Bezpieczeństwo kont uprzywilejowanych – podstawy.
Konto uprzywilejowane to każde konto zapewniające dostęp i przywileje wykraczające poza
konta standardowe konta użytkownika. Podczas gdy niektóre konta uprzywilejowane są powiązane z
tożsamościami pracowników, inne konta uprzywilejowane są powiązane z kontrahentami, dostawcami,
audytorami lub maszynami i aplikacjami.
Jak to bywa… najpierw musimy wiedzieć co chronić. Czyli wyznaczyć główne grupy użytkowników,
które objęte będą oddzielnymi – bardziej restrykcyjnymi – politykami (zestawami reguł)
bezpieczeństwa.
Konta, które należy wziąć pod uwagę w zarządzaniu bezpieczeństwem IT to:
-
- Root/Super User – to najwyższy poziom dostępu do systemu/sieci. Używane do prac
utrzymaniowych, zmian konfiguracji, dodatkowych instalacji czy aktualizacji. Podatne na
przejęcia w wyniku eksploatacji podatności w systemach operacyjnych. - Administrator – odpowiadają za przyznawanie dostępu dla użytkowników, zmian konfiguracji
kont i treści systemu/bazy danych. Podatne na przejęcia w wyniku eksploatacji podatności w
aplikacjach i bazach danych. - Service – używane przez aplikacje by uzyskać dostęp do baz danych, serwerów czy innych
zasobów. Często z wyższymi uprawnieniami niż standardowy użytkownik. - Privileged User Account – konto użytkownika z wyższymi uprawnieniami niż standardowy.
Najczęściej dodatkowe uprawnienia wynikają z roli użytkownika w systemie (np. Pracownik Linii
Wsparcia z dostępem do zmian konfiguracji sieciowej) - Emergency – używane w przypadku braku możliwości zalogowania się w sposób standardowy.
Część procedur Business Continuity. - 3rd Party/Vendor Accounts – dostępy dla zespołów wsparcia technicznego producenta;
integratora; instytucji publicznej – cokolwiek co wykracza poza poziom dostępu standardowego
użytkownika.
- Root/Super User – to najwyższy poziom dostępu do systemu/sieci. Używane do prac
Powyższe to zbiory kont użytkowników, którzy z racji rozszerzonego dostępu – muszą być ściślej
monitorowani przez oprogramowanie ochronne. Zarówno jeżeli chodzi o możliwości zmiany konfiguracji
ciągłości działania procesu/usługi jak i wykorzystanie przetwarzanych w jej ramach danych. W ataku na
konto zawsze chodzi o jego przejęcie. W przypadku powyższych grup możemy wyróżnić 3 obszary
ataków:
1. Phishing – obecny zawsze i wszędzie, oparty o inżynierię społeczną. Najczęściej jako link do
fałszywej strony logowania, zawarty w wiadomości na czacie w przeglądarce czy wiadomoście-mail. Mimo szeregu technologii, najlepszą obroną wciąż pozostaje odpowiednia edukacja
użytkowników.
2. Wykorzystanie podatności…
a. Systemu Operacyjnego – dla Root/Super User powiązanego z tym systemem
b. Aplikacji/Bazy Danych – dla powiązanych z nimi administratorów
3. Malware – keylogger zbierający dane logowania bądź wykorzystywany przy eskalacji
uprawnień standardowego użytkownika na zainfekowanym komputerze.
Warto zauważyć, że w powyższych kategoriach należy również uwzględnić naszych dostawców &
kontraktorów (Supply Chain Attacks). Rekomendowanymi środkami obrony, na które nie trzeba
poświęcać lwiej części Twojego budżetu są:
- Odpowiednia polityka Access Control – MAC, RBAC lub DAC w zależności od wymaganej
częstotliwości dostępu do systemu/sieci i rodzaju wykonywanych tam zadań
- Polityka bezpieczeństwa dotycząca haseł:
o Silne hasła
o Regularne zmiany
o Brak możliwości powtarzania haseł
o Audyty haseł
- Technologie wspomagające bezpieczny dostęp:
o Multi-Factor Authentication
o SSO
o Infrastruktura Identity&Access Management
- Regularne przeglądy i aktualizacje systemów – pod kątem mitygowania najnowszych
podatności
- Szkolenia w zakresie świadomości cyberbezpieczeństwa dla personelu – by rozpoznawali ataki
socjotechniczne, komputer z podejrzeniem infekcji malwarem czy anomalie w działaniu systemu
czy konta współpracownika.
- Audyty i testy z aktywności poszczególnych kont, ich podatności i zakresu przywilejów (w myśl
„least privilege rule”)
Przechodząc przez powyższe 3 obszary: Inwenatryzacja, Zagrożenia, Obrona – możesz zbudować bądź
ulepszyć istniejące mechanizmy Twojego bezpieczeństwa IT. Nie bez powodu mówi się „hakerzy się nie
włamują – logują się”. Przyporządkowanie kontu poziomu bezpieczeństwa adekwatnego do ryzyka jakie
dla organizacji stanowi jego kompromitacja, to Wasze główne zadanie. Możemy pomóc.