Osiem rad ekspertów bezpieczeństwa na zmniejszenie nadużycia kont uprzywilejowanych

Osiem rad ekspertów bezpieczeństwa na zmniejszenie nadużycia kont uprzywilejowanych.

W ubiegłym roku CyberArk opublikował raport o zagrożeniach „Privileged Account Exploits Shift the Front Lines of Cyber Security”.
Główne wnioski dotyczą roli kont uprzywilejowanych w ukierunkowanych atakach. Pełny raport jest lekturą obowiązkową dla zespołów bezpieczeństwa aktywnie chroniących sieć wewnętrzną.

Raport opiera się na wywiadach z doświadczonych badaczami zagrożeń w pięciu renomowanych firm zajmującymi się wykrywaniem, analizą i zapobieganiem poważnych incydentów bezpieczeństwa cybernetycznego w największych przedsiębiorstwach:

  • Cisco Talos Security Intelligence and Research Group
  • Deloitte & Touche LLP’s Cyber Risk Services and Deloitte Financial Advisory Service LLP’s Computer and Cyber Forensics Team
  • Mandiant, a FireEye Company
  • RSA, the Security Division of EMC
  • Verizon RISK Team, Verizon Enterprise Solutions

W raporcie, eksperci zawarli podstawowe wytyczne, aby pomóc firmom wykrywać i ograniczać nadużycie kont uprzywilejowanych:

  1. Posiadać wiedzę jakie posiada się konta uprzywilejowane, co robią i co powinny robić. Powinno się brać pod uwagę hasła administracyjne, domyślnie oraz hasła, backdoory do aplikacji, klucze SSH, itp. Następnie ograniczyć najbardziej jak się da, w celu ograniczenia możliwości nadużycia.
  2. Zwiększyć bezpieczeństwo kont uprzywilejowanych poprzez zmianę domyślnych haseł oraz używanie różnych haseł na każdym z systemów. Jeśli atakujący uzyska uprzywilejowany dostęp do jednego systemu, zazwyczaj będzie próbował użyć tego hasła do wszystkich innych podobnych systemów używanych w firmie.
  3. Wymuszenie używania jednorazowych haseł, które wygasają po jednorazowym użyciu. Dla dalszej ochrony, firmy mogą szyfrować dane do kont uprzywilejowanych i zautomatyzować ich rotację.
  4. Proaktywnie monitorować uprzywilejowane konta i ich interakcje z danymi i zasobami technologicznymi. Nie czekać biernie na narzędzia zabezpieczające, aby poinformowały o problemie. Na przykład, przyglądać się poświadczeniom administracyjnym, które nie powinien mieć dostęp do niektórych rodzajów systemów lub administratorów domen, logujących się z różnych części sieci. Jeśli uprzywilejowany użytkownik używa połączenia VPN do sieci z wielu odległych miejsc w krótkich odstępach  czasu, to jest to często oznaka niepowołanego dostępu.
  5. Regularne sprawdzanie aktywów informacyjnych i jak są one używane. Opracowanie i wdrożenie restrykcyjnych praktyk w zakresie dostępu użytkowników do zasobów. Przejrzeć Active Directory i wszystkie punkty uwierzytelniania lub dostępu. Zlikwidować uprzywilejowane konta, które nie były ostatnio używane. Wiele z nich będzie używanych jako konta serwisowe ze stałymi hasłami.
  6. Monitorować i ograniczać przywileje kont usług. Na przykład, jeśli konto jest używane przez szczególnie ważną usługę, to nigdy nie powinno mieć zdalnego dostępu. W wielu przypadkach, nie powinna także być możliwość używania graficznego interfejsu użytkownika (GUI). Na przykład, konto usługi bazy danych nigdy nie powinno potrzebować GUI, aby uzyskać dostęp do usługi.
  7. Instalować poprawki tak szybko, jak to możliwe. Wiele firm martwi się o luki typu Zero Day, ale takie dziury są tak cenne, że napastnicy stosują je tylko w szczególnych okolicznościach i prawie nigdy nie na szeroką skalę. Na każdą dziurę Zero Day przypada wiele takich, które można wyeliminować przez instalację poprawek.
  8. Praktykować klasyczną obronę w głębi. Posiadać wiele nachodzących na siebie technologii bezpieczeństwa w znaczący sposób obniżamy ryzyko ataku. Zmniejszając lukę z kontami uprzywilejowanymi mogą znaczny sposób osłabić zdolność atakujących do poruszania się w obrębie krytycznych systemów IT oraz ich ewentualną manipulacją.

Bezpieczeństwo