На сегодняшний день электронная безопасность является одной из наиболее актуальных проблем в бизнесе во всем мире. Новые вредоносные программы и способы атаки появляются постоянно, заставляя бизнес инвестировать огромные суммы в то, чтобы держать свою электронную защиту актуальной. И хотя уязвимости нулевого дня и прочие новейшие инструменты в арсеналах хакеров по-прежнему являются эффективными, по большей части, бизнес на сегодня использует проверенные решения и методики, достаточно надежно защищающие от электронных атак из вне.

Однако, пока мысли руководства большинства компаний заняты борьбой с DoS-атаками, ботнетами, ransomware, и прочими новейшими типами внешних угроз, не менее опасным угрозам внутренним часто уделяется куда меньше внимания. С ценной информацией любой компании всегда работает определенный сотрудник, и похитить Ваши данные и передать их конкурентам или даже просто выложить в интернет проще всего именно этому сотруднику. Поэтому, необходимо всегда присматривать за собственными сотрудниками, а в особенности теми из них, кто использует учетные записи с расширенным набором полномочий.

Подобным привилегированным пользователям часто доверяют больше остальных, что и делает их наиболее опасными инсайдерами. Несмотря на это, многие компании редко вкладывают необходимые деньги в то, чтобы обезопасить себя от потенциальных угроз со стороны привилегированных пользователей. Управление и мониторинг действий привилегированных пользователей являются необходимым условием обеспечения высокого уровня электронной безопасности предприятия. Однако, чтобы достичь этого, многим компаниям придется изменить свое отношение к вопросу внутренних угроз со стороны привилегированных пользователей. Вместо того, чтобы воспринимать эту проблему как второстепенную, им придется занять более активную позицию, взяв на вооружение лучшие методики и профессиональные решения, доступные в этой сфере.

Что такое расширенные полномочия?

Чтобы эффективно осуществлять управление и мониторинг привилегированных пользователей, сначала необходимо понимать, что же это такое. Термин «привилегированный пользователь» означает сотрудника, использующего учетную запись с расширенным набором полномочий. Подобные учетные записи часто дают административный уровень полномочий, открывающий полный неограниченный доступ к системе. Пользователь получает возможность изменить критические системные настройки, а также просматривать и редактировать информацию, доступ к которой в противном случае является ограниченным.

Разные виды четных записей с расширенными полномочиями создаются для разных целей. И хотя термин говорит сам за себя, некоторым компаниям бывает достаточно сложно выявить все подобные учетные записи. Для того, чтобы определить все существующие в Вашей информационной системе учетные записи с расширенными полномочиями, необходимо знать какими они могут быть и для чего могут служить.

Проще всего разделить учетные записи по масштабам контроля, который они предоставляют:

• Доменные учетные записи. Дают административный доступ ко всем серверам и рабочим станциям внутри определенного домена. Подобные учетные записи дают максимальный уровень привилегий, позволяя пользователю создавать и управлять учетными записями системных администраторов для компьютеров внутри домена.
• Локальные учетные записи. Создаются для одного сервера или рабочей станции, и дают полный контроль над системой. Такие учетные записи чаще всего используются системными администраторами.
• Учетные записи приложений. Дают административный доступ к приложениям. Такие учетные записи могут использоваться для доступа к критическим настройкам приложения или к защищенной базе данных. Они дают полный контроль над всеми данными внутри приложения, что позволяет недобросовестному пользователю легко похитить информацию.

Учетные записи с расширенными полномочиями могут использоваться для следующих целей:

• Личные учетные записи. Такая учетная запись создается для отдельного конкретного сотрудника, которому необходимо иметь полный доступ к защищенной информации и критическим настройкам системы. Часто используется менеджерами высшего звена, операторами баз данных, сотрудников службы безопасности, и т.д.
• Учетные записи администраторов. Стандартные учетные записи, которые по умолчанию создаются для администраторов системы. Обычно используются IT специалистами для работы с системой.
• Учетные записи служб. Такие учетные записи используются для того, чтобы сделать работу служб через интернет более безопасной.
• Аварийные учетные записи. Используются в случае непредвиденных ситуаций, угрожающих беспрерывному ведению бизнеса и требующих административных полномочий для их решения (например, для восстановления системы после стихийного бедствия).

Учетными записями с расширенными полномочиями всегда пользуются сотрудники, которым необходим полный доступ к системе, определенным приложениям или защищенным данным, например, системные администраторы и администраторы баз данных. Высокий уровень доступа, который имеют такие сотрудники, значительно повышает риски, связанные с потенциальными вредоносными действиями с их стороны.

Опасность учетных записей с расширенными полномочиями

Расширенные привилегии дают возможность чрезвычайно легко завладеть защищенной информацией или вывести из строя информационную систему предприятия. Пользователи могут похитить финансовую информацию компании и сведения о её клиентах для того, чтобы продать их, или просто выложить в интернет. Пользователи также могут легко модифицировать эту информацию или удалить её в целях мошенничества. Технически подкованные привилегированные пользователи могут использовать бэкдоры для получения полного доступа к системе в нерабочее время или после увольнения, с целью совершения вредоносных действий.

Однако, основная опасность привилегированных пользователей заключается не в уровне их доступа, а в том, насколько легко они могут произвести атаку и насколько сложно её затем обнаружить.

При наличии полноценного санкционированного доступа к защищенной информации и критическим настройкам системы, отличить вредоносные действия от обычной ежедневной работы такого пользователя становится достаточно сложно. Пользователь может замести следы, а если его все-таки обнаружат, просто сказать, что ошибся. Таким образом, внутренние атаки со стороны привилегированных пользователей могут оставаться полностью незамеченными достаточно длительный период времени. Цена устранения последствий таких атак, соответственно, будет постоянно расти.

Также следует заметить, что умышленные вредоносные атаки являются не единственной угрозой со стороны привилегированных пользователей. Сотрудники также иногда совершают ошибки, которые также могут нанести крупный ущерб компании. Указание неправильного адресата при пересылке письма может привести к тому, что чувствительная информация окажется в свободном доступе в интернете или в руках Ваших конкурентов.

Еще один повод для волнения – защищенность учетных записей с расширенными полномочиями. Если злоумышленник извне получит доступ к такой учетной записи взломав или выяснив пароль, он получит доступ ко всей информационной системе Вашей компании.

Таким образом привилегированные пользователи несут наибольшую потенциальную угрозу среди всех сотрудников Вашей компании. Согласно опросу сотрудников служб безопасности 2015 Insider Threat Report, большинство из них уверены, что привилегированные пользователи представляют наибольшую опасность для их компаний. Любому современному бизнесу просто необходимо уметь все необходимые инструменты для предотвращения и борьбы с внутренними угрозами со стороны привилегированных пользователей.

Контроль и мониторинг привилегированных пользователей

Широкий уровень контроля над системой, которым обладают привилегированные пользователи, делают защиту от потенциальных угроз с их стороны чрезвычайно сложным вопросом. Со стороны очень сложно понять, занимаются ли такие пользователи вредоносной активностью или просто делают свою работу. В то же время, многие инструменты мониторинга не рассчитаны на работу с такими пользователями и могут быть легко отключены.

В конечном счете, эффективный мониторинг привилегированных пользователей и контроль доступа к учетным записям с расширенными полномочиями являются наиболее эффективными средствами обеспечения безопасности в такой ситуации. Опытные сотрудники безопасности и специализированные решения по контролю и мониторингу привилегированных пользователей являются ключом к успеху Вашей защиты.

• Управление учетными записями с расширенными привилегиями. Первый шаг на пути эффективной защиты учетных записей с расширенным набором полномочий – это уменьшение их числа и строгий контроль за их использованием. Вам необходимо идентифицировать все учетные записи, использующиеся в Вашей компании и удалить все неактивные, а также понизить уровень полномочий для тех пользователей, для которых это возможно. Убедитесь, что новые подобные учетные записи создаются только когда это необходимо, а ненужные своевременно удаляются.
• Управление доступа к привилегированным учетным записям. Следующий шаг - организация строгого контроля доступа к учетным записям с расширенным набором полномочий. Эффективная политика по созданию и использованию паролей, двойная аутентификация и решения по мониторингу доступа являются наилучшими инструментами, которые помогут Вам четко знать кто, когда и зачем получал доступ к учетной записи с расширенными полномочиями.
• Мониторинг привилегированных пользователей. Последний шаг – мониторинг и запись всех действий привилегированных пользователей во время сессии. Использование профессиональных решений для мониторинга привилегированных пользователей – единственный способ получить необходимую информацию об их действиях. Таким образом Вы сможете идентифицировать вредоносные действия и своевременно на них отреагировать.

Предотвращение угрозы со стороны привилегированных пользователей, как и внутренних угроз в целом, является чрезвычайно сложной задачей, требующей комплексного и разностороннего подхода. Интегрировав вышеперечисленные методы в стратегию безопасности своей компании, Вы сможете надежно защитить свою ценную информацию как от внутренних, так и от внешних угроз.

Источник https://www.ekransystem.com/en