Osiem rad ekspertów bezpieczeństwa na zmniejszenie nadużycia kont uprzywilejowanych.
W ubiegłym roku CyberArk opublikował raport o zagrożeniach „Privileged Account Exploits Shift the Front Lines of Cyber Security”.
Główne wnioski dotyczą roli kont uprzywilejowanych w ukierunkowanych atakach. Pełny raport jest lekturą obowiązkową dla zespołów bezpieczeństwa aktywnie chroniących sieć wewnętrzną.
Raport opiera się na wywiadach z doświadczonych badaczami zagrożeń w pięciu renomowanych firm zajmującymi się wykrywaniem, analizą i zapobieganiem poważnych incydentów bezpieczeństwa cybernetycznego w największych przedsiębiorstwach:
- Cisco Talos Security Intelligence and Research Group
- Deloitte & Touche LLP’s Cyber Risk Services and Deloitte Financial Advisory Service LLP’s Computer and Cyber Forensics Team
- Mandiant, a FireEye Company
- RSA, the Security Division of EMC
- Verizon RISK Team, Verizon Enterprise Solutions
W raporcie, eksperci zawarli podstawowe wytyczne, aby pomóc firmom wykrywać i ograniczać nadużycie kont uprzywilejowanych:
- Posiadać wiedzę jakie posiada się konta uprzywilejowane, co robią i co powinny robić. Powinno się brać pod uwagę hasła administracyjne, domyślnie oraz hasła, backdoory do aplikacji, klucze SSH, itp. Następnie ograniczyć najbardziej jak się da, w celu ograniczenia możliwości nadużycia.
- Zwiększyć bezpieczeństwo kont uprzywilejowanych poprzez zmianę domyślnych haseł oraz używanie różnych haseł na każdym z systemów. Jeśli atakujący uzyska uprzywilejowany dostęp do jednego systemu, zazwyczaj będzie próbował użyć tego hasła do wszystkich innych podobnych systemów używanych w firmie.
- Wymuszenie używania jednorazowych haseł, które wygasają po jednorazowym użyciu. Dla dalszej ochrony, firmy mogą szyfrować dane do kont uprzywilejowanych i zautomatyzować ich rotację.
- Proaktywnie monitorować uprzywilejowane konta i ich interakcje z danymi i zasobami technologicznymi. Nie czekać biernie na narzędzia zabezpieczające, aby poinformowały o problemie. Na przykład, przyglądać się poświadczeniom administracyjnym, które nie powinien mieć dostęp do niektórych rodzajów systemów lub administratorów domen, logujących się z różnych części sieci. Jeśli uprzywilejowany użytkownik używa połączenia VPN do sieci z wielu odległych miejsc w krótkich odstępach czasu, to jest to często oznaka niepowołanego dostępu.
- Regularne sprawdzanie aktywów informacyjnych i jak są one używane. Opracowanie i wdrożenie restrykcyjnych praktyk w zakresie dostępu użytkowników do zasobów. Przejrzeć Active Directory i wszystkie punkty uwierzytelniania lub dostępu. Zlikwidować uprzywilejowane konta, które nie były ostatnio używane. Wiele z nich będzie używanych jako konta serwisowe ze stałymi hasłami.
- Monitorować i ograniczać przywileje kont usług. Na przykład, jeśli konto jest używane przez szczególnie ważną usługę, to nigdy nie powinno mieć zdalnego dostępu. W wielu przypadkach, nie powinna także być możliwość używania graficznego interfejsu użytkownika (GUI). Na przykład, konto usługi bazy danych nigdy nie powinno potrzebować GUI, aby uzyskać dostęp do usługi.
- Instalować poprawki tak szybko, jak to możliwe. Wiele firm martwi się o luki typu Zero Day, ale takie dziury są tak cenne, że napastnicy stosują je tylko w szczególnych okolicznościach i prawie nigdy nie na szeroką skalę. Na każdą dziurę Zero Day przypada wiele takich, które można wyeliminować przez instalację poprawek.
- Praktykować klasyczną obronę w głębi. Posiadać wiele nachodzących na siebie technologii bezpieczeństwa w znaczący sposób obniżamy ryzyko ataku. Zmniejszając lukę z kontami uprzywilejowanymi mogą znaczny sposób osłabić zdolność atakujących do poruszania się w obrębie krytycznych systemów IT oraz ich ewentualną manipulacją.