Bezpieczeństwo kont uprzywilejowanych – podstawy.

Home / Aktualności / Bezpieczeństwo kont uprzywilejowanych – podstawy.

Konto uprzywilejowane to każde konto zapewniające dostęp i przywileje wykraczające poza
konta standardowe konta użytkownika. Podczas gdy niektóre konta uprzywilejowane są powiązane z
tożsamościami pracowników, inne konta uprzywilejowane są powiązane z kontrahentami, dostawcami,
audytorami lub maszynami i aplikacjami.

Jak to bywa… najpierw musimy wiedzieć co chronić. Czyli wyznaczyć główne grupy użytkowników,
które objęte będą oddzielnymi – bardziej restrykcyjnymi – politykami (zestawami reguł)
bezpieczeństwa.

Konta, które należy wziąć pod uwagę w zarządzaniu bezpieczeństwem IT to:

    1. Root/Super User – to najwyższy poziom dostępu do systemu/sieci. Używane do prac
      utrzymaniowych, zmian konfiguracji, dodatkowych instalacji czy aktualizacji. Podatne na
      przejęcia w wyniku eksploatacji podatności w systemach operacyjnych.
    2.  Administrator – odpowiadają za przyznawanie dostępu dla użytkowników, zmian konfiguracji
      kont i treści systemu/bazy danych. Podatne na przejęcia w wyniku eksploatacji podatności w
      aplikacjach i bazach danych.
    3.  Service – używane przez aplikacje by uzyskać dostęp do baz danych, serwerów czy innych
      zasobów. Często z wyższymi uprawnieniami niż standardowy użytkownik.
    4. Privileged User Account – konto użytkownika z wyższymi uprawnieniami niż standardowy.
      Najczęściej dodatkowe uprawnienia wynikają z roli użytkownika w systemie (np. Pracownik Linii
      Wsparcia z dostępem do zmian konfiguracji sieciowej)
    5. Emergency – używane w przypadku braku możliwości zalogowania się w sposób standardowy.
      Część procedur Business Continuity.
    6. 3rd Party/Vendor Accounts – dostępy dla zespołów wsparcia technicznego producenta;
      integratora; instytucji publicznej – cokolwiek co wykracza poza poziom dostępu standardowego
      użytkownika.

Powyższe to zbiory kont użytkowników, którzy z racji rozszerzonego dostępu – muszą być ściślej
monitorowani przez oprogramowanie ochronne. Zarówno jeżeli chodzi o możliwości zmiany konfiguracji
ciągłości działania procesu/usługi jak i wykorzystanie przetwarzanych w jej ramach danych. W ataku na
konto zawsze chodzi o jego przejęcie. W przypadku powyższych grup możemy wyróżnić 3 obszary
ataków:

1. Phishing – obecny zawsze i wszędzie, oparty o inżynierię społeczną. Najczęściej jako link do
fałszywej strony logowania, zawarty w wiadomości na czacie w przeglądarce czy wiadomoście-mail. Mimo szeregu technologii, najlepszą obroną wciąż pozostaje odpowiednia edukacja
użytkowników.
2. Wykorzystanie podatności…

a. Systemu Operacyjnego – dla Root/Super User powiązanego z tym systemem
b. Aplikacji/Bazy Danych – dla powiązanych z nimi administratorów

3. Malware – keylogger zbierający dane logowania bądź wykorzystywany przy eskalacji
uprawnień standardowego użytkownika na zainfekowanym komputerze.

Warto zauważyć, że w powyższych kategoriach należy również uwzględnić naszych dostawców &
kontraktorów (Supply Chain Attacks). Rekomendowanymi środkami obrony, na które nie trzeba
poświęcać lwiej części Twojego budżetu są:

  • Odpowiednia polityka Access Control – MAC, RBAC lub DAC w zależności od wymaganej
    częstotliwości dostępu do systemu/sieci i rodzaju wykonywanych tam zadań
  • Polityka bezpieczeństwa dotycząca haseł:

o Silne hasła
o Regularne zmiany
o Brak możliwości powtarzania haseł
o Audyty haseł

  • Technologie wspomagające bezpieczny dostęp:

o Multi-Factor Authentication
o SSO
o Infrastruktura Identity&Access Management

  • Regularne przeglądy i aktualizacje systemów – pod kątem mitygowania najnowszych
    podatności
  • Szkolenia w zakresie świadomości cyberbezpieczeństwa dla personelu – by rozpoznawali ataki
    socjotechniczne, komputer z podejrzeniem infekcji malwarem czy anomalie w działaniu systemu
    czy konta współpracownika.
  • Audyty i testy z aktywności poszczególnych kont, ich podatności i zakresu przywilejów (w myśl
    „least privilege rule”)

Przechodząc przez powyższe 3 obszary: Inwenatryzacja, Zagrożenia, Obrona – możesz zbudować bądź
ulepszyć istniejące mechanizmy Twojego bezpieczeństwa IT. Nie bez powodu mówi się „hakerzy się nie
włamują – logują się”. Przyporządkowanie kontu poziomu bezpieczeństwa adekwatnego do ryzyka jakie
dla organizacji stanowi jego kompromitacja, to Wasze główne zadanie. Możemy pomóc.

Powiązane artykuły

NIS2 – w oczekiwaniu na październik 2024...
Podstawy SIEM, SOAR i XDR dla analityków bezpieczeństwa
Spojrzenie na adopcję sztucznej inteligencji przez pryzmat IT
Nasz serwis używa plików cookies w celach statystycznych, reklamowych oraz funkcjonalnych. Dzięki nim możemy indywidualnie dostosować ofertę do Twoich potrzeb. Każdy może zaakceptować pliki cookies albo ma możliwość wyłączenia ich w przeglądarce, dzięki czemu nie będą zbierane żadne informacje.
Akceptuję Więcej informacji