Автор: Данило Діденко, Security Support Engineer
Оскільки компанії сьогодні все більше покладаються на інформаційні технології у своїй бізнес-діяльності, ризик кібератак та витоку даних, своєю чергою, також зростає через розширення поверхні атаки. Тому питання впровадження надійних засобів кібербезпеки для захисту цінної інформації, ІТ-систем та мереж компаній є вкрай важливим для організацій. Часто витік конфіденційних даних відбувається шляхом компрометації облікових записів користувачів з привілейованим доступом. Тому одним з найважливіших кроків на шляху забезпечення інформаційної безпеки має стати впровадження рішення для управління привілейованим доступом Privileged Access Management, або PAM.
Реальний кейс з компрометацією привілейованого облікового запису
Перш ніж ми детальніше поговоримо про PAM рішення та чому вони дійсно необхідні для побудови надійного кіберзахисту організацій, згадаймо кіберінцидент, який стався у січні 2022 року.
Група хакерів, відома під назвою «Lapsus$», завдала чималої шкоди таким компаніям як Okta та Microsoft. Для проведення руйнівних кібератак «Lapsus$» використовували саме скомпрометовані привілейовані облікові дані.
Згідно зі звітом Verizon 2023 Data Breach Investigations Report 74% всіх порушень були, так чи інакше, пов’язані з людським фактором. Сюди входять: порушення користувачами базових правил кібербезпеки при роботі, зловживання привілеями та використання зловмисниками викрадених облікових даних.
Основна причина того, що переважна більшість атак направлені саме на привілейовані облікові записи полягає в тому, що вони дозволяють виконувати певні адміністративні дії в середовищі організації. Як приклад вивантаження списку клієнтів з ERP-системи, зміна налаштувань мережі, брандмауера, антивірусу чи поштового сервера – це лише деякі з можливих сценаріїв зловмисного використання привілейованих облікових записів. Привілейовані облікові дані можуть надавати необмежений доступ до найважливіших пристроїв, додатків і даних організації.
У випадку з Okta, розслідування показало, що Lapsus$ тримали під контролем пристрій інженера служби підтримки протягом шести днів. Завдяки отриманому обліковому запису мали доступ до вихідного коду компанії, а це очевидно несе в собі величезний ризик та вірогідно чималі збитки.
Щоб допомогти організаціям керувати привілейованими обліковими даними та захищати їх, існують системи управління привілейованим доступом PAM. За даними Gartner, рішення PAM допомагають організаціям забезпечити привілейований доступ до критично важливих активів. А також, досягти відповідності нормативним вимогам шляхом управління та моніторингу привілейованих облікових записів і доступу.
Що таке PAM?
Управління привілейованим доступом (PAM) використовується для зменшення загрози викрадення облікових даних та зловживання привілеями. PAM також є підгалуззю системи управління ідентифікацією та доступом IAM (Identity and Access Management).
PAM ґрунтується на принципі надання найменших привілеїв, згідно з яким користувачі отримують лише мінімальний рівень доступу, необхідний для виконання їхніх робочих задач. Принцип найменших привілеїв можна сміливо назвати однією з найкращих практик кібербезпеки та фундаментальним кроком у захисті та контролю привілейованого доступу до цінних даних та активів компанії. Застосовуючи принцип найменших привілеїв, організації можуть зменшити поверхню атаки та знизити ризик діяльності зловмисних інсайдерів та зовнішніх кібератак. Адже це все може призвести до неправомірного витоку даних, що може завдати серйозних фінансових та репутаційних збитків для компанії.
Управління привілейованим доступом зазвичай включає надання користувачам певних ролей з необхідними привілеями та правами доступу в системі. Також обов’язковим компонентом PAM є моніторинг дій привілейованих користувачів та аналіз їхньої діяльності для виявлення аномальної поведінки та ймовірних зловживань повноваженнями.
Отже, у підсумку управління привілейованим доступом (PAM) – це процес, який використовує технології для нагляду, управління та захисту привілейованих облікових записів.
Що таке привілейований доступ?
Привілейований доступ означає доступ до певного компонента системи з вищими правами доступу, ніж у звичайного користувача на підприємстві. Зазвичай привілейований доступ використовується для обслуговування, оновлення та налаштування критично важливих ІТ-інфраструктур, серверів, додатків і баз даних.
За допомогою привілейованих облікових записів користувачі можуть отримати доступ до дуже цінних об’єктів, таких як мережева інфраструктура компанії, бази даних медичних записів, кредитних карток, середовища виробництва програмного забезпечення або державних таємниць. Також один привілейований користувач може мати доступ одразу до декількох привілейованих облікових записів.
Чому рішення PAM необхідне для організацій та як саме воно покращує безпеку
Рішення PAM пропонує величезну кількість стратегій кібербезпеки в організаціях, що цінують свою безпеку, а також технологій для здійснення спостереження, контролю та управління обліковими записами з привілейованим доступом. PAM система допомагає зменшити кількість успішних атак на організацію або принаймні суттєво зменшити шкоду від них. Впровадження такої системи дозволяє запобігти неправомірним діям або звичайній недбалості з боку співробітників шляхом встановлення належного рівня контролю за ними.
Завдяки надійному рішенню PAM організації можуть забезпечити привілейований доступ для тих, кому він потрібен, одночасно захищаючи критичні бізнес-системи від руйнівних кібератак.
П’ять причин впровадження PAM у вашу систему система керування ідентичністю та доступом (IAM):
Контроль доступу до привілейованих облікових записів
Сьогодні багато організацій не мають повної видимості своїх привілейованих облікових записів, незалежно від того, де вони знаходяться – локально або в хмарі. Багато організацій вручну відстежують паролі привілейованих облікових записів за допомогою електронних таблиць. А це є неефективною практикою, яка значно збільшує ризик компрометації паролів.
Використовуючи PAM, організації можуть відстежувати привілейований доступ з єдиного місця, автоматично дозволяючи або навпаки відмовляючи користувачам у доступі, при зміні їх зобов’язань або якщо вони залишають компанію. Адміністратори також можуть відстежувати та записувати сеанси користувачів. Це дасть змогу дослідити активність певних привілейованих записів та їх поведінку при роботі. Завдяки простому способу моніторингу привілейованих облікових записів компанії можуть забезпечити контроль над найціннішими активами, які є ціллю №1 для зловмисників та інсайдерів.
Запобігання атакам на привілейовані облікові записи
Як ми вже писали, привілейовані облікові дані є головною мішенню для хакерів. Адже вони – це ключ до найбільш важливих конфіденційних даних організації. Адміністративні облікові записи також вразливі до зловживань доступом з боку незадоволених колишніх співробітників, які можуть стати причиною багатьох серйозних порушень. Зберігаючи облікові дані привілейованих облікових записів в окремому безпечному сховищі, PAM дозволяє компаніям ізолювати їх використання та відстежувати їхню активність, ефективно знижуючи ризик зловживання ними або їхньої крадіжки. Адміністратори також можуть налаштувати PAM на встановлення часових обмежень та інших гнучких правил доступу користувачів. Як приклад можемо навести автоматичне видалення привілеїв, щойно особа/користувач переходить на іншу посаду або залишає компанію, обмежуючи доступ лише тим, кому він справді потрібен.
Централізоване керування доступом
За допомогою рішення PAM організації можуть керувати всіма своїми привілейованими обліковими записами з єдиного центру управління. Централізований менеджер доступу дозволяє організаціям легко бачити, які користувачі та групи мають доступ до конфіденційних систем і даних, зберігаючи при цьому контроль над дозволами та правами для кожного з них. Це значно спрощує процес управління, дозволяючи легко надавати та скасовувати доступ відповідно до наявних потреб.
Обмеження спільного використання облікових даних
Є випадки, коли обліковий запис адміністратора є спільними для кількох осіб в організації. Для своєї зручності вони часто можуть використовувати один і той самий пароль у різних системах. Такі практики розподілення доступу можуть унеможливити визначення того, хто саме виконував зловмисні небезпечні дії. А це підвищує ризики для компанії та значно ускладнює розслідування інцидентів. PAM може допомогти організаціям захиститися від цих ризиків, гарантуючи, що кожна особа використовує унікальний логін. Рішення PAM також можуть бути налаштовані на використання лише надійних паролів, які необхідно регулярно змінювати залежно від ступеня важливості облікового запису. Адміністратори також можуть налаштувати PAM з автентифікацією за допомогою єдиного входу (SSO). Це дасть змогу приховати паролі від користувачів і забезпечити використання надійного пароля кожного разу, коли користувачі хочуть отримати доступ до цінних активів.
Унеможливлення використання вкрадених облікових даних
Система PAM являє собою точку доступу до привілейованих облікових записів, яка відрізняється від її традиційної форми, де для входу використовується лише логін та пароль. PAM, своєю чергою, може бути налаштований таким чином, щоб вимагати від користувача додаткові облікові дані та проведення автентифікації при вході. Це означає, що зловмисники не зможуть використати скомпрометовані облікові дані для входу в систему, оскільки при використанні PAM лише цих даних буде недостатньо для отримання доступу.
Фінальні думки
Використання рішення PAM для привілейованих облікових записів є критично важливим для безпеки та цілісності ІТ-інфраструктури організації. Воно знижує ризик несанкціонованого доступу, зловживання або експлуатації привілейованих облікових записів. PAM забезпечує централізований контроль і моніторинг активності привілейованих облікових записів.
