Специалисты MONT в авторской статье InformationSecurity: Без специализированных средств управления привилегированные пользователи могут действовать бесконтрольно
Специалисты компанни MONT — Любовь Ермилова, менеджер по продукту, и Антон Грязнов, технический эксперт по PAM-системам, стали авторами статьи, опубликованной в журнале «InformationSecurity». Данная статья посвящена основным сценариям злоупотребления привилегированными доступом и способам преодоления возможных атак.
Скандал 2016 г. вокруг президентских выборов в США до сих пор вспоминают многие СМИ. Во влиянии на их результат обвиняли не только иностранные государства и хакерские группировки, но и социальные сети. Особенно отличилась компания Cambridge Analytica, которая использовала собранные личные данные пользователей одной из популярных социальных сетей, чтобы демонстрировать им релевантную политическую рекламу.
В России утечки данных стали привычным явлением. Зафиксированы случаи кражи данных из Сбербанка, Альфа-банка, Билайна, РЖД и других крупных компаний, но наиболее известным стал инцидент с сервисом «Яндекс.Еда», а совсем недавно пострадали пользователи Почты России.
Компании крайне неохотно сообщают подробности таких происшествий, чаще всего объясняя их хакерскими атаками. Но наш опыт говорит о том, что во многих случаях сливы информации происходят через привилегированные аккаунты в информационных системах предприятий-жертв. Такие учетные записи становятся желанной целью киберпреступников.
Контроль за аккаунтом, права которого в системе почти не ограничены, позволяет получить доступ к конфиденциальным данным десятков тысяч пользователей, конфиденциальной информации компаний и настройкам информационных систем. Проникнув внутрь охраняемого периметра, преступники могут месяцами никак не выдавать своего присутствия, выбирая наиболее подходящее время для развития атаки.
Привилегированные пользователи и риски безопасности
Привилегированные пользователи есть в любой корпоративной инфраструктуре, к ним относятся системные и сетевые администраторы, администраторы баз данных, внешние разработчики (если они привлекаются для развития и поддержки систем) и даже подрядчики, которым делегируются расширенные права для управления приложением или базой данных.
Все обладатели подобных аккаунтов получают практически безграничные возможности: в их распоряжении оказываются данные и настройки систем. Без специализированных средств управления привилегированные пользователи могут действовать бесконтрольно.
Рисков, связанных с присутствием в инфраструктуре привилегированных пользователей, очень много, но существует два основных сценария, по которым развиваются негативные события.
В первом варианте злоумышленники получают доступ к привилегированному аккаунту — они активно охотятся за данными таких учетных записей. По сути, хакеры получают «ключ» ко всем дверям в организации, а целевая атака становится вопросом времени. Пара «логин-пароль» может быть использована непосредственно взломщиками или выставлена на продажу в Даркнете. В любом случае привилегированный аккаунт становится скомпрометированным и является серьезной брешью в корпоративной защите. Предотвращение атаки возможно, если утечка данных аккаунта будет обнаружена.
Во втором сценарии привилегированный пользователь сам, вольно или невольно, становится злоумышленником, такие случаи широко известны. Последствием превращения рядового сотрудника компании в киберпреступника может стать намеренное вмешательство в работу корпоративных систем, а также кража данных — достаточно вспомнить о многочисленных утечках, зафиксированных различными сервисами.
Системы управления привилегированным доступом
Для преодоления проблем контроля за использованием привилегированных аккаунтов существуют специализированные инструменты, такие как РАМ-системы (Privilege Access Management). Они позволяют предотвратить массовые утечки данных и конфиденциальных документов, а также контролировать использование паролей в организации, позволяя сэкономить на репутационных издержках.
РАМ-системы позволяют решить четыре очень важные задачи
- Управление привилегиями пользователей. Выдача расширенных прав производится только тем пользователям, которые для этого имеют весомые основания. Привилегированный отечественный рынок PAM-систем вполне насыщен и может предложить на выбор как минимум пять полноценных решений. Доступ дается не ко всем ресурсам, а только к тем, которые действительно необходимы пользователю, и срок действия привилегий строго ограничен по времени.
- Мониторинг действий привилегированных пользователей. Система записывает сеансы работы пользователя и хранит данные для возможного дальнейшего рассмотрения. Продвинутые решения РАМ ведут текстовый лог рабочих сессий и распознают текст (функция OCR).
- Управление паролями. Система хранит пароли, обновляет их и не дает пользователям доступа к этой информации.
- Поддержка сквозной аутентификации, которая позволяет пользователям не вводить пароль для доступа к каждому из корпоративных сервисов, а «войти» только один раз (принцип Single Sign-On).
Для каких компаний предназначены РАМ-системы?
PAM-системы актуальны для организаций любого масштаба, ведь привилегированные пользователи есть в любой организации. Аккаунтами с особыми правами обладают не только физические лица, но и организации — деловые партнеры, подрядчики, компании, осуществляющие поддержку информационных систем, сторонние системы, которые взаимодействуют с корпоративными без участия человека. Практически каждое предприятие хранит данные, требующие особой защиты (например, кадровое делопроизводство, в котором содержатся персональные данные сотрудников). Применимость РАМ-систем практически не ограничивается масштабами компании-пользователя.
Как внедрить PAM-систему?
Что касается установки и настройки РАМ-систем, то эти решения не требуют сложных интеграций и обеспечения совместимости с различными системами. Как правило, РАМ устанавливается «поверх» других информационных систем предприятия и превращается в своего рода «шлюз», через который все пользователи получают к ним доступ.
Способ внедрения зависит от компетенций организации и применяемого в ней подхода к развитию ИТ-инфраструктуры. Некоторые организации предпочитают использовать услуги подрядчиков, имея в штате только администраторов, занимающихся контролем работы систем, а другие имеют компетенции, достаточные для самостоятельного внедрения PAM-системы, которое подразумевает развертывание ее серверной части, организацию хранилища логов и данных, а также установку агентов на защищаемых узлах инфраструктуры. Эти операции вполне по силам множеству организаций и не занимают много времени: зачастую установка происходит буквально в несколько кликов. Настройка системы требует куда больше времени: проводится ревизия пользовательских аккаунтов, анализ их роли и распределение между ними прав доступа.
Но особенных сложностей в установке и настройке РАМ-систем нет. Справиться с этой работой вполне могут системные администраторы, которые ведут домен организации.
Если же требующихся компетенций в компании нет, то всегда можно обратиться к технологическому партнеру (например, MONT), который проведет технические консультации, демо, пилоты (что в особенности полезно клиентам SMB-сегмента), минимизирует затраты и даст беспристрастный анализ решения индивидуальной задачи.
Что предлагает рынок?
Несмотря на уход иностранных вендоров из России, отечественный рынок PAM-систем вполне насыщен и может предложить на выбор как минимум пять полноценных решений, таких как SafeInspect, Indeed PAM (эти продукты наиболее популярны), «Инфраскоп», WebControl и СКДПУ НТ. Все эти разработки принадлежат российским вендорам и могут применяться государственными организациями.
Многие заказчики, выбирая российские программные продукты, сравнивают их возможности с теми, которыми обладали решения иностранных вендоров, упуская из вида, что западные разработки перенасыщены излишней функциональностью. В основе выбора системы должны стоять функции, которыми организация будет пользоваться непосредственно, то есть наиболее актуальные для конкретной компании.
Некоторые российские PAM-решения оснащены функциями, которыми не обладают иностранные аналоги. Речь идет об OCR — оптическом распознавании образов текста. Эта функция полезна для осуществления контроля за действиями пользователей, она не просто записывает действия, но и распознает интерфейс систем, с которыми происходит взаимодействие, составляя анализируемые протоколы в текстовой форме. OCR фиксирует действия администратора и в режиме реального времени «понимает», что он делает. Иными словами, встроенная OCR дает возможность РАМ-системе не просто записывать, но еще и транскрибировать действия пользователя.