Инциденты в системах управления конечными точками возникают из-за компрометации привилегированного доступа, а не из-за неисправимых уязвимостей. Злоумышленники используют действительные учетные данные, чтобы действовать незаметно в пределах доверенных рабочих процессов и обходить традиционные средства защиты. Устранение постоянных привилегий посредством доступа just-in-time и применения принципа наименьших привилегий сокращает пути атаки, а обнаружение угроз и реагирование на уровне учетных записей (identity threat detection and response, ITDR) обеспечивает выявление и сдерживание злоупотребления действующим доступом в режиме реального времени.
Недавнее предупреждение CISA об усилении защиты систем управления конечными точками обратило внимание на рост риска после кибератаки на одну из организаций в США.
Но реальная проблема глубже.
Инциденты систем управления конечными точками не начинаются с эксплойтов. Они начинаются с доступа.
Злоумышленники не врываются внутрь.
Они входят в систему, используют доверенные инструменты и работают в рамках обычных рабочих процессов.
Это изменяет самую сущность проблемы.
Системы можно усиливать, быстрее устанавливать исправления и жестко фиксировать конфигурации. Но это не остановит злоумышленника, уже имеющего привилегированный доступ.
Это не только вопрос безопасности конечных точек. Это проблема привилегированного доступа.
Если административный доступ сохраняется постоянно, злоумышленникам не нужно искать слабое место. Достаточно взять под контроль то, что уже существует.
Почему инциденты систем управления конечными точками являются проблемой привилегированного доступа
Платформы управления конечными точками контролируют:
- конфигурацию устройств по всей среде;
- развертывание программного обеспечения в большом масштабе;
- применение политик безопасности.
Это делает их одной из самых мощных точек контроля в инфраструктуре.
Если злоумышленники получают привилегированный доступ, им не нужно перемещаться по сети дальше. Контроль уже в их руках.
Почему традиционные средства защиты не работают против атак на основе учетных записей
Усиление защиты сосредотачивается на:
- уровнях установленных исправлений;
- настройках конфигурации;
- сетевой доступности.
Эти средства контроля исходят из предположения, что злоумышленник находится вне среды.
Современные атаки не соответствуют этой модели.
Если привилегированная учетная запись скомпрометирована:
- действия выглядят как разрешенные;
- системы ведут себя так, как и ожидается;
- средства безопасности можно изменять без срабатывания уведомлений.
Даже такие сильные средства контроля, как MFA или согласование несколькими администраторами, можно обойти, если привилегия уже существует.
Это не недостаток инструмента. Это недостаток самой модели привилегий.
Именно здесь современное решение PAM становится критически важным.
Современное решение Privileged Access Management (PAM) устраняет первопричину проблемы: постоянные привилегии.
В отличие от традиционных инструментов PAM, сосредоточенных на хранении учетных данных в защищенном хранилище, Netwrix полностью устраняет постоянные привилегии.
Привилегированный доступ:
- создается только при необходимости;
- ограничивается конкретной задачей;
- удаляется сразу после использования.
Такой подход гарантирует отсутствие постоянных административных учетных записей, которые злоумышленники могли бы использовать.
Netwrix Privilege Secure обеспечивает:
- привилегированные учетные записи по требованию, привязанные к сессиям;
- доступ с подтверждением учетных записей и процессами согласования;
- разрешения в пределах конкретной задачи вместо полных прав администратора.
Это уменьшает уровень риска и масштаб возможных последствий.
Контроль и видимость каждого привилегированного действия
Даже при наличии мощных устройств контроля доступа видимость остается критически принципиальной.
Netwrix предоставляет:
- мониторинг привилегированных сессий в режиме реального времени;
- запись и воспроизведение сессий;
- подробное отслеживание активности для расследований.
Это позволяет просматривать действия, проверять намерения и расследовать злоупотребления на основе четких доказательств.
Сокращение разрастания привилегий до того, как оно станет риском
Риск, связанный с привилегиями, со временем появляется незаметно.
Netwrix помогает:
- выявлять неуправляемые или неизвестные привилегированные аккаунты;
- находить скрытые пути доступа и слабые места;
- изымать лишние привилегии во всей среде.
Это сокращает количество точек входа, которые могут использовать злоумышленники.
Контроль привилегий на конечных точках (там, где часто начинаются атаки)
Конечные точки остаются одной из основных поверхностей атаки.
Netwrix обеспечивает принцип наименьших привилегий путем:
- изъятие у пользователей локальных прав администратора;
- предоставление повышения привилегий только для согласованных задач;
- автоматического удаления привилегий после использования.
Это ограничивает возможности злоумышленников даже при компрометации пользовательской учетной записи.
Почему обнаружение должно быть сосредоточено на том, как именно используются привилегии
Устранение постоянных привилегий ликвидирует основной путь атаки.
Но остается один вопрос:
Что происходит, когда злоупотребляют санкционированным доступом?
Разрушительные действия все еще могут быть технически разрешенными.
Именно поэтому критически важным становится обнаружение, ориентированное на учетные записи.
Предотвращение угроз и их обнаружение на основе учетных записей в режиме реального времени
Netwrix Identity Threat Detection & Response (ITDR) добавляет второй уровень защиты, сосредоточенный на активности учетных записей.
Это позволяет командам безопасности:
- предотвращать атаки на учетные записи, блокируя несанкционированную активность в Active Directory и Entra ID до того, как она подорвет контроль над привилегированным доступом;
- выявлять в режиме реального времени угрозы на основе учетных записей, в частности повышение привилегий, Kerberoasting и аномальное поведение в Active Directory и Entra ID;
- выявлять рискованные изменения и подозрительные паттерны активности, указывающие на злоупотребление доступом.
Это переводит обнаружение с реактивного мониторинга к активному предотвращению и реагированию.
Более быстрое расследование и сдерживание атак
Когда злоупотребляют привилегированным доступом, скорость реагирования имеет решающее значение.
Netwrix ITDR предоставляет:
- быстрое реагирование благодаря широкому набору мер, в частности отключению учетных записей или остановке сессий;
- полные таймлайны атак, объединяющие связанные события;
- видимость скомпрометированных учетных записей и пораженных систем;
- быстрая отмена вредоносных или нежелательных изменений в Okta, AD и Entra ID;
- автоматизированное обновление AD для быстрого восстановления работы.
Это помогает сдерживать атаки, управляемые учетными записями, и свести к минимуму нарушения работы.
Почему PAM и ITDR работают лучше вместе
Многие стратегии безопасности охватывают только часть проблемы.
- PAM устраняет постоянные привилегии и ограничивает доступ.
- ITDR обнаруживает и останавливает злоупотребление санкционированным доступом.
Вместе они обеспечивают:
- предотвращение инцидента благодаря модели Zero Standing Privilege;
- обнаружение и реагирование на атаки на основе учетных записей.
Такой многоуровневый подход включает и способ получения доступа злоумышленниками, и способ его использования.
Что это значит для команд безопасности
Чтобы снизить риск инцидентов безопасности систем управления конечными точками, необходимо:
- устранить постоянные привилегии с помощью PAM;
- предоставлять доступ только для конкретных задач и на ограниченное время;
- контролировать и отслеживать каждую привилегированную сессию;
- обнаружать подозрительную активность учетных записей и реагировать на нее в режиме реального времени.
Усиление защиты систем по-прежнему имеет большое значение.
Но если злоумышленники могут войти в систему и использовать доверенные инструменты, нужно также контролировать привилегии и выявлять, как именно они используются.
Итог
Инциденты безопасности систем управления конечными точками не только открывают доступ к системам. Они открывают доступ к данным.
Контроль привилегированного доступа определяет, к чему злоумышленники могут добраться, что они могут переместить или вытащить после проникновения внутрь.
Для компрометации платформы управления конечными точками эксплойт не требуется.
Требуются:
- привилегированная учетная запись;
- чрезмерный уровень доступа;
- слишком продолжительное время действия такого доступа.
Устранение этих факторов принципиально изменяет результат.
