Противостояние на киберполе:

Системы Identity Management (IdM) обычно рассматривают с позиции повышения эффективности процессов управления доступом – как средство сокращения времени простоя сотрудников, затрат на администрирование или как инструмент автоматизации контроля над правами доступа. Однако IdM-системы могут играть и другую роль – фундаментального инструмента защиты от киберугроз, который снижает эффективность «популярных» способов взлома ИТ-инфраструктуры и риск незаконного проникновения. Одним из наиболее распространенных способов взлома ИТ-инфраструктуры является получение доступа к учетной записи («взлом аккаунта»), и именно о нем мы намерены побеседовать.

Дайте мне учетную запись, и я взломаю мир

Получение доступа к какой-либо учетной записи в информационной системе − один из основных инструментов атаки, а иногда и ее цель. Получив доступ к действующей учетной записи, злоумышленник от ее имени реализует противоправные действия.

Преступник может воспользоваться как личной учетной записью сотрудника компании, так и записью, созданной для технологических нужд. Нередко эксплуатируются «забытые» учетные записи, например принадлежащие уволенным сотрудникам или созданные для тестовых целей. Они хорошо подходят для проведения APT-атак (Advanced Persistent Threat), целью которых является получение контроля над учетной записью и, соответственно, возможности продолжительное время незаметно «сливать» информацию. Так, при анализе высокой нагрузки на приложение в одной из силовых структур выяснилось, что наибольшая активность генерируется учетной записью сотрудника, который был уволен более года назад.

К распространенным методам получения доступа к учетным записям относятся социальная инженерия, целиком основанная на человеческом факторе, и подбор паролей. При этом именно пароли зачастую оказываются самым слабым звеном, которое эксплуатируется для проникновения в ИТ-инфраструктуру.

Не секрет, что несоблюдение сотрудниками парольной политики − крайне распространенное явление. Для получения пароля учетной записи широко используется метод перебора «по словарю», который не требует больших вложений и обеспечивает быстрые результаты. Таким способом злоумышленник подбирает пароль к учетной записи в среднем за сутки-двое. А если подобрать его все же не удается, всегда можно попытать счастья с другой учетной записью.

Часто встречающийся недостаток применения паролей – их редкая смена, и преступники активно этим пользуются. Единожды получив пароль к учетной записи, преступник может долго ее эксплуатировать – до тех пор, пока не изменится пароль или сама запись не будет заблокирована. На этом, зачастую, и основаны атаки типа APT.

IdM против кибервзломщика

Система IdM обеспечивает поддержку полномочий сотрудников строго в границах, очерченных профессиональной необходимостью. Другими словами, сотруднику выдают только те полномочия работы в информационной системе, которые необходимы для выполнения его должностных обязанностей. Такой подход (в иностранных ИБ-стандартах он называется «need to know») позволяет существенно сократить число избыточных полномочий. В результате даже если злоумышленник и получает доступ к учетной записи, ущерб зачастую оказывается минимальным, ведь для реализации атаки может попросту не хватить полномочий.

Использование IdM исключает саму вероятность существования «забытых» учетных записей, которые часто используются для проведения атак. За каждой записью, персональной или служебной, закрепляется определенный владелец. Управление жизненным циклом записей осуществляется в строгом соответствии с кадровыми процессами. При увольнении сотрудника его учетные записи автоматически блокируются, и при выявлении «бесхозной» записи система немедленно об этом сообщает. А значит, у злоумышленника практически не остается возможности задействовать неучтенные учетные записи для проникновения в ИТ-инфраструктуру.

Еще один «бонус» IdM − автоматизация процессов управления паролями. Система автоматически генерирует пароли для учетных записей в соответствии с корпоративными правилами, что существенно снижает риски подбора паролей «по словарю» и, соответственно, получения несанкционированного доступа. Также IdM может контролировать периодическую смену паролей пользователями, препятствуя проведению «долгоиграющих» атак (злоумышленник, тем или иным способом «добравшийся» до учетной записи, не имеет возможности длительно ее эксплуатировать).

Если у вас нет пароля, то вам его не потерять...

Систему IdM можно использовать совместно с решениями, обеспечивающими аутентификацию. Это дает синергетический эффект, связанный далеко не только со снижением рисков информационной безопасности. Например, тандем IdM и системы однократной аутентификации обеспечивает такие условия работы, в которых сотрудники просто не знают своих паролей. Создавая учетные записи, IdM прописывает имя пользователя и пароль в профиле сотрудника, который при использовании системы даже не знает об этом.

Можно применять максимально сложные парольные политики и автоматизированную смену паролей. Тогда пароль будет практически невозможно подобрать «по словарю», и его взлом превратится в более трудоемкое и затратное по времени мероприятие. Да и результативность взлома можно практически свести к нулю только за счет частой смены паролей.

Однократную аутентификацию рекомендуется совмещать со средствами беспарольной аутентификации, которых сейчас достаточно много. Это – и токены, и разные варианты одноразовых паролей, и биометрия, и даже банковские карты с бесконтактными чипами. Использование беспарольной аутентификации позволяет значительно снизить эффективность деятельности преступников, связанной с нелегитимным получением паролей. Подобрав или перехватив пароль, злоумышленник не может получить доступ к учетной записи без прохождения второго этапа аутентификации.

Таким образом, системы IdM помогают бороться с недостатками процесса управления правами доступа (свойственными большинству организаций), которые часто используются злоумышленниками для проникновения в ИТ-инфраструктуру.

Токсичный рай мошенников

Для полноты картины следует упомянуть еще один важный тип угроз, с которыми помогает бороться IdM-система. Он относится, скорее, к блоку «внутренних» угроз, но по экономическому эффекту (уровню возможного ущерба) не уступает «внешним» угрозам, а иногда и превосходит их.

Речь идет о конфликтах разделения полномочий, или SoD-конфликтах, когда один сотрудник имеет полномочия, которые должны быть распределены между несколькими людьми. Примерами таких полномочий могут быть право на создание договоров на закупку и право на их согласование, или право на выпуск банковской карты и право на привязку банковской карты к определённому счёту. Совмещение этих полномочий создаёт беспрецедентные условия для злоупотреблений. Чаще всего такие злоупотребления связаны с прямыми финансовыми потерями. Например, у злоумышленника появляется возможность оплачивать фиктивные счета, проводить несанкционированные отгрузки товаров, скрывать недобросовестные закупки…

IdM обеспечивает контроль над правилами разделения полномочий в информационных системах (контроль над SoD-конфликтами). Это позволяет не только отслеживать подобные нарушения, но и обеспечивать должную степень контроля в тех случаях, когда конфликтующие полномочия необходимы. В результате существенно снижаются риски злоупотреблений со стороны сотрудников и, как следствие, связанные с ними финансовые риски.

Итак, из-за того, что в информационных системах существуют «забытые» учетные записи, пользователи имеют избыточные права доступа, а парольная политика нарушается, злоумышленники получают в свое распоряжение открытые двери в инфраструктуру организации. В борьбе с такими нарушениями другие средства контроля могут оказаться бессильными, а вот система IdM вполне способна стать одним из базовых средств защиты от киберпреступников.


Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.