilejowanych danych często nie są monitorowane lub zabezpieczone, jak konta uprzywilejowane, a bezpieczeństwo koncentruje się na aplikacji, w której dane są przechowywane, choć nie zawsze. Firmy powinny przeprowadzać ocenę ryzyka danych, aby wykryć uprzywilejowane dane i zabezpieczyć WSZYSTKIE standardowe konta, które mają dostęp do poufnych danych.
To tylko niektóre z uprzywilejowanych kont, których zabezpieczenie organizacje powinny traktować priorytetowo, aby zmniejszyć ryzyko ich naruszenia i nadużycia.
Inne konta uprzywilejowane to:
– Konta root
– Konta używane do uzyskiwania dostępu do rozwiązań bezpieczeństwa
– Konta Wi-Fi
– Konta sprzętowe, takie jak BIOS i vPro
– Uprzywilejowane konta użytkowników
– Sprzęt sieciowy
– Konta zapory
– Współdzielone konta uprzywilejowane
Chcesz dowiedzieć się więcej o zabezpieczaniu kont uprzywilejowanych? Skontaktuj się z nami!
Źródło: https://thycotic.com/company/blog/2019/03/26/top-7-deadly-privileged-accounts/?utm_medium=Organic-Social&utm_source=linkedin&utm_campaign=7-deadly-privileged-acccounts&utm_content=32519&utm_term=32519_7-deadly-privileged-acccounts
7 zabójczo uprzywilejowanych kont: odkryj → zabezpiecz → zarządzaj.
Konta uprzywilejowane i uprzywilejowany dostęp są dziś sercem biznesu każdej firmy. Zapewniają zespołowi IT możliwość administrowania i zarządzania systemami organizacji, infrastrukturą
i oprogramowaniem, a pracownikom dostęp do danych, które umożliwiają im podejmowanie kluczowych decyzji biznesowych.
Konta uprzywilejowane są także najczęstszym celem hakerów i cyberprzestępców. Pozwalają im na swobodne i niewykrywalne poruszanie się po sieci, uzyskiwanie dostępu do krytycznych systemów i poufnych danych. Konta uprzywilejowane umożliwiają wprowadzanie zmian w konfiguracji systemu i oprogramowania, wykonywanie zadań administracyjnych, tworzenie i modyfikowanie kont użytkowników, instalowanie oprogramowania, tworzenie kopii zapasowych danych, aktualizowanie zabezpieczeń i poprawek, włączanie interaktywnych logowań i oczywiście uzyskiwanie dostępu do wrażliwych danych. Wszystkie te działania mają kluczowe znaczenie dla funkcjonowania firmy, utrzymania systemów i oprogramowania w ruchu.
Nie zakładaj, że konta uprzywilejowane są bezpośrednio dostosowane do ról pracowników
Konta uprzywilejowane są zazwyczaj ograniczone do ról pracowników w firmie, ale czasami mogą być mapowane na konta użytkowników niezależnie od ich roli. Dlatego założenie, że konta uprzywilejowane są bezpośrednio dostosowane do zadań pracowników to duży błąd. Konta uprzywilejowane mogą być używane przez wiele różnych podmiotów, na przykład: administratorów IT, zespoły bezpieczeństwa, pracowników działu pomocy technicznej, zewnętrznych wykonawców, właścicieli aplikacji, administratorów baz danych, a także systemy operacyjne i konta usług.
Konta uprzywilejowane można znaleźć w całej infrastrukturze organizacji, niezależnie od ich fizycznej lokalizacji – czy to w siedzibie firmy, czy to w chmurze, czy poprzez aplikacje SaaS. Typowe lokalizacje kont uprzywilejowanych to domyślne poświadczenia na serwerach, punktach końcowych
i systemach operacyjnych. Można je również znaleźć w środowiskach wirtualnych, oprogramowaniu, środowiskach chmurowych, bazach danych, kontach usług i większości aplikacji. To tylko kilka przykładów. Pokazuje to jednak, że konta uprzywilejowane można znaleźć praktycznie wszędzie,
a organizacja ma ich często nawet pięć razy więcej niż systemów.
Wiele organizacji boryka się z problemem zmęczenia cybernetycznego – stanu przytłoczenia przez obowiązki związane z zabezpieczeniem, czyli ogromną liczbą haseł i poświadczeń, które pracownicy muszą utrzymywać i pamiętać. Jest to poważny problem w całej firmie i wpływa nie tylko na zespół IT, ale także na zespół odpowiadający za bezpieczeństwo i wszystkich pracowników, którzy potrzebują dostępu do wielu systemów i aplikacji.
Brak aktualizacji stanu uprzywilejowanych kont spowodowało straty finansowe wielu organizacji
Oprócz zmęczenia cybernetycznego firmy stoją przed wyzwaniem bieżącego utrzymania uprzywilejowanego dostępu, zwłaszcza gdy zmieniają się role pracowników lub gdy opuszczają oni organizację. Naruszenie i nadużycie kont uprzywilejowanych naraziło już wiele organizacji na ogromne straty. Wyzwanie stanowi także zabezpieczenie kont usług, ponieważ w przeszłości konfigurowano je za pomocą hasła statycznego, które nie wygasa i nigdy się nie zmienia.
W odpowiedzi na te wyzwania prezentujemy „7 zabójczo uprzywilejowanych kont”, które wszystkie organizacje powinny odkryć, odpowiednio zabezpieczyć oraz zarządzać nimi tak, aby zmniejszyć ryzyko związane z bezpieczeństwem ich działalności.
Konto, z poziomu którego można zrobić prawie wszystko. Konto administratora domeny ma pełny dostęp i kontrolę nad domeną AD. Ta grupa jest domyślnie członkiem grupy Administratorzy na wszystkich kontrolerach domeny, wszystkich stacjach roboczych domeny i wszystkich serwerach członkowskich w momencie dołączenia do domeny. Domyślnie konto administratora jest członkiem tej grupy. Ponieważ grupa ma pełną kontrolę w domenie, zawsze dodawaj użytkowników ze szczególną ostrożnością, pełnym audytem i uwierzytelnieniem. [1]
Konta te powinny być jak najbardziej ograniczone: dostęp i korzystanie z tych kont musi być udzielane wyłącznie na zasadzie żądania z dodatkowymi uwierzytelnieniami w celu zapobieżenia nieuprawnionemu użyciu. Wszystkie ich działania powinny być w pełni kontrolowane i monitorowane.
Konta te łączą wiele systemów i aplikacji, dzięki czemu mogą komunikować się i uzyskiwać dostęp do potrzebnych zasobów, zazwyczaj do uruchamiania raportów, uzyskiwania dostępu do baz danych lub wywoływania interfejsów API. Konta te wydają się być problematyczne, zwłaszcza przy zmianie hasła, które w niemal wszystkich sytuacjach powoduje zerwanie aplikacji do momentu zsynchronizowania w środowisku. Te trudne i przerażające chwile wynikają z przyjętej w organizacjach zasady „nie dotykaj tego hasła” lub szczegółowych procesów dotyczących ich obsługi. Konta te są zwykle używane do tworzenia kopii zapasowych, rozwiązań analitycznych, wdrażania oprogramowania i aktualizacji poprawek zabezpieczeń.
Czasami nazywane „zapomnianym kontem uprzywilejowanym”, czyli tym, do którego wiele firm udziela dostępu wszystkim pracownikom. To właśnie w nie wszyscy cyberprzestępcy celują, aby ocenić bezpieczeństwo i poziom ochrony organizacji. To główny winowajca nadmiernie uprzywilejowanych kont pracowników.
Domyślnym lokalnym kontem administratora jest konto użytkownika dla administratora systemu. Każdy komputer ma konto administratora (SID S-1-5-domena-500, nazwa wyświetlana: Administrator), jest ono pierwszym kontem tworzonym podczas instalacji dla wszystkich systemów operacyjnych Windows Server i klienta Windows.
W systemach operacyjnych Windows Server konto Administrator daje użytkownikowi pełny dostęp do plików, katalogów, usług i innych zasobów, będących pod kontrolą lokalnego serwera. Konto Administrator może być używane do tworzenia lokalnych użytkowników, przypisywania uprawnień użytkownika oraz uprawnień kontroli dostępu. Konto administratora można również wykorzystać do przejęcia kontroli nad lokalnymi zasobami w dowolnym momencie, po prostu zmieniając prawa użytkownika i uprawnienia.
Domyślne konto administratora nie może zostać usunięte lub zablokowane, ale można je zmienić lub dezaktywować. [2]
Konta te są zazwyczaj domyślnie wyłączone do czasu krytycznego zdarzenia. Po jego wystąpieniu określeni użytkownicy muszą mieć uprzywilejowany dostęp do przywracania systemów, usług lub nawet reagowania na incydenty bezpieczeństwa. Są one używane tylko w sytuacjach awaryjnych, gdy normalne usługi nie są dostępne. Przykładowo, podczas incydentu cyberprzestępstwa, są one wykorzystywane do uzyskania dostępu do systemów w celu przeprowadzenia cyfrowej ekspertyzy i zredukowania zanieczyszczenia dowodów z rejestru logów. Mogą być również używane do ograniczania ciągłego nadużywania zagrożonych kont.
Konta usług są zwykle używane w systemach operacyjnych do uruchamiania aplikacji lub programów, zarówno w kontekście kont systemowych (konta o wysokim uprzywilejowaniu bez hasła), jak i określonego konta użytkownika (zwykle tworzonego ręcznie lub podczas instalacji oprogramowania). W systemach Unix i Linux często są znane jako ‘init’ lub ‘inetd’ i również mogą uruchamiać programy. Konta usług zwykle nie mogą logować się do systemów, jednak najczęściej zabezpiecza je nigdy nie zmieniane hasło. Co więcej, konta te nie wygasają. Konta serwisowe są często nadużywane przez cyberprzestępców, którzy łamią je i uruchamiają własne pliki binarne na podwyższonych uprawnieniach, zapewniających im dostęp zdalny.
Konta aplikacji są rutynowo używane do zapewnienia aplikacji dostępu do wymaganych zasobów, takich jak bazy danych, sieci, zautomatyzowane zadania (np. wdrażanie oprogramowania), automatyczne aktualizacje i możliwości wprowadzania zmian w konfiguracji. Konta te zazwyczaj przechowują hasła w plikach konfiguracyjnych, czasem dla uzyskania niezbędnego dostępu używają kont lokalnych lub usługowych. Konta aplikacji są również częstym celem cyberprzestępców, ponieważ mogą być łatwo naruszone przy użyciu znanych luk, które umożliwiają atakującym uzyskanie zdalnego dostępu, zmodyfikowanie binarów systemu lub podniesienie standardowych kont do uprzywilejowanych, umożliwiające im poruszanie się po sieci. Większość organizacji nie potrafi poprawnie „łatać” aplikacji, więc atakujący mogą nadużywać tych luk zbyt często.
Jest to prawdopodobnie najbardziej niebezpieczny uprzywilejowany dostęp ze wszystkich. Tak, to konto jest standardowym kontem użytkownika, ale ma DOSTĘP do WRAŻLIWYCH, PRYWATNYCH DANYCH. Pomyśl o lekarzu, który ma dostęp do danych pacjenta lub księgowym, który ma dostęp do sprawozdań finansowych. To zwykłe konta użytkownika, ale chodzi o to do czego mają dostęp. Konta użytkowników uprzywilejowanych danych często nie są monitorowane lub zabezpieczone, jak konta uprzywilejowane, a bezpieczeństwo koncentruje się na aplikacji, w której dane są przechowywane, choć nie zawsze. Firmy powinny przeprowadzać ocenę ryzyka danych, aby wykryć uprzywilejowane dane i zabezpieczyć WSZYSTKIE standardowe konta, które mają dostęp do poufnych danych.
To tylko niektóre z uprzywilejowanych kont, których zabezpieczenie organizacje powinny traktować priorytetowo, aby zmniejszyć ryzyko ich naruszenia i nadużycia.
Inne konta uprzywilejowane to:
– Konta root
– Konta używane do uzyskiwania dostępu do rozwiązań bezpieczeństwa
– Konta Wi-Fi
– Konta sprzętowe, takie jak BIOS i vPro
– Uprzywilejowane konta użytkowników
– Sprzęt sieciowy
– Konta zapory
– Współdzielone konta uprzywilejowane
Chcesz dowiedzieć się więcej o zabezpieczaniu kont uprzywilejowanych? Skontaktuj się z nami!
Źródło: https://thycotic.com/company/blog/2019/03/26/top-7-deadly-privileged-accounts/?utm_medium=Organic-Social&utm_source=linkedin&utm_campaign=7-deadly-privileged-acccounts&utm_content=32519&utm_term=32519_7-deadly-privileged-acccounts
7 zabójczo uprzywilejowanych kont: odkryj → zabezpiecz → zarządzaj.
Konta uprzywilejowane i uprzywilejowany dostęp są dziś sercem biznesu każdej firmy. Zapewniają zespołowi IT możliwość administrowania i zarządzania systemami organizacji, infrastrukturą
i oprogramowaniem, a pracownikom dostęp do danych, które umożliwiają im podejmowanie kluczowych decyzji biznesowych.
Konta uprzywilejowane są także najczęstszym celem hakerów i cyberprzestępców. Pozwalają im na swobodne i niewykrywalne poruszanie się po sieci, uzyskiwanie dostępu do krytycznych systemów i poufnych danych. Konta uprzywilejowane umożliwiają wprowadzanie zmian w konfiguracji systemu i oprogramowania, wykonywanie zadań administracyjnych, tworzenie i modyfikowanie kont użytkowników, instalowanie oprogramowania, tworzenie kopii zapasowych danych, aktualizowanie zabezpieczeń i poprawek, włączanie interaktywnych logowań i oczywiście uzyskiwanie dostępu do wrażliwych danych. Wszystkie te działania mają kluczowe znaczenie dla funkcjonowania firmy, utrzymania systemów i oprogramowania w ruchu.
Nie zakładaj, że konta uprzywilejowane są bezpośrednio dostosowane do ról pracowników
Konta uprzywilejowane są zazwyczaj ograniczone do ról pracowników w firmie, ale czasami mogą być mapowane na konta użytkowników niezależnie od ich roli. Dlatego założenie, że konta uprzywilejowane są bezpośrednio dostosowane do zadań pracowników to duży błąd. Konta uprzywilejowane mogą być używane przez wiele różnych podmiotów, na przykład: administratorów IT, zespoły bezpieczeństwa, pracowników działu pomocy technicznej, zewnętrznych wykonawców, właścicieli aplikacji, administratorów baz danych, a także systemy operacyjne i konta usług.
Konta uprzywilejowane można znaleźć w całej infrastrukturze organizacji, niezależnie od ich fizycznej lokalizacji – czy to w siedzibie firmy, czy to w chmurze, czy poprzez aplikacje SaaS. Typowe lokalizacje kont uprzywilejowanych to domyślne poświadczenia na serwerach, punktach końcowych
i systemach operacyjnych. Można je również znaleźć w środowiskach wirtualnych, oprogramowaniu, środowiskach chmurowych, bazach danych, kontach usług i większości aplikacji. To tylko kilka przykładów. Pokazuje to jednak, że konta uprzywilejowane można znaleźć praktycznie wszędzie,
a organizacja ma ich często nawet pięć razy więcej niż systemów.
Wiele organizacji boryka się z problemem zmęczenia cybernetycznego – stanu przytłoczenia przez obowiązki związane z zabezpieczeniem, czyli ogromną liczbą haseł i poświadczeń, które pracownicy muszą utrzymywać i pamiętać. Jest to poważny problem w całej firmie i wpływa nie tylko na zespół IT, ale także na zespół odpowiadający za bezpieczeństwo i wszystkich pracowników, którzy potrzebują dostępu do wielu systemów i aplikacji.
Brak aktualizacji stanu uprzywilejowanych kont spowodowało straty finansowe wielu organizacji
Oprócz zmęczenia cybernetycznego firmy stoją przed wyzwaniem bieżącego utrzymania uprzywilejowanego dostępu, zwłaszcza gdy zmieniają się role pracowników lub gdy opuszczają oni organizację. Naruszenie i nadużycie kont uprzywilejowanych naraziło już wiele organizacji na ogromne straty. Wyzwanie stanowi także zabezpieczenie kont usług, ponieważ w przeszłości konfigurowano je za pomocą hasła statycznego, które nie wygasa i nigdy się nie zmienia.
W odpowiedzi na te wyzwania prezentujemy „7 zabójczo uprzywilejowanych kont”, które wszystkie organizacje powinny odkryć, odpowiednio zabezpieczyć oraz zarządzać nimi tak, aby zmniejszyć ryzyko związane z bezpieczeństwem ich działalności.
Konto, z poziomu którego można zrobić prawie wszystko. Konto administratora domeny ma pełny dostęp i kontrolę nad domeną AD. Ta grupa jest domyślnie członkiem grupy Administratorzy na wszystkich kontrolerach domeny, wszystkich stacjach roboczych domeny i wszystkich serwerach członkowskich w momencie dołączenia do domeny. Domyślnie konto administratora jest członkiem tej grupy. Ponieważ grupa ma pełną kontrolę w domenie, zawsze dodawaj użytkowników ze szczególną ostrożnością, pełnym audytem i uwierzytelnieniem. [1]
Konta te powinny być jak najbardziej ograniczone: dostęp i korzystanie z tych kont musi być udzielane wyłącznie na zasadzie żądania z dodatkowymi uwierzytelnieniami w celu zapobieżenia nieuprawnionemu użyciu. Wszystkie ich działania powinny być w pełni kontrolowane i monitorowane.
Konta te łączą wiele systemów i aplikacji, dzięki czemu mogą komunikować się i uzyskiwać dostęp do potrzebnych zasobów, zazwyczaj do uruchamiania raportów, uzyskiwania dostępu do baz danych lub wywoływania interfejsów API. Konta te wydają się być problematyczne, zwłaszcza przy zmianie hasła, które w niemal wszystkich sytuacjach powoduje zerwanie aplikacji do momentu zsynchronizowania w środowisku. Te trudne i przerażające chwile wynikają z przyjętej w organizacjach zasady „nie dotykaj tego hasła” lub szczegółowych procesów dotyczących ich obsługi. Konta te są zwykle używane do tworzenia kopii zapasowych, rozwiązań analitycznych, wdrażania oprogramowania i aktualizacji poprawek zabezpieczeń.
Czasami nazywane „zapomnianym kontem uprzywilejowanym”, czyli tym, do którego wiele firm udziela dostępu wszystkim pracownikom. To właśnie w nie wszyscy cyberprzestępcy celują, aby ocenić bezpieczeństwo i poziom ochrony organizacji. To główny winowajca nadmiernie uprzywilejowanych kont pracowników.
Domyślnym lokalnym kontem administratora jest konto użytkownika dla administratora systemu. Każdy komputer ma konto administratora (SID S-1-5-domena-500, nazwa wyświetlana: Administrator), jest ono pierwszym kontem tworzonym podczas instalacji dla wszystkich systemów operacyjnych Windows Server i klienta Windows.
W systemach operacyjnych Windows Server konto Administrator daje użytkownikowi pełny dostęp do plików, katalogów, usług i innych zasobów, będących pod kontrolą lokalnego serwera. Konto Administrator może być używane do tworzenia lokalnych użytkowników, przypisywania uprawnień użytkownika oraz uprawnień kontroli dostępu. Konto administratora można również wykorzystać do przejęcia kontroli nad lokalnymi zasobami w dowolnym momencie, po prostu zmieniając prawa użytkownika i uprawnienia.
Domyślne konto administratora nie może zostać usunięte lub zablokowane, ale można je zmienić lub dezaktywować. [2]
Konta te są zazwyczaj domyślnie wyłączone do czasu krytycznego zdarzenia. Po jego wystąpieniu określeni użytkownicy muszą mieć uprzywilejowany dostęp do przywracania systemów, usług lub nawet reagowania na incydenty bezpieczeństwa. Są one używane tylko w sytuacjach awaryjnych, gdy normalne usługi nie są dostępne. Przykładowo, podczas incydentu cyberprzestępstwa, są one wykorzystywane do uzyskania dostępu do systemów w celu przeprowadzenia cyfrowej ekspertyzy i zredukowania zanieczyszczenia dowodów z rejestru logów. Mogą być również używane do ograniczania ciągłego nadużywania zagrożonych kont.
Konta usług są zwykle używane w systemach operacyjnych do uruchamiania aplikacji lub programów, zarówno w kontekście kont systemowych (konta o wysokim uprzywilejowaniu bez hasła), jak i określonego konta użytkownika (zwykle tworzonego ręcznie lub podczas instalacji oprogramowania). W systemach Unix i Linux często są znane jako ‘init’ lub ‘inetd’ i również mogą uruchamiać programy. Konta usług zwykle nie mogą logować się do systemów, jednak najczęściej zabezpiecza je nigdy nie zmieniane hasło. Co więcej, konta te nie wygasają. Konta serwisowe są często nadużywane przez cyberprzestępców, którzy łamią je i uruchamiają własne pliki binarne na podwyższonych uprawnieniach, zapewniających im dostęp zdalny.
Konta aplikacji są rutynowo używane do zapewnienia aplikacji dostępu do wymaganych zasobów, takich jak bazy danych, sieci, zautomatyzowane zadania (np. wdrażanie oprogramowania), automatyczne aktualizacje i możliwości wprowadzania zmian w konfiguracji. Konta te zazwyczaj przechowują hasła w plikach konfiguracyjnych, czasem dla uzyskania niezbędnego dostępu używają kont lokalnych lub usługowych. Konta aplikacji są również częstym celem cyberprzestępców, ponieważ mogą być łatwo naruszone przy użyciu znanych luk, które umożliwiają atakującym uzyskanie zdalnego dostępu, zmodyfikowanie binarów systemu lub podniesienie standardowych kont do uprzywilejowanych, umożliwiające im poruszanie się po sieci. Większość organizacji nie potrafi poprawnie „łatać” aplikacji, więc atakujący mogą nadużywać tych luk zbyt często.
Jest to prawdopodobnie najbardziej niebezpieczny uprzywilejowany dostęp ze wszystkich. Tak, to konto jest standardowym kontem użytkownika, ale ma DOSTĘP do WRAŻLIWYCH, PRYWATNYCH DANYCH. Pomyśl o lekarzu, który ma dostęp do danych pacjenta lub księgowym, który ma dostęp do sprawozdań finansowych. To zwykłe konta użytkownika, ale chodzi o to do czego mają dostęp. Konta użytkowników uprzywilejowanych danych często nie są monitorowane lub zabezpieczone, jak konta uprzywilejowane, a bezpieczeństwo koncentruje się na aplikacji, w której dane są przechowywane, choć nie zawsze. Firmy powinny przeprowadzać ocenę ryzyka danych, aby wykryć uprzywilejowane dane i zabezpieczyć WSZYSTKIE standardowe konta, które mają dostęp do poufnych danych.
To tylko niektóre z uprzywilejowanych kont, których zabezpieczenie organizacje powinny traktować priorytetowo, aby zmniejszyć ryzyko ich naruszenia i nadużycia.
Inne konta uprzywilejowane to:
– Konta root
– Konta używane do uzyskiwania dostępu do rozwiązań bezpieczeństwa
– Konta Wi-Fi
– Konta sprzętowe, takie jak BIOS i vPro
– Uprzywilejowane konta użytkowników
– Sprzęt sieciowy
– Konta zapory
– Współdzielone konta uprzywilejowane
Chcesz dowiedzieć się więcej o zabezpieczaniu kont uprzywilejowanych? Skontaktuj się z nami!
Źródło: https://thycotic.com/company/blog/2019/03/26/top-7-deadly-privileged-accounts/?utm_medium=Organic-Social&utm_source=linkedin&utm_campaign=7-deadly-privileged-acccounts&utm_content=32519&utm_term=32519_7-deadly-privileged-acccounts
7 zabójczo uprzywilejowanych kont: odkryj → zabezpiecz → zarządzaj.
Konta uprzywilejowane i uprzywilejowany dostęp są dziś sercem biznesu każdej firmy. Zapewniają zespołowi IT możliwość administrowania i zarządzania systemami organizacji, infrastrukturą
i oprogramowaniem, a pracownikom dostęp do danych, które umożliwiają im podejmowanie kluczowych decyzji biznesowych.
Konta uprzywilejowane są także najczęstszym celem hakerów i cyberprzestępców. Pozwalają im na swobodne i niewykrywalne poruszanie się po sieci, uzyskiwanie dostępu do krytycznych systemów i poufnych danych. Konta uprzywilejowane umożliwiają wprowadzanie zmian w konfiguracji systemu i oprogramowania, wykonywanie zadań administracyjnych, tworzenie i modyfikowanie kont użytkowników, instalowanie oprogramowania, tworzenie kopii zapasowych danych, aktualizowanie zabezpieczeń i poprawek, włączanie interaktywnych logowań i oczywiście uzyskiwanie dostępu do wrażliwych danych. Wszystkie te działania mają kluczowe znaczenie dla funkcjonowania firmy, utrzymania systemów i oprogramowania w ruchu.
Nie zakładaj, że konta uprzywilejowane są bezpośrednio dostosowane do ról pracowników
Konta uprzywilejowane są zazwyczaj ograniczone do ról pracowników w firmie, ale czasami mogą być mapowane na konta użytkowników niezależnie od ich roli. Dlatego założenie, że konta uprzywilejowane są bezpośrednio dostosowane do zadań pracowników to duży błąd. Konta uprzywilejowane mogą być używane przez wiele różnych podmiotów, na przykład: administratorów IT, zespoły bezpieczeństwa, pracowników działu pomocy technicznej, zewnętrznych wykonawców, właścicieli aplikacji, administratorów baz danych, a także systemy operacyjne i konta usług.
Konta uprzywilejowane można znaleźć w całej infrastrukturze organizacji, niezależnie od ich fizycznej lokalizacji – czy to w siedzibie firmy, czy to w chmurze, czy poprzez aplikacje SaaS. Typowe lokalizacje kont uprzywilejowanych to domyślne poświadczenia na serwerach, punktach końcowych
i systemach operacyjnych. Można je również znaleźć w środowiskach wirtualnych, oprogramowaniu, środowiskach chmurowych, bazach danych, kontach usług i większości aplikacji. To tylko kilka przykładów. Pokazuje to jednak, że konta uprzywilejowane można znaleźć praktycznie wszędzie,
a organizacja ma ich często nawet pięć razy więcej niż systemów.
Wiele organizacji boryka się z problemem zmęczenia cybernetycznego – stanu przytłoczenia przez obowiązki związane z zabezpieczeniem, czyli ogromną liczbą haseł i poświadczeń, które pracownicy muszą utrzymywać i pamiętać. Jest to poważny problem w całej firmie i wpływa nie tylko na zespół IT, ale także na zespół odpowiadający za bezpieczeństwo i wszystkich pracowników, którzy potrzebują dostępu do wielu systemów i aplikacji.
Brak aktualizacji stanu uprzywilejowanych kont spowodowało straty finansowe wielu organizacji
Oprócz zmęczenia cybernetycznego firmy stoją przed wyzwaniem bieżącego utrzymania uprzywilejowanego dostępu, zwłaszcza gdy zmieniają się role pracowników lub gdy opuszczają oni organizację. Naruszenie i nadużycie kont uprzywilejowanych naraziło już wiele organizacji na ogromne straty. Wyzwanie stanowi także zabezpieczenie kont usług, ponieważ w przeszłości konfigurowano je za pomocą hasła statycznego, które nie wygasa i nigdy się nie zmienia.
W odpowiedzi na te wyzwania prezentujemy „7 zabójczo uprzywilejowanych kont”, które wszystkie organizacje powinny odkryć, odpowiednio zabezpieczyć oraz zarządzać nimi tak, aby zmniejszyć ryzyko związane z bezpieczeństwem ich działalności.
Konto, z poziomu którego można zrobić prawie wszystko. Konto administratora domeny ma pełny dostęp i kontrolę nad domeną AD. Ta grupa jest domyślnie członkiem grupy Administratorzy na wszystkich kontrolerach domeny, wszystkich stacjach roboczych domeny i wszystkich serwerach członkowskich w momencie dołączenia do domeny. Domyślnie konto administratora jest członkiem tej grupy. Ponieważ grupa ma pełną kontrolę w domenie, zawsze dodawaj użytkowników ze szczególną ostrożnością, pełnym audytem i uwierzytelnieniem. [1]
Konta te powinny być jak najbardziej ograniczone: dostęp i korzystanie z tych kont musi być udzielane wyłącznie na zasadzie żądania z dodatkowymi uwierzytelnieniami w celu zapobieżenia nieuprawnionemu użyciu. Wszystkie ich działania powinny być w pełni kontrolowane i monitorowane.
Konta te łączą wiele systemów i aplikacji, dzięki czemu mogą komunikować się i uzyskiwać dostęp do potrzebnych zasobów, zazwyczaj do uruchamiania raportów, uzyskiwania dostępu do baz danych lub wywoływania interfejsów API. Konta te wydają się być problematyczne, zwłaszcza przy zmianie hasła, które w niemal wszystkich sytuacjach powoduje zerwanie aplikacji do momentu zsynchronizowania w środowisku. Te trudne i przerażające chwile wynikają z przyjętej w organizacjach zasady „nie dotykaj tego hasła” lub szczegółowych procesów dotyczących ich obsługi. Konta te są zwykle używane do tworzenia kopii zapasowych, rozwiązań analitycznych, wdrażania oprogramowania i aktualizacji poprawek zabezpieczeń.
Czasami nazywane „zapomnianym kontem uprzywilejowanym”, czyli tym, do którego wiele firm udziela dostępu wszystkim pracownikom. To właśnie w nie wszyscy cyberprzestępcy celują, aby ocenić bezpieczeństwo i poziom ochrony organizacji. To główny winowajca nadmiernie uprzywilejowanych kont pracowników.
Domyślnym lokalnym kontem administratora jest konto użytkownika dla administratora systemu. Każdy komputer ma konto administratora (SID S-1-5-domena-500, nazwa wyświetlana: Administrator), jest ono pierwszym kontem tworzonym podczas instalacji dla wszystkich systemów operacyjnych Windows Server i klienta Windows.
W systemach operacyjnych Windows Server konto Administrator daje użytkownikowi pełny dostęp do plików, katalogów, usług i innych zasobów, będących pod kontrolą lokalnego serwera. Konto Administrator może być używane do tworzenia lokalnych użytkowników, przypisywania uprawnień użytkownika oraz uprawnień kontroli dostępu. Konto administratora można również wykorzystać do przejęcia kontroli nad lokalnymi zasobami w dowolnym momencie, po prostu zmieniając prawa użytkownika i uprawnienia.
Domyślne konto administratora nie może zostać usunięte lub zablokowane, ale można je zmienić lub dezaktywować. [2]
Konta te są zazwyczaj domyślnie wyłączone do czasu krytycznego zdarzenia. Po jego wystąpieniu określeni użytkownicy muszą mieć uprzywilejowany dostęp do przywracania systemów, usług lub nawet reagowania na incydenty bezpieczeństwa. Są one używane tylko w sytuacjach awaryjnych, gdy normalne usługi nie są dostępne. Przykładowo, podczas incydentu cyberprzestępstwa, są one wykorzystywane do uzyskania dostępu do systemów w celu przeprowadzenia cyfrowej ekspertyzy i zredukowania zanieczyszczenia dowodów z rejestru logów. Mogą być również używane do ograniczania ciągłego nadużywania zagrożonych kont.
Konta usług są zwykle używane w systemach operacyjnych do uruchamiania aplikacji lub programów, zarówno w kontekście kont systemowych (konta o wysokim uprzywilejowaniu bez hasła), jak i określonego konta użytkownika (zwykle tworzonego ręcznie lub podczas instalacji oprogramowania). W systemach Unix i Linux często są znane jako ‘init’ lub ‘inetd’ i również mogą uruchamiać programy. Konta usług zwykle nie mogą logować się do systemów, jednak najczęściej zabezpiecza je nigdy nie zmieniane hasło. Co więcej, konta te nie wygasają. Konta serwisowe są często nadużywane przez cyberprzestępców, którzy łamią je i uruchamiają własne pliki binarne na podwyższonych uprawnieniach, zapewniających im dostęp zdalny.
Konta aplikacji są rutynowo używane do zapewnienia aplikacji dostępu do wymaganych zasobów, takich jak bazy danych, sieci, zautomatyzowane zadania (np. wdrażanie oprogramowania), automatyczne aktualizacje i możliwości wprowadzania zmian w konfiguracji. Konta te zazwyczaj przechowują hasła w plikach konfiguracyjnych, czasem dla uzyskania niezbędnego dostępu używają kont lokalnych lub usługowych. Konta aplikacji są również częstym celem cyberprzestępców, ponieważ mogą być łatwo naruszone przy użyciu znanych luk, które umożliwiają atakującym uzyskanie zdalnego dostępu, zmodyfikowanie binarów systemu lub podniesienie standardowych kont do uprzywilejowanych, umożliwiające im poruszanie się po sieci. Większość organizacji nie potrafi poprawnie „łatać” aplikacji, więc atakujący mogą nadużywać tych luk zbyt często.
Jest to prawdopodobnie najbardziej niebezpieczny uprzywilejowany dostęp ze wszystkich. Tak, to konto jest standardowym kontem użytkownika, ale ma DOSTĘP do WRAŻLIWYCH, PRYWATNYCH DANYCH. Pomyśl o lekarzu, który ma dostęp do danych pacjenta lub księgowym, który ma dostęp do sprawozdań finansowych. To zwykłe konta użytkownika, ale chodzi o to do czego mają dostęp. Konta użytkowników uprzywilejowanych danych często nie są monitorowane lub zabezpieczone, jak konta uprzywilejowane, a bezpieczeństwo koncentruje się na aplikacji, w której dane są przechowywane, choć nie zawsze. Firmy powinny przeprowadzać ocenę ryzyka danych, aby wykryć uprzywilejowane dane i zabezpieczyć WSZYSTKIE standardowe konta, które mają dostęp do poufnych danych.
To tylko niektóre z uprzywilejowanych kont, których zabezpieczenie organizacje powinny traktować priorytetowo, aby zmniejszyć ryzyko ich naruszenia i nadużycia.
Inne konta uprzywilejowane to:
– Konta root
– Konta używane do uzyskiwania dostępu do rozwiązań bezpieczeństwa
– Konta Wi-Fi
– Konta sprzętowe, takie jak BIOS i vPro
– Uprzywilejowane konta użytkowników
– Sprzęt sieciowy
– Konta zapory
– Współdzielone konta uprzywilejowane
Chcesz dowiedzieć się więcej o zabezpieczaniu kont uprzywilejowanych? Skontaktuj się z nami!
Źródło: https://thycotic.com/company/blog/2019/03/26/top-7-deadly-privileged-accounts/?utm_medium=Organic-Social&utm_source=linkedin&utm_campaign=7-deadly-privileged-acccounts&utm_content=32519&utm_term=32519_7-deadly-privileged-acccounts
7 zabójczo uprzywilejowanych kont: odkryj → zabezpiecz → zarządzaj.
Konta uprzywilejowane i uprzywilejowany dostęp są dziś sercem biznesu każdej firmy. Zapewniają zespołowi IT możliwość administrowania i zarządzania systemami organizacji, infrastrukturą
i oprogramowaniem, a pracownikom dostęp do danych, które umożliwiają im podejmowanie kluczowych decyzji biznesowych.
Konta uprzywilejowane są także najczęstszym celem hakerów i cyberprzestępców. Pozwalają im na swobodne i niewykrywalne poruszanie się po sieci, uzyskiwanie dostępu do krytycznych systemów i poufnych danych. Konta uprzywilejowane umożliwiają wprowadzanie zmian w konfiguracji systemu i oprogramowania, wykonywanie zadań administracyjnych, tworzenie i modyfikowanie kont użytkowników, instalowanie oprogramowania, tworzenie kopii zapasowych danych, aktualizowanie zabezpieczeń i poprawek, włączanie interaktywnych logowań i oczywiście uzyskiwanie dostępu do wrażliwych danych. Wszystkie te działania mają kluczowe znaczenie dla funkcjonowania firmy, utrzymania systemów i oprogramowania w ruchu.
Nie zakładaj, że konta uprzywilejowane są bezpośrednio dostosowane do ról pracowników
Konta uprzywilejowane są zazwyczaj ograniczone do ról pracowników w firmie, ale czasami mogą być mapowane na konta użytkowników niezależnie od ich roli. Dlatego założenie, że konta uprzywilejowane są bezpośrednio dostosowane do zadań pracowników to duży błąd. Konta uprzywilejowane mogą być używane przez wiele różnych podmiotów, na przykład: administratorów IT, zespoły bezpieczeństwa, pracowników działu pomocy technicznej, zewnętrznych wykonawców, właścicieli aplikacji, administratorów baz danych, a także systemy operacyjne i konta usług.
Konta uprzywilejowane można znaleźć w całej infrastrukturze organizacji, niezależnie od ich fizycznej lokalizacji – czy to w siedzibie firmy, czy to w chmurze, czy poprzez aplikacje SaaS. Typowe lokalizacje kont uprzywilejowanych to domyślne poświadczenia na serwerach, punktach końcowych
i systemach operacyjnych. Można je również znaleźć w środowiskach wirtualnych, oprogramowaniu, środowiskach chmurowych, bazach danych, kontach usług i większości aplikacji. To tylko kilka przykładów. Pokazuje to jednak, że konta uprzywilejowane można znaleźć praktycznie wszędzie,
a organizacja ma ich często nawet pięć razy więcej niż systemów.
Wiele organizacji boryka się z problemem zmęczenia cybernetycznego – stanu przytłoczenia przez obowiązki związane z zabezpieczeniem, czyli ogromną liczbą haseł i poświadczeń, które pracownicy muszą utrzymywać i pamiętać. Jest to poważny problem w całej firmie i wpływa nie tylko na zespół IT, ale także na zespół odpowiadający za bezpieczeństwo i wszystkich pracowników, którzy potrzebują dostępu do wielu systemów i aplikacji.
Brak aktualizacji stanu uprzywilejowanych kont spowodowało straty finansowe wielu organizacji
Oprócz zmęczenia cybernetycznego firmy stoją przed wyzwaniem bieżącego utrzymania uprzywilejowanego dostępu, zwłaszcza gdy zmieniają się role pracowników lub gdy opuszczają oni organizację. Naruszenie i nadużycie kont uprzywilejowanych naraziło już wiele organizacji na ogromne straty. Wyzwanie stanowi także zabezpieczenie kont usług, ponieważ w przeszłości konfigurowano je za pomocą hasła statycznego, które nie wygasa i nigdy się nie zmienia.
W odpowiedzi na te wyzwania prezentujemy „7 zabójczo uprzywilejowanych kont”, które wszystkie organizacje powinny odkryć, odpowiednio zabezpieczyć oraz zarządzać nimi tak, aby zmniejszyć ryzyko związane z bezpieczeństwem ich działalności.
Konto, z poziomu którego można zrobić prawie wszystko. Konto administratora domeny ma pełny dostęp i kontrolę nad domeną AD. Ta grupa jest domyślnie członkiem grupy Administratorzy na wszystkich kontrolerach domeny, wszystkich stacjach roboczych domeny i wszystkich serwerach członkowskich w momencie dołączenia do domeny. Domyślnie konto administratora jest członkiem tej grupy. Ponieważ grupa ma pełną kontrolę w domenie, zawsze dodawaj użytkowników ze szczególną ostrożnością, pełnym audytem i uwierzytelnieniem. [1]
Konta te powinny być jak najbardziej ograniczone: dostęp i korzystanie z tych kont musi być udzielane wyłącznie na zasadzie żądania z dodatkowymi uwierzytelnieniami w celu zapobieżenia nieuprawnionemu użyciu. Wszystkie ich działania powinny być w pełni kontrolowane i monitorowane.
Konta te łączą wiele systemów i aplikacji, dzięki czemu mogą komunikować się i uzyskiwać dostęp do potrzebnych zasobów, zazwyczaj do uruchamiania raportów, uzyskiwania dostępu do baz danych lub wywoływania interfejsów API. Konta te wydają się być problematyczne, zwłaszcza przy zmianie hasła, które w niemal wszystkich sytuacjach powoduje zerwanie aplikacji do momentu zsynchronizowania w środowisku. Te trudne i przerażające chwile wynikają z przyjętej w organizacjach zasady „nie dotykaj tego hasła” lub szczegółowych procesów dotyczących ich obsługi. Konta te są zwykle używane do tworzenia kopii zapasowych, rozwiązań analitycznych, wdrażania oprogramowania i aktualizacji poprawek zabezpieczeń.
Czasami nazywane „zapomnianym kontem uprzywilejowanym”, czyli tym, do którego wiele firm udziela dostępu wszystkim pracownikom. To właśnie w nie wszyscy cyberprzestępcy celują, aby ocenić bezpieczeństwo i poziom ochrony organizacji. To główny winowajca nadmiernie uprzywilejowanych kont pracowników.
Domyślnym lokalnym kontem administratora jest konto użytkownika dla administratora systemu. Każdy komputer ma konto administratora (SID S-1-5-domena-500, nazwa wyświetlana: Administrator), jest ono pierwszym kontem tworzonym podczas instalacji dla wszystkich systemów operacyjnych Windows Server i klienta Windows.
W systemach operacyjnych Windows Server konto Administrator daje użytkownikowi pełny dostęp do plików, katalogów, usług i innych zasobów, będących pod kontrolą lokalnego serwera. Konto Administrator może być używane do tworzenia lokalnych użytkowników, przypisywania uprawnień użytkownika oraz uprawnień kontroli dostępu. Konto administratora można również wykorzystać do przejęcia kontroli nad lokalnymi zasobami w dowolnym momencie, po prostu zmieniając prawa użytkownika i uprawnienia.
Domyślne konto administratora nie może zostać usunięte lub zablokowane, ale można je zmienić lub dezaktywować. [2]
Konta te są zazwyczaj domyślnie wyłączone do czasu krytycznego zdarzenia. Po jego wystąpieniu określeni użytkownicy muszą mieć uprzywilejowany dostęp do przywracania systemów, usług lub nawet reagowania na incydenty bezpieczeństwa. Są one używane tylko w sytuacjach awaryjnych, gdy normalne usługi nie są dostępne. Przykładowo, podczas incydentu cyberprzestępstwa, są one wykorzystywane do uzyskania dostępu do systemów w celu przeprowadzenia cyfrowej ekspertyzy i zredukowania zanieczyszczenia dowodów z rejestru logów. Mogą być również używane do ograniczania ciągłego nadużywania zagrożonych kont.
Konta usług są zwykle używane w systemach operacyjnych do uruchamiania aplikacji lub programów, zarówno w kontekście kont systemowych (konta o wysokim uprzywilejowaniu bez hasła), jak i określonego konta użytkownika (zwykle tworzonego ręcznie lub podczas instalacji oprogramowania). W systemach Unix i Linux często są znane jako ‘init’ lub ‘inetd’ i również mogą uruchamiać programy. Konta usług zwykle nie mogą logować się do systemów, jednak najczęściej zabezpiecza je nigdy nie zmieniane hasło. Co więcej, konta te nie wygasają. Konta serwisowe są często nadużywane przez cyberprzestępców, którzy łamią je i uruchamiają własne pliki binarne na podwyższonych uprawnieniach, zapewniających im dostęp zdalny.
Konta aplikacji są rutynowo używane do zapewnienia aplikacji dostępu do wymaganych zasobów, takich jak bazy danych, sieci, zautomatyzowane zadania (np. wdrażanie oprogramowania), automatyczne aktualizacje i możliwości wprowadzania zmian w konfiguracji. Konta te zazwyczaj przechowują hasła w plikach konfiguracyjnych, czasem dla uzyskania niezbędnego dostępu używają kont lokalnych lub usługowych. Konta aplikacji są również częstym celem cyberprzestępców, ponieważ mogą być łatwo naruszone przy użyciu znanych luk, które umożliwiają atakującym uzyskanie zdalnego dostępu, zmodyfikowanie binarów systemu lub podniesienie standardowych kont do uprzywilejowanych, umożliwiające im poruszanie się po sieci. Większość organizacji nie potrafi poprawnie „łatać” aplikacji, więc atakujący mogą nadużywać tych luk zbyt często.
Jest to prawdopodobnie najbardziej niebezpieczny uprzywilejowany dostęp ze wszystkich. Tak, to konto jest standardowym kontem użytkownika, ale ma DOSTĘP do WRAŻLIWYCH, PRYWATNYCH DANYCH. Pomyśl o lekarzu, który ma dostęp do danych pacjenta lub księgowym, który ma dostęp do sprawozdań finansowych. To zwykłe konta użytkownika, ale chodzi o to do czego mają dostęp. Konta użytkowników uprzywilejowanych danych często nie są monitorowane lub zabezpieczone, jak konta uprzywilejowane, a bezpieczeństwo koncentruje się na aplikacji, w której dane są przechowywane, choć nie zawsze. Firmy powinny przeprowadzać ocenę ryzyka danych, aby wykryć uprzywilejowane dane i zabezpieczyć WSZYSTKIE standardowe konta, które mają dostęp do poufnych danych.
To tylko niektóre z uprzywilejowanych kont, których zabezpieczenie organizacje powinny traktować priorytetowo, aby zmniejszyć ryzyko ich naruszenia i nadużycia.
Inne konta uprzywilejowane to:
– Konta root
– Konta używane do uzyskiwania dostępu do rozwiązań bezpieczeństwa
– Konta Wi-Fi
– Konta sprzętowe, takie jak BIOS i vPro
– Uprzywilejowane konta użytkowników
– Sprzęt sieciowy
– Konta zapory
– Współdzielone konta uprzywilejowane
Chcesz dowiedzieć się więcej o zabezpieczaniu kont uprzywilejowanych? Skontaktuj się z nami!
Źródło: https://thycotic.com/company/blog/2019/03/26/top-7-deadly-privileged-accounts/?utm_medium=Organic-Social&utm_source=linkedin&utm_campaign=7-deadly-privileged-acccounts&utm_content=32519&utm_term=32519_7-deadly-privileged-acccounts
7 zabójczo uprzywilejowanych kont: odkryj → zabezpiecz → zarządzaj.
Konta uprzywilejowane i uprzywilejowany dostęp są dziś sercem biznesu każdej firmy. Zapewniają zespołowi IT możliwość administrowania i zarządzania systemami organizacji, infrastrukturą
i oprogramowaniem, a pracownikom dostęp do danych, które umożliwiają im podejmowanie kluczowych decyzji biznesowych.
Konta uprzywilejowane są także najczęstszym celem hakerów i cyberprzestępców. Pozwalają im na swobodne i niewykrywalne poruszanie się po sieci, uzyskiwanie dostępu do krytycznych systemów i poufnych danych. Konta uprzywilejowane umożliwiają wprowadzanie zmian w konfiguracji systemu i oprogramowania, wykonywanie zadań administracyjnych, tworzenie i modyfikowanie kont użytkowników, instalowanie oprogramowania, tworzenie kopii zapasowych danych, aktualizowanie zabezpieczeń i poprawek, włączanie interaktywnych logowań i oczywiście uzyskiwanie dostępu do wrażliwych danych. Wszystkie te działania mają kluczowe znaczenie dla funkcjonowania firmy, utrzymania systemów i oprogramowania w ruchu.
Nie zakładaj, że konta uprzywilejowane są bezpośrednio dostosowane do ról pracowników
Konta uprzywilejowane są zazwyczaj ograniczone do ról pracowników w firmie, ale czasami mogą być mapowane na konta użytkowników niezależnie od ich roli. Dlatego założenie, że konta uprzywilejowane są bezpośrednio dostosowane do zadań pracowników to duży błąd. Konta uprzywilejowane mogą być używane przez wiele różnych podmiotów, na przykład: administratorów IT, zespoły bezpieczeństwa, pracowników działu pomocy technicznej, zewnętrznych wykonawców, właścicieli aplikacji, administratorów baz danych, a także systemy operacyjne i konta usług.
Konta uprzywilejowane można znaleźć w całej infrastrukturze organizacji, niezależnie od ich fizycznej lokalizacji – czy to w siedzibie firmy, czy to w chmurze, czy poprzez aplikacje SaaS. Typowe lokalizacje kont uprzywilejowanych to domyślne poświadczenia na serwerach, punktach końcowych
i systemach operacyjnych. Można je również znaleźć w środowiskach wirtualnych, oprogramowaniu, środowiskach chmurowych, bazach danych, kontach usług i większości aplikacji. To tylko kilka przykładów. Pokazuje to jednak, że konta uprzywilejowane można znaleźć praktycznie wszędzie,
a organizacja ma ich często nawet pięć razy więcej niż systemów.
Wiele organizacji boryka się z problemem zmęczenia cybernetycznego – stanu przytłoczenia przez obowiązki związane z zabezpieczeniem, czyli ogromną liczbą haseł i poświadczeń, które pracownicy muszą utrzymywać i pamiętać. Jest to poważny problem w całej firmie i wpływa nie tylko na zespół IT, ale także na zespół odpowiadający za bezpieczeństwo i wszystkich pracowników, którzy potrzebują dostępu do wielu systemów i aplikacji.
Brak aktualizacji stanu uprzywilejowanych kont spowodowało straty finansowe wielu organizacji
Oprócz zmęczenia cybernetycznego firmy stoją przed wyzwaniem bieżącego utrzymania uprzywilejowanego dostępu, zwłaszcza gdy zmieniają się role pracowników lub gdy opuszczają oni organizację. Naruszenie i nadużycie kont uprzywilejowanych naraziło już wiele organizacji na ogromne straty. Wyzwanie stanowi także zabezpieczenie kont usług, ponieważ w przeszłości konfigurowano je za pomocą hasła statycznego, które nie wygasa i nigdy się nie zmienia.
W odpowiedzi na te wyzwania prezentujemy „7 zabójczo uprzywilejowanych kont”, które wszystkie organizacje powinny odkryć, odpowiednio zabezpieczyć oraz zarządzać nimi tak, aby zmniejszyć ryzyko związane z bezpieczeństwem ich działalności.
Konto, z poziomu którego można zrobić prawie wszystko. Konto administratora domeny ma pełny dostęp i kontrolę nad domeną AD. Ta grupa jest domyślnie członkiem grupy Administratorzy na wszystkich kontrolerach domeny, wszystkich stacjach roboczych domeny i wszystkich serwerach członkowskich w momencie dołączenia do domeny. Domyślnie konto administratora jest członkiem tej grupy. Ponieważ grupa ma pełną kontrolę w domenie, zawsze dodawaj użytkowników ze szczególną ostrożnością, pełnym audytem i uwierzytelnieniem. [1]
Konta te powinny być jak najbardziej ograniczone: dostęp i korzystanie z tych kont musi być udzielane wyłącznie na zasadzie żądania z dodatkowymi uwierzytelnieniami w celu zapobieżenia nieuprawnionemu użyciu. Wszystkie ich działania powinny być w pełni kontrolowane i monitorowane.
Konta te łączą wiele systemów i aplikacji, dzięki czemu mogą komunikować się i uzyskiwać dostęp do potrzebnych zasobów, zazwyczaj do uruchamiania raportów, uzyskiwania dostępu do baz danych lub wywoływania interfejsów API. Konta te wydają się być problematyczne, zwłaszcza przy zmianie hasła, które w niemal wszystkich sytuacjach powoduje zerwanie aplikacji do momentu zsynchronizowania w środowisku. Te trudne i przerażające chwile wynikają z przyjętej w organizacjach zasady „nie dotykaj tego hasła” lub szczegółowych procesów dotyczących ich obsługi. Konta te są zwykle używane do tworzenia kopii zapasowych, rozwiązań analitycznych, wdrażania oprogramowania i aktualizacji poprawek zabezpieczeń.
Czasami nazywane „zapomnianym kontem uprzywilejowanym”, czyli tym, do którego wiele firm udziela dostępu wszystkim pracownikom. To właśnie w nie wszyscy cyberprzestępcy celują, aby ocenić bezpieczeństwo i poziom ochrony organizacji. To główny winowajca nadmiernie uprzywilejowanych kont pracowników.
Domyślnym lokalnym kontem administratora jest konto użytkownika dla administratora systemu. Każdy komputer ma konto administratora (SID S-1-5-domena-500, nazwa wyświetlana: Administrator), jest ono pierwszym kontem tworzonym podczas instalacji dla wszystkich systemów operacyjnych Windows Server i klienta Windows.
W systemach operacyjnych Windows Server konto Administrator daje użytkownikowi pełny dostęp do plików, katalogów, usług i innych zasobów, będących pod kontrolą lokalnego serwera. Konto Administrator może być używane do tworzenia lokalnych użytkowników, przypisywania uprawnień użytkownika oraz uprawnień kontroli dostępu. Konto administratora można również wykorzystać do przejęcia kontroli nad lokalnymi zasobami w dowolnym momencie, po prostu zmieniając prawa użytkownika i uprawnienia.
Domyślne konto administratora nie może zostać usunięte lub zablokowane, ale można je zmienić lub dezaktywować. [2]
Konta te są zazwyczaj domyślnie wyłączone do czasu krytycznego zdarzenia. Po jego wystąpieniu określeni użytkownicy muszą mieć uprzywilejowany dostęp do przywracania systemów, usług lub nawet reagowania na incydenty bezpieczeństwa. Są one używane tylko w sytuacjach awaryjnych, gdy normalne usługi nie są dostępne. Przykładowo, podczas incydentu cyberprzestępstwa, są one wykorzystywane do uzyskania dostępu do systemów w celu przeprowadzenia cyfrowej ekspertyzy i zredukowania zanieczyszczenia dowodów z rejestru logów. Mogą być również używane do ograniczania ciągłego nadużywania zagrożonych kont.
Konta usług są zwykle używane w systemach operacyjnych do uruchamiania aplikacji lub programów, zarówno w kontekście kont systemowych (konta o wysokim uprzywilejowaniu bez hasła), jak i określonego konta użytkownika (zwykle tworzonego ręcznie lub podczas instalacji oprogramowania). W systemach Unix i Linux często są znane jako ‘init’ lub ‘inetd’ i również mogą uruchamiać programy. Konta usług zwykle nie mogą logować się do systemów, jednak najczęściej zabezpiecza je nigdy nie zmieniane hasło. Co więcej, konta te nie wygasają. Konta serwisowe są często nadużywane przez cyberprzestępców, którzy łamią je i uruchamiają własne pliki binarne na podwyższonych uprawnieniach, zapewniających im dostęp zdalny.
Konta aplikacji są rutynowo używane do zapewnienia aplikacji dostępu do wymaganych zasobów, takich jak bazy danych, sieci, zautomatyzowane zadania (np. wdrażanie oprogramowania), automatyczne aktualizacje i możliwości wprowadzania zmian w konfiguracji. Konta te zazwyczaj przechowują hasła w plikach konfiguracyjnych, czasem dla uzyskania niezbędnego dostępu używają kont lokalnych lub usługowych. Konta aplikacji są również częstym celem cyberprzestępców, ponieważ mogą być łatwo naruszone przy użyciu znanych luk, które umożliwiają atakującym uzyskanie zdalnego dostępu, zmodyfikowanie binarów systemu lub podniesienie standardowych kont do uprzywilejowanych, umożliwiające im poruszanie się po sieci. Większość organizacji nie potrafi poprawnie „łatać” aplikacji, więc atakujący mogą nadużywać tych luk zbyt często.
Jest to prawdopodobnie najbardziej niebezpieczny uprzywilejowany dostęp ze wszystkich. Tak, to konto jest standardowym kontem użytkownika, ale ma DOSTĘP do WRAŻLIWYCH, PRYWATNYCH DANYCH. Pomyśl o lekarzu, który ma dostęp do danych pacjenta lub księgowym, który ma dostęp do sprawozdań finansowych. To zwykłe konta użytkownika, ale chodzi o to do czego mają dostęp. Konta użytkowników uprzywilejowanych danych często nie są monitorowane lub zabezpieczone, jak konta uprzywilejowane, a bezpieczeństwo koncentruje się na aplikacji, w której dane są przechowywane, choć nie zawsze. Firmy powinny przeprowadzać ocenę ryzyka danych, aby wykryć uprzywilejowane dane i zabezpieczyć WSZYSTKIE standardowe konta, które mają dostęp do poufnych danych.
To tylko niektóre z uprzywilejowanych kont, których zabezpieczenie organizacje powinny traktować priorytetowo, aby zmniejszyć ryzyko ich naruszenia i nadużycia.
Inne konta uprzywilejowane to:
– Konta root
– Konta używane do uzyskiwania dostępu do rozwiązań bezpieczeństwa
– Konta Wi-Fi
– Konta sprzętowe, takie jak BIOS i vPro
– Uprzywilejowane konta użytkowników
– Sprzęt sieciowy
– Konta zapory
– Współdzielone konta uprzywilejowane
Chcesz dowiedzieć się więcej o zabezpieczaniu kont uprzywilejowanych? Skontaktuj się z nami!
Źródło: https://thycotic.com/company/blog/2019/03/26/top-7-deadly-privileged-accounts/?utm_medium=Organic-Social&utm_source=linkedin&utm_campaign=7-deadly-privileged-acccounts&utm_content=32519&utm_term=32519_7-deadly-privileged-acccounts
7 zabójczo uprzywilejowanych kont: odkryj → zabezpiecz → zarządzaj.
Konta uprzywilejowane i uprzywilejowany dostęp są dziś sercem biznesu każdej firmy. Zapewniają zespołowi IT możliwość administrowania i zarządzania systemami organizacji, infrastrukturą
i oprogramowaniem, a pracownikom dostęp do danych, które umożliwiają im podejmowanie kluczowych decyzji biznesowych.
Konta uprzywilejowane są także najczęstszym celem hakerów i cyberprzestępców. Pozwalają im na swobodne i niewykrywalne poruszanie się po sieci, uzyskiwanie dostępu do krytycznych systemów i poufnych danych. Konta uprzywilejowane umożliwiają wprowadzanie zmian w konfiguracji systemu i oprogramowania, wykonywanie zadań administracyjnych, tworzenie i modyfikowanie kont użytkowników, instalowanie oprogramowania, tworzenie kopii zapasowych danych, aktualizowanie zabezpieczeń i poprawek, włączanie interaktywnych logowań i oczywiście uzyskiwanie dostępu do wrażliwych danych. Wszystkie te działania mają kluczowe znaczenie dla funkcjonowania firmy, utrzymania systemów i oprogramowania w ruchu.
Nie zakładaj, że konta uprzywilejowane są bezpośrednio dostosowane do ról pracowników
Konta uprzywilejowane są zazwyczaj ograniczone do ról pracowników w firmie, ale czasami mogą być mapowane na konta użytkowników niezależnie od ich roli. Dlatego założenie, że konta uprzywilejowane są bezpośrednio dostosowane do zadań pracowników to duży błąd. Konta uprzywilejowane mogą być używane przez wiele różnych podmiotów, na przykład: administratorów IT, zespoły bezpieczeństwa, pracowników działu pomocy technicznej, zewnętrznych wykonawców, właścicieli aplikacji, administratorów baz danych, a także systemy operacyjne i konta usług.
Konta uprzywilejowane można znaleźć w całej infrastrukturze organizacji, niezależnie od ich fizycznej lokalizacji – czy to w siedzibie firmy, czy to w chmurze, czy poprzez aplikacje SaaS. Typowe lokalizacje kont uprzywilejowanych to domyślne poświadczenia na serwerach, punktach końcowych
i systemach operacyjnych. Można je również znaleźć w środowiskach wirtualnych, oprogramowaniu, środowiskach chmurowych, bazach danych, kontach usług i większości aplikacji. To tylko kilka przykładów. Pokazuje to jednak, że konta uprzywilejowane można znaleźć praktycznie wszędzie,
a organizacja ma ich często nawet pięć razy więcej niż systemów.
Wiele organizacji boryka się z problemem zmęczenia cybernetycznego – stanu przytłoczenia przez obowiązki związane z zabezpieczeniem, czyli ogromną liczbą haseł i poświadczeń, które pracownicy muszą utrzymywać i pamiętać. Jest to poważny problem w całej firmie i wpływa nie tylko na zespół IT, ale także na zespół odpowiadający za bezpieczeństwo i wszystkich pracowników, którzy potrzebują dostępu do wielu systemów i aplikacji.
Brak aktualizacji stanu uprzywilejowanych kont spowodowało straty finansowe wielu organizacji
Oprócz zmęczenia cybernetycznego firmy stoją przed wyzwaniem bieżącego utrzymania uprzywilejowanego dostępu, zwłaszcza gdy zmieniają się role pracowników lub gdy opuszczają oni organizację. Naruszenie i nadużycie kont uprzywilejowanych naraziło już wiele organizacji na ogromne straty. Wyzwanie stanowi także zabezpieczenie kont usług, ponieważ w przeszłości konfigurowano je za pomocą hasła statycznego, które nie wygasa i nigdy się nie zmienia.
W odpowiedzi na te wyzwania prezentujemy „7 zabójczo uprzywilejowanych kont”, które wszystkie organizacje powinny odkryć, odpowiednio zabezpieczyć oraz zarządzać nimi tak, aby zmniejszyć ryzyko związane z bezpieczeństwem ich działalności.
Konto, z poziomu którego można zrobić prawie wszystko. Konto administratora domeny ma pełny dostęp i kontrolę nad domeną AD. Ta grupa jest domyślnie członkiem grupy Administratorzy na wszystkich kontrolerach domeny, wszystkich stacjach roboczych domeny i wszystkich serwerach członkowskich w momencie dołączenia do domeny. Domyślnie konto administratora jest członkiem tej grupy. Ponieważ grupa ma pełną kontrolę w domenie, zawsze dodawaj użytkowników ze szczególną ostrożnością, pełnym audytem i uwierzytelnieniem. [1]
Konta te powinny być jak najbardziej ograniczone: dostęp i korzystanie z tych kont musi być udzielane wyłącznie na zasadzie żądania z dodatkowymi uwierzytelnieniami w celu zapobieżenia nieuprawnionemu użyciu. Wszystkie ich działania powinny być w pełni kontrolowane i monitorowane.
Konta te łączą wiele systemów i aplikacji, dzięki czemu mogą komunikować się i uzyskiwać dostęp do potrzebnych zasobów, zazwyczaj do uruchamiania raportów, uzyskiwania dostępu do baz danych lub wywoływania interfejsów API. Konta te wydają się być problematyczne, zwłaszcza przy zmianie hasła, które w niemal wszystkich sytuacjach powoduje zerwanie aplikacji do momentu zsynchronizowania w środowisku. Te trudne i przerażające chwile wynikają z przyjętej w organizacjach zasady „nie dotykaj tego hasła” lub szczegółowych procesów dotyczących ich obsługi. Konta te są zwykle używane do tworzenia kopii zapasowych, rozwiązań analitycznych, wdrażania oprogramowania i aktualizacji poprawek zabezpieczeń.
Czasami nazywane „zapomnianym kontem uprzywilejowanym”, czyli tym, do którego wiele firm udziela dostępu wszystkim pracownikom. To właśnie w nie wszyscy cyberprzestępcy celują, aby ocenić bezpieczeństwo i poziom ochrony organizacji. To główny winowajca nadmiernie uprzywilejowanych kont pracowników.
Domyślnym lokalnym kontem administratora jest konto użytkownika dla administratora systemu. Każdy komputer ma konto administratora (SID S-1-5-domena-500, nazwa wyświetlana: Administrator), jest ono pierwszym kontem tworzonym podczas instalacji dla wszystkich systemów operacyjnych Windows Server i klienta Windows.
W systemach operacyjnych Windows Server konto Administrator daje użytkownikowi pełny dostęp do plików, katalogów, usług i innych zasobów, będących pod kontrolą lokalnego serwera. Konto Administrator może być używane do tworzenia lokalnych użytkowników, przypisywania uprawnień użytkownika oraz uprawnień kontroli dostępu. Konto administratora można również wykorzystać do przejęcia kontroli nad lokalnymi zasobami w dowolnym momencie, po prostu zmieniając prawa użytkownika i uprawnienia.
Domyślne konto administratora nie może zostać usunięte lub zablokowane, ale można je zmienić lub dezaktywować. [2]
Konta te są zazwyczaj domyślnie wyłączone do czasu krytycznego zdarzenia. Po jego wystąpieniu określeni użytkownicy muszą mieć uprzywilejowany dostęp do przywracania systemów, usług lub nawet reagowania na incydenty bezpieczeństwa. Są one używane tylko w sytuacjach awaryjnych, gdy normalne usługi nie są dostępne. Przykładowo, podczas incydentu cyberprzestępstwa, są one wykorzystywane do uzyskania dostępu do systemów w celu przeprowadzenia cyfrowej ekspertyzy i zredukowania zanieczyszczenia dowodów z rejestru logów. Mogą być również używane do ograniczania ciągłego nadużywania zagrożonych kont.
Konta usług są zwykle używane w systemach operacyjnych do uruchamiania aplikacji lub programów, zarówno w kontekście kont systemowych (konta o wysokim uprzywilejowaniu bez hasła), jak i określonego konta użytkownika (zwykle tworzonego ręcznie lub podczas instalacji oprogramowania). W systemach Unix i Linux często są znane jako ‘init’ lub ‘inetd’ i również mogą uruchamiać programy. Konta usług zwykle nie mogą logować się do systemów, jednak najczęściej zabezpiecza je nigdy nie zmieniane hasło. Co więcej, konta te nie wygasają. Konta serwisowe są często nadużywane przez cyberprzestępców, którzy łamią je i uruchamiają własne pliki binarne na podwyższonych uprawnieniach, zapewniających im dostęp zdalny.
Konta aplikacji są rutynowo używane do zapewnienia aplikacji dostępu do wymaganych zasobów, takich jak bazy danych, sieci, zautomatyzowane zadania (np. wdrażanie oprogramowania), automatyczne aktualizacje i możliwości wprowadzania zmian w konfiguracji. Konta te zazwyczaj przechowują hasła w plikach konfiguracyjnych, czasem dla uzyskania niezbędnego dostępu używają kont lokalnych lub usługowych. Konta aplikacji są również częstym celem cyberprzestępców, ponieważ mogą być łatwo naruszone przy użyciu znanych luk, które umożliwiają atakującym uzyskanie zdalnego dostępu, zmodyfikowanie binarów systemu lub podniesienie standardowych kont do uprzywilejowanych, umożliwiające im poruszanie się po sieci. Większość organizacji nie potrafi poprawnie „łatać” aplikacji, więc atakujący mogą nadużywać tych luk zbyt często.
Jest to prawdopodobnie najbardziej niebezpieczny uprzywilejowany dostęp ze wszystkich. Tak, to konto jest standardowym kontem użytkownika, ale ma DOSTĘP do WRAŻLIWYCH, PRYWATNYCH DANYCH. Pomyśl o lekarzu, który ma dostęp do danych pacjenta lub księgowym, który ma dostęp do sprawozdań finansowych. To zwykłe konta użytkownika, ale chodzi o to do czego mają dostęp. Konta użytkowników uprzywilejowanych danych często nie są monitorowane lub zabezpieczone, jak konta uprzywilejowane, a bezpieczeństwo koncentruje się na aplikacji, w której dane są przechowywane, choć nie zawsze. Firmy powinny przeprowadzać ocenę ryzyka danych, aby wykryć uprzywilejowane dane i zabezpieczyć WSZYSTKIE standardowe konta, które mają dostęp do poufnych danych.
To tylko niektóre z uprzywilejowanych kont, których zabezpieczenie organizacje powinny traktować priorytetowo, aby zmniejszyć ryzyko ich naruszenia i nadużycia.
Inne konta uprzywilejowane to:
– Konta root
– Konta używane do uzyskiwania dostępu do rozwiązań bezpieczeństwa
– Konta Wi-Fi
– Konta sprzętowe, takie jak BIOS i vPro
– Uprzywilejowane konta użytkowników
– Sprzęt sieciowy
– Konta zapory
– Współdzielone konta uprzywilejowane
Chcesz dowiedzieć się więcej o zabezpieczaniu kont uprzywilejowanych? Skontaktuj się z nami!
Źródło: https://thycotic.com/company/blog/2019/03/26/top-7-deadly-privileged-accounts/?utm_medium=Organic-Social&utm_source=linkedin&utm_campaign=7-deadly-privileged-acccounts&utm_content=32519&utm_term=32519_7-deadly-privileged-acccounts
7 zabójczo uprzywilejowanych kont: odkryj → zabezpiecz → zarządzaj.
Konta uprzywilejowane i uprzywilejowany dostęp są dziś sercem biznesu każdej firmy. Zapewniają zespołowi IT możliwość administrowania i zarządzania systemami organizacji, infrastrukturą
i oprogramowaniem, a pracownikom dostęp do danych, które umożliwiają im podejmowanie kluczowych decyzji biznesowych.
Konta uprzywilejowane są także najczęstszym celem hakerów i cyberprzestępców. Pozwalają im na swobodne i niewykrywalne poruszanie się po sieci, uzyskiwanie dostępu do krytycznych systemów i poufnych danych. Konta uprzywilejowane umożliwiają wprowadzanie zmian w konfiguracji systemu i oprogramowania, wykonywanie zadań administracyjnych, tworzenie i modyfikowanie kont użytkowników, instalowanie oprogramowania, tworzenie kopii zapasowych danych, aktualizowanie zabezpieczeń i poprawek, włączanie interaktywnych logowań i oczywiście uzyskiwanie dostępu do wrażliwych danych. Wszystkie te działania mają kluczowe znaczenie dla funkcjonowania firmy, utrzymania systemów i oprogramowania w ruchu.
Nie zakładaj, że konta uprzywilejowane są bezpośrednio dostosowane do ról pracowników
Konta uprzywilejowane są zazwyczaj ograniczone do ról pracowników w firmie, ale czasami mogą być mapowane na konta użytkowników niezależnie od ich roli. Dlatego założenie, że konta uprzywilejowane są bezpośrednio dostosowane do zadań pracowników to duży błąd. Konta uprzywilejowane mogą być używane przez wiele różnych podmiotów, na przykład: administratorów IT, zespoły bezpieczeństwa, pracowników działu pomocy technicznej, zewnętrznych wykonawców, właścicieli aplikacji, administratorów baz danych, a także systemy operacyjne i konta usług.
Konta uprzywilejowane można znaleźć w całej infrastrukturze organizacji, niezależnie od ich fizycznej lokalizacji – czy to w siedzibie firmy, czy to w chmurze, czy poprzez aplikacje SaaS. Typowe lokalizacje kont uprzywilejowanych to domyślne poświadczenia na serwerach, punktach końcowych
i systemach operacyjnych. Można je również znaleźć w środowiskach wirtualnych, oprogramowaniu, środowiskach chmurowych, bazach danych, kontach usług i większości aplikacji. To tylko kilka przykładów. Pokazuje to jednak, że konta uprzywilejowane można znaleźć praktycznie wszędzie,
a organizacja ma ich często nawet pięć razy więcej niż systemów.
Wiele organizacji boryka się z problemem zmęczenia cybernetycznego – stanu przytłoczenia przez obowiązki związane z zabezpieczeniem, czyli ogromną liczbą haseł i poświadczeń, które pracownicy muszą utrzymywać i pamiętać. Jest to poważny problem w całej firmie i wpływa nie tylko na zespół IT, ale także na zespół odpowiadający za bezpieczeństwo i wszystkich pracowników, którzy potrzebują dostępu do wielu systemów i aplikacji.
Brak aktualizacji stanu uprzywilejowanych kont spowodowało straty finansowe wielu organizacji
Oprócz zmęczenia cybernetycznego firmy stoją przed wyzwaniem bieżącego utrzymania uprzywilejowanego dostępu, zwłaszcza gdy zmieniają się role pracowników lub gdy opuszczają oni organizację. Naruszenie i nadużycie kont uprzywilejowanych naraziło już wiele organizacji na ogromne straty. Wyzwanie stanowi także zabezpieczenie kont usług, ponieważ w przeszłości konfigurowano je za pomocą hasła statycznego, które nie wygasa i nigdy się nie zmienia.
W odpowiedzi na te wyzwania prezentujemy „7 zabójczo uprzywilejowanych kont”, które wszystkie organizacje powinny odkryć, odpowiednio zabezpieczyć oraz zarządzać nimi tak, aby zmniejszyć ryzyko związane z bezpieczeństwem ich działalności.
Konto, z poziomu którego można zrobić prawie wszystko. Konto administratora domeny ma pełny dostęp i kontrolę nad domeną AD. Ta grupa jest domyślnie członkiem grupy Administratorzy na wszystkich kontrolerach domeny, wszystkich stacjach roboczych domeny i wszystkich serwerach członkowskich w momencie dołączenia do domeny. Domyślnie konto administratora jest członkiem tej grupy. Ponieważ grupa ma pełną kontrolę w domenie, zawsze dodawaj użytkowników ze szczególną ostrożnością, pełnym audytem i uwierzytelnieniem. [1]
Konta te powinny być jak najbardziej ograniczone: dostęp i korzystanie z tych kont musi być udzielane wyłącznie na zasadzie żądania z dodatkowymi uwierzytelnieniami w celu zapobieżenia nieuprawnionemu użyciu. Wszystkie ich działania powinny być w pełni kontrolowane i monitorowane.
Konta te łączą wiele systemów i aplikacji, dzięki czemu mogą komunikować się i uzyskiwać dostęp do potrzebnych zasobów, zazwyczaj do uruchamiania raportów, uzyskiwania dostępu do baz danych lub wywoływania interfejsów API. Konta te wydają się być problematyczne, zwłaszcza przy zmianie hasła, które w niemal wszystkich sytuacjach powoduje zerwanie aplikacji do momentu zsynchronizowania w środowisku. Te trudne i przerażające chwile wynikają z przyjętej w organizacjach zasady „nie dotykaj tego hasła” lub szczegółowych procesów dotyczących ich obsługi. Konta te są zwykle używane do tworzenia kopii zapasowych, rozwiązań analitycznych, wdrażania oprogramowania i aktualizacji poprawek zabezpieczeń.
Czasami nazywane „zapomnianym kontem uprzywilejowanym”, czyli tym, do którego wiele firm udziela dostępu wszystkim pracownikom. To właśnie w nie wszyscy cyberprzestępcy celują, aby ocenić bezpieczeństwo i poziom ochrony organizacji. To główny winowajca nadmiernie uprzywilejowanych kont pracowników.
Domyślnym lokalnym kontem administratora jest konto użytkownika dla administratora systemu. Każdy komputer ma konto administratora (SID S-1-5-domena-500, nazwa wyświetlana: Administrator), jest ono pierwszym kontem tworzonym podczas instalacji dla wszystkich systemów operacyjnych Windows Server i klienta Windows.
W systemach operacyjnych Windows Server konto Administrator daje użytkownikowi pełny dostęp do plików, katalogów, usług i innych zasobów, będących pod kontrolą lokalnego serwera. Konto Administrator może być używane do tworzenia lokalnych użytkowników, przypisywania uprawnień użytkownika oraz uprawnień kontroli dostępu. Konto administratora można również wykorzystać do przejęcia kontroli nad lokalnymi zasobami w dowolnym momencie, po prostu zmieniając prawa użytkownika i uprawnienia.
Domyślne konto administratora nie może zostać usunięte lub zablokowane, ale można je zmienić lub dezaktywować. [2]
Konta te są zazwyczaj domyślnie wyłączone do czasu krytycznego zdarzenia. Po jego wystąpieniu określeni użytkownicy muszą mieć uprzywilejowany dostęp do przywracania systemów, usług lub nawet reagowania na incydenty bezpieczeństwa. Są one używane tylko w sytuacjach awaryjnych, gdy normalne usługi nie są dostępne. Przykładowo, podczas incydentu cyberprzestępstwa, są one wykorzystywane do uzyskania dostępu do systemów w celu przeprowadzenia cyfrowej ekspertyzy i zredukowania zanieczyszczenia dowodów z rejestru logów. Mogą być również używane do ograniczania ciągłego nadużywania zagrożonych kont.
Konta usług są zwykle używane w systemach operacyjnych do uruchamiania aplikacji lub programów, zarówno w kontekście kont systemowych (konta o wysokim uprzywilejowaniu bez hasła), jak i określonego konta użytkownika (zwykle tworzonego ręcznie lub podczas instalacji oprogramowania). W systemach Unix i Linux często są znane jako ‘init’ lub ‘inetd’ i również mogą uruchamiać programy. Konta usług zwykle nie mogą logować się do systemów, jednak najczęściej zabezpiecza je nigdy nie zmieniane hasło. Co więcej, konta te nie wygasają. Konta serwisowe są często nadużywane przez cyberprzestępców, którzy łamią je i uruchamiają własne pliki binarne na podwyższonych uprawnieniach, zapewniających im dostęp zdalny.
Konta aplikacji są rutynowo używane do zapewnienia aplikacji dostępu do wymaganych zasobów, takich jak bazy danych, sieci, zautomatyzowane zadania (np. wdrażanie oprogramowania), automatyczne aktualizacje i możliwości wprowadzania zmian w konfiguracji. Konta te zazwyczaj przechowują hasła w plikach konfiguracyjnych, czasem dla uzyskania niezbędnego dostępu używają kont lokalnych lub usługowych. Konta aplikacji są również częstym celem cyberprzestępców, ponieważ mogą być łatwo naruszone przy użyciu znanych luk, które umożliwiają atakującym uzyskanie zdalnego dostępu, zmodyfikowanie binarów systemu lub podniesienie standardowych kont do uprzywilejowanych, umożliwiające im poruszanie się po sieci. Większość organizacji nie potrafi poprawnie „łatać” aplikacji, więc atakujący mogą nadużywać tych luk zbyt często.
Jest to prawdopodobnie najbardziej niebezpieczny uprzywilejowany dostęp ze wszystkich. Tak, to konto jest standardowym kontem użytkownika, ale ma DOSTĘP do WRAŻLIWYCH, PRYWATNYCH DANYCH. Pomyśl o lekarzu, który ma dostęp do danych pacjenta lub księgowym, który ma dostęp do sprawozdań finansowych. To zwykłe konta użytkownika, ale chodzi o to do czego mają dostęp. Konta użytkowników uprzywilejowanych danych często nie są monitorowane lub zabezpieczone, jak konta uprzywilejowane, a bezpieczeństwo koncentruje się na aplikacji, w której dane są przechowywane, choć nie zawsze. Firmy powinny przeprowadzać ocenę ryzyka danych, aby wykryć uprzywilejowane dane i zabezpieczyć WSZYSTKIE standardowe konta, które mają dostęp do poufnych danych.
To tylko niektóre z uprzywilejowanych kont, których zabezpieczenie organizacje powinny traktować priorytetowo, aby zmniejszyć ryzyko ich naruszenia i nadużycia.
Inne konta uprzywilejowane to:
– Konta root
– Konta używane do uzyskiwania dostępu do rozwiązań bezpieczeństwa
– Konta Wi-Fi
– Konta sprzętowe, takie jak BIOS i vPro
– Uprzywilejowane konta użytkowników
– Sprzęt sieciowy
– Konta zapory
– Współdzielone konta uprzywilejowane
Chcesz dowiedzieć się więcej o zabezpieczaniu kont uprzywilejowanych? Skontaktuj się z nami!
Źródło: https://thycotic.com/company/blog/2019/03/26/top-7-deadly-privileged-accounts/?utm_medium=Organic-Social&utm_source=linkedin&utm_campaign=7-deadly-privileged-acccounts&utm_content=32519&utm_term=32519_7-deadly-privileged-acccounts
7 zabójczo uprzywilejowanych kont: odkryj → zabezpiecz → zarządzaj.
Konta uprzywilejowane i uprzywilejowany dostęp są dziś sercem biznesu każdej firmy. Zapewniają zespołowi IT możliwość administrowania i zarządzania systemami organizacji, infrastrukturą
i oprogramowaniem, a pracownikom dostęp do danych, które umożliwiają im podejmowanie kluczowych decyzji biznesowych.
Konta uprzywilejowane są także najczęstszym celem hakerów i cyberprzestępców. Pozwalają im na swobodne i niewykrywalne poruszanie się po sieci, uzyskiwanie dostępu do krytycznych systemów i poufnych danych. Konta uprzywilejowane umożliwiają wprowadzanie zmian w konfiguracji systemu i oprogramowania, wykonywanie zadań administracyjnych, tworzenie i modyfikowanie kont użytkowników, instalowanie oprogramowania, tworzenie kopii zapasowych danych, aktualizowanie zabezpieczeń i poprawek, włączanie interaktywnych logowań i oczywiście uzyskiwanie dostępu do wrażliwych danych. Wszystkie te działania mają kluczowe znaczenie dla funkcjonowania firmy, utrzymania systemów i oprogramowania w ruchu.
Nie zakładaj, że konta uprzywilejowane są bezpośrednio dostosowane do ról pracowników
Konta uprzywilejowane są zazwyczaj ograniczone do ról pracowników w firmie, ale czasami mogą być mapowane na konta użytkowników niezależnie od ich roli. Dlatego założenie, że konta uprzywilejowane są bezpośrednio dostosowane do zadań pracowników to duży błąd. Konta uprzywilejowane mogą być używane przez wiele różnych podmiotów, na przykład: administratorów IT, zespoły bezpieczeństwa, pracowników działu pomocy technicznej, zewnętrznych wykonawców, właścicieli aplikacji, administratorów baz danych, a także systemy operacyjne i konta usług.
Konta uprzywilejowane można znaleźć w całej infrastrukturze organizacji, niezależnie od ich fizycznej lokalizacji – czy to w siedzibie firmy, czy to w chmurze, czy poprzez aplikacje SaaS. Typowe lokalizacje kont uprzywilejowanych to domyślne poświadczenia na serwerach, punktach końcowych
i systemach operacyjnych. Można je również znaleźć w środowiskach wirtualnych, oprogramowaniu, środowiskach chmurowych, bazach danych, kontach usług i większości aplikacji. To tylko kilka przykładów. Pokazuje to jednak, że konta uprzywilejowane można znaleźć praktycznie wszędzie,
a organizacja ma ich często nawet pięć razy więcej niż systemów.
Wiele organizacji boryka się z problemem zmęczenia cybernetycznego – stanu przytłoczenia przez obowiązki związane z zabezpieczeniem, czyli ogromną liczbą haseł i poświadczeń, które pracownicy muszą utrzymywać i pamiętać. Jest to poważny problem w całej firmie i wpływa nie tylko na zespół IT, ale także na zespół odpowiadający za bezpieczeństwo i wszystkich pracowników, którzy potrzebują dostępu do wielu systemów i aplikacji.
Brak aktualizacji stanu uprzywilejowanych kont spowodowało straty finansowe wielu organizacji
Oprócz zmęczenia cybernetycznego firmy stoją przed wyzwaniem bieżącego utrzymania uprzywilejowanego dostępu, zwłaszcza gdy zmieniają się role pracowników lub gdy opuszczają oni organizację. Naruszenie i nadużycie kont uprzywilejowanych naraziło już wiele organizacji na ogromne straty. Wyzwanie stanowi także zabezpieczenie kont usług, ponieważ w przeszłości konfigurowano je za pomocą hasła statycznego, które nie wygasa i nigdy się nie zmienia.
W odpowiedzi na te wyzwania prezentujemy „7 zabójczo uprzywilejowanych kont”, które wszystkie organizacje powinny odkryć, odpowiednio zabezpieczyć oraz zarządzać nimi tak, aby zmniejszyć ryzyko związane z bezpieczeństwem ich działalności.
Konto, z poziomu którego można zrobić prawie wszystko. Konto administratora domeny ma pełny dostęp i kontrolę nad domeną AD. Ta grupa jest domyślnie członkiem grupy Administratorzy na wszystkich kontrolerach domeny, wszystkich stacjach roboczych domeny i wszystkich serwerach członkowskich w momencie dołączenia do domeny. Domyślnie konto administratora jest członkiem tej grupy. Ponieważ grupa ma pełną kontrolę w domenie, zawsze dodawaj użytkowników ze szczególną ostrożnością, pełnym audytem i uwierzytelnieniem. [1]
Konta te powinny być jak najbardziej ograniczone: dostęp i korzystanie z tych kont musi być udzielane wyłącznie na zasadzie żądania z dodatkowymi uwierzytelnieniami w celu zapobieżenia nieuprawnionemu użyciu. Wszystkie ich działania powinny być w pełni kontrolowane i monitorowane.
Konta te łączą wiele systemów i aplikacji, dzięki czemu mogą komunikować się i uzyskiwać dostęp do potrzebnych zasobów, zazwyczaj do uruchamiania raportów, uzyskiwania dostępu do baz danych lub wywoływania interfejsów API. Konta te wydają się być problematyczne, zwłaszcza przy zmianie hasła, które w niemal wszystkich sytuacjach powoduje zerwanie aplikacji do momentu zsynchronizowania w środowisku. Te trudne i przerażające chwile wynikają z przyjętej w organizacjach zasady „nie dotykaj tego hasła” lub szczegółowych procesów dotyczących ich obsługi. Konta te są zwykle używane do tworzenia kopii zapasowych, rozwiązań analitycznych, wdrażania oprogramowania i aktualizacji poprawek zabezpieczeń.
Czasami nazywane „zapomnianym kontem uprzywilejowanym”, czyli tym, do którego wiele firm udziela dostępu wszystkim pracownikom. To właśnie w nie wszyscy cyberprzestępcy celują, aby ocenić bezpieczeństwo i poziom ochrony organizacji. To główny winowajca nadmiernie uprzywilejowanych kont pracowników.
Domyślnym lokalnym kontem administratora jest konto użytkownika dla administratora systemu. Każdy komputer ma konto administratora (SID S-1-5-domena-500, nazwa wyświetlana: Administrator), jest ono pierwszym kontem tworzonym podczas instalacji dla wszystkich systemów operacyjnych Windows Server i klienta Windows.
W systemach operacyjnych Windows Server konto Administrator daje użytkownikowi pełny dostęp do plików, katalogów, usług i innych zasobów, będących pod kontrolą lokalnego serwera. Konto Administrator może być używane do tworzenia lokalnych użytkowników, przypisywania uprawnień użytkownika oraz uprawnień kontroli dostępu. Konto administratora można również wykorzystać do przejęcia kontroli nad lokalnymi zasobami w dowolnym momencie, po prostu zmieniając prawa użytkownika i uprawnienia.
Domyślne konto administratora nie może zostać usunięte lub zablokowane, ale można je zmienić lub dezaktywować. [2]
Konta te są zazwyczaj domyślnie wyłączone do czasu krytycznego zdarzenia. Po jego wystąpieniu określeni użytkownicy muszą mieć uprzywilejowany dostęp do przywracania systemów, usług lub nawet reagowania na incydenty bezpieczeństwa. Są one używane tylko w sytuacjach awaryjnych, gdy normalne usługi nie są dostępne. Przykładowo, podczas incydentu cyberprzestępstwa, są one wykorzystywane do uzyskania dostępu do systemów w celu przeprowadzenia cyfrowej ekspertyzy i zredukowania zanieczyszczenia dowodów z rejestru logów. Mogą być również używane do ograniczania ciągłego nadużywania zagrożonych kont.
Konta usług są zwykle używane w systemach operacyjnych do uruchamiania aplikacji lub programów, zarówno w kontekście kont systemowych (konta o wysokim uprzywilejowaniu bez hasła), jak i określonego konta użytkownika (zwykle tworzonego ręcznie lub podczas instalacji oprogramowania). W systemach Unix i Linux często są znane jako ‘init’ lub ‘inetd’ i również mogą uruchamiać programy. Konta usług zwykle nie mogą logować się do systemów, jednak najczęściej zabezpiecza je nigdy nie zmieniane hasło. Co więcej, konta te nie wygasają. Konta serwisowe są często nadużywane przez cyberprzestępców, którzy łamią je i uruchamiają własne pliki binarne na podwyższonych uprawnieniach, zapewniających im dostęp zdalny.
Konta aplikacji są rutynowo używane do zapewnienia aplikacji dostępu do wymaganych zasobów, takich jak bazy danych, sieci, zautomatyzowane zadania (np. wdrażanie oprogramowania), automatyczne aktualizacje i możliwości wprowadzania zmian w konfiguracji. Konta te zazwyczaj przechowują hasła w plikach konfiguracyjnych, czasem dla uzyskania niezbędnego dostępu używają kont lokalnych lub usługowych. Konta aplikacji są również częstym celem cyberprzestępców, ponieważ mogą być łatwo naruszone przy użyciu znanych luk, które umożliwiają atakującym uzyskanie zdalnego dostępu, zmodyfikowanie binarów systemu lub podniesienie standardowych kont do uprzywilejowanych, umożliwiające im poruszanie się po sieci. Większość organizacji nie potrafi poprawnie „łatać” aplikacji, więc atakujący mogą nadużywać tych luk zbyt często.
Jest to prawdopodobnie najbardziej niebezpieczny uprzywilejowany dostęp ze wszystkich. Tak, to konto jest standardowym kontem użytkownika, ale ma DOSTĘP do WRAŻLIWYCH, PRYWATNYCH DANYCH. Pomyśl o lekarzu, który ma dostęp do danych pacjenta lub księgowym, który ma dostęp do sprawozdań finansowych. To zwykłe konta użytkownika, ale chodzi o to do czego mają dostęp. Konta użytkowników uprzywilejowanych danych często nie są monitorowane lub zabezpieczone, jak konta uprzywilejowane, a bezpieczeństwo koncentruje się na aplikacji, w której dane są przechowywane, choć nie zawsze. Firmy powinny przeprowadzać ocenę ryzyka danych, aby wykryć uprzywilejowane dane i zabezpieczyć WSZYSTKIE standardowe konta, które mają dostęp do poufnych danych.
To tylko niektóre z uprzywilejowanych kont, których zabezpieczenie organizacje powinny traktować priorytetowo, aby zmniejszyć ryzyko ich naruszenia i nadużycia.
Inne konta uprzywilejowane to:
– Konta root
– Konta używane do uzyskiwania dostępu do rozwiązań bezpieczeństwa
– Konta Wi-Fi
– Konta sprzętowe, takie jak BIOS i vPro
– Uprzywilejowane konta użytkowników
– Sprzęt sieciowy
– Konta zapory
– Współdzielone konta uprzywilejowane
Chcesz dowiedzieć się więcej o zabezpieczaniu kont uprzywilejowanych? Skontaktuj się z nami!
Źródło: https://thycotic.com/company/blog/2019/03/26/top-7-deadly-privileged-accounts/?utm_medium=Organic-Social&utm_source=linkedin&utm_campaign=7-deadly-privileged-acccounts&utm_content=32519&utm_term=32519_7-deadly-privileged-acccounts