Vienas tiesiausių kelių jautrių duomenų link – IT infrastruktūra, į kurią kibernetiniams nusikaltėliams padeda „įsisukti“ pavogti kredencialai (slaptažodis, naudotojo vardas, PIN kodas, sesijos identifikatorius, sesijos bilietas ir kiti duomenys, padedantys identifikuoti naudotoją). Kartais patys to nežindomi, padedame piktavaliams gauti šią informaciją ir prieiti prie svarbiausių įmonės duomenų.

Atkreipti dėmesį į svarbių paskyrų saugumą

Kibernetinėms grėsmėms tampant vis įvairesnėmis, viena opiausių problemų, su kuria susiduria visos organizacijos – saugumo prioritetų nustatymas.

„Tarp šių prioritetų, remiantis ir pasauline, ir Lietuvos praktika, turėtų atsidurti privilegijuotų paskyrų administravimo problemos. Jų bendras vardiklis – per didelių teisių suteikimas naudotojams ir sistemoms“, – sako kibernetinio saugumo ekspertas, „Blue Bridge“ vyresnysis sistemų inžinierius Kęstutis Meškonis.

„Kaip greičiau“ virsta „kaip pavojingiau“

Dauguma privilegijuotų paskyrų administravimo problemų kyla taupant laiką ir iš įpročio administruoti šias paskyras „kaip patogiau“.

„Ta atsiranda ir vienodi kredencialai, kuriuos administratoriai naudoja skirtingoms sistemoms ir mašinoms, ir privilegijuotų paskyrų slaptažodžių „rankinis“ kūrimas bei valdymas“, – vardina K. Meškonis. Pašnekovas pastebi, kad tokia administravimo praktika lemia, kad privilegijuoti slaptažodžiai kartais nekeičiami 15 ar net daugiau metų.

Dauguma privilegijuotų paskyrų administravimo problemų kyla taupant laiką ir iš įpročio administruoti šias paskyras „kaip patogiau“.

Nesaugūs kredencialai – įsilaužimo metodų pagrindas

Apie administravimo principus „kaip greičiau“ ir „tikrai veiks“ puikiai žino kibernetiniai nusikaltėliai, patikina „Blue Bridge atstovas: „Pavyzdžiui, populiariausia „horizontolaus judėjimo“ įsilaužimo technika egzistuoja tik todėl, kad nenaudojami unikalūs slaptažodžiai“, – sako K. Meškonis, paaiškindamas, kad pagal šią metodiką, įsilaužėlis, naudodamasis vienais vogtais kredencialais, gali greitai ir nepastebimai judėti iš vienos sistemos į kitą, vogti kitus kredencialus, turinčius dar aukštesnes teises ir taip plėsti savo nelegalią sistemų prieigą. Taip galiausiai jis ne tik užvaldo visą IT infrastruktūrą, bet ir prieina prie svarbiausių duomenų.

Įsilaužėlis, naudodamasis vienais vogtais kredencialais, gali greitai ir nepastebimai judėti iš vienos sistemos į kitą, vogti kitus kredencialus, turinčius dar aukštesnes teises ir taip plėsti savo nelegalią sistemų prieigą.

Atidžiau peržvelgti privilegijuotų paskyrų sąrašą

Pirmoji užduotis norint tinkamai sustyguoti daugiausiai teisių turinčių paskyrų administravimą – nustatyti, kurios iš tokių paskyrų tikrai būtinos.

„Reikia įvertinti, ar visi naudotojai ir sistemos žino tiek, kiek joms būtina žinoti. Kitais žodžiais tariant, į privilegijuotų naudotojų sąrašą reikia pažvelgti kritiškai ir pašalinti nereikalingas paskyras bei atimti nereikalingas teises. Šiuo atveju, mažiau teisių visada yra saugiau“, – pasakoja K. Meškonis.

Pirmoji užduotis – nustatyti, kurios iš tokių paskyrų tikrai būtinos.

Pradėti nuo privilegijuotų naudotojų kontrolės

Įvertinus ir sumažinus bendrą privilegijuotų paskyrų skaičių, „Blue Bridge“ saugumo ekspertas rekomenduoja stebėti, kur jungiasi administratoriai, turintys plačias teises.

„Svarbiausia problema, kurios reikėtų išvengti – privilegijuotų administratorių prisijungimai į žemesnio saugumo lygio mašinas. Bloga praktika, kai su tais pačiais, aukščiausias teises turinčiais, kredencialais jungiamasi ir prie kompiuterinės darbo vietos (žemiausias saugumo lygmuo), ir prie „Windows“ serverio (vidutinis saugumo lygmuo), ir prie ypač svarbių „Windows“ domeno valdiklių funkcijas atliekančių serverių (aukščiausias saugumo lygmuo). Jeigu Jums tai pažįstama situacija, siūlau tokią praktiką kuo skubiau panaikinti“, – pataria K. Meškonis.

Pašnekovas pabrėžia, jog administratorių kredencialai turi būti prioretizuoti pagal skirtingų saugumo lygių mašinas, vieni nuo kitų izoliuoti ir apsaugoti. Taip pat svarbiausių kredencialų apsaugą sustiprina ir tokios priemonės kaip daugelio faktorių autenfikavimas, tinklo izoliavimas, kredencialų izoliavimas, privilegijuoto administravimo darbo vietos ir administravimo stotys.

Administratorių kredencialai turi būti prioretizuoti pagal skirtingų saugumo lygių mašinas, vieni nuo kitų izoliuoti ir apsaugoti.

Pasirūpinti, kad tam tikrose AD grupėse nebūtų „svečių“

Su kita dažniausia IT infrastruktūros administravimo klaida susiduria organizacijos, paskyrų ir slaptažodžių valdymui naudojančios „Active Directory“ (AD) katalogų tarnybos paslaugas.

„Paslaugų paskyros privilegijuotose AD grupėse – viena dažniausiai pasitaikančių saugumo problemų. Ją spręsti reikėtų nuo paslaugų paskyrų šalinimo iš privilegijuotų AD grupių“ – sako K. Meškonis ir siūlo pradėti šį šalinimą nuo svarbiausių Numatytųjų (angl. Default) grupių, tokių kaip „Domain Admins“, „Enterprise Admins“ ir „Administrators“.

„Reikėtų pasirūpinti, kad jokių paskyrų nebeliktų ir integruotuose (angl. Build-in) grupėse „Account Operators“, „Backup Operators“, „Server Operators“ ir „Print Operators“, – vardija K. Meškonis.

Reikėtų pasirūpinti, kad jokių paskyrų nebeliktų ir integruotuose (angl. Build-in) grupėse.

Dar kartą apie slaptažodžius

Vienos žymiausių pasaulyje interneto ir telekomunikacijų bendrovės „Verizon“ duomenys rodo, kad pernai net 81 proc. visų kibernetinių incidentų metu išnaudoti silpni arba pavogti slaptažodžiai. Tarp tokių slaptažodžių – ir priklausantys AD paskyroms.

„Problemų kelia ir AD paslaugų paskyrų, ir lokalių administratorių slaptažodžių valdymas. Šioje vietoje svarbu priminti, kad negalima pamiršti elementarių „higienos taisyklių“: privilegijuoti slaptažodžiai turi būti ilgesni nei 25 simbolių, neįsimenami, keičiami kas 2-6 mėnesius“, – sako K. Meškonis.

Kalbėdamas apie lokalių administratorių slaptažodžius, pašnekovas prideda dar vieną taisyklę – šie slaptažodžiai negali būti vienodi. „Deja, dažniausiai su tuo pačiu slaptažodžiu galima prisijungti prie kelių skirtingų mašinų: kompiuterinės darbo vietos, serverių ir AD domeno valdiklių serverių. Tokia situacija taip pat yra taisytina“, – sako kibernetinio saugumo ekspertas.

Lokalių administratorių slaptažodžiai negali būti vienodi.

Sudėtingiausius slaptažodžius kuria mašinos

Efektyviausiai su privilegijuotų slaptažodžių kūrimu ir valdymu susijusias problemas padeda spręsti technologijos, įsitikinęs pašnekovas.

„Privilegijuoti kredencialai, padedantys identifikuoti aplikaciją, sistemą, įrenginį arba administratorių, turi būti beveik neįsimenami ir sunkiai atkuriami, o geriausiai tokius slaptažodžius kuria mašinos, ne žmonės.“, – akcentuoja K. Meškonis.

Vienas pažangiausių sprendimų automatiniam svarbiausių slaptažodžių valdymui – privilegijuotų naudotojų kontrolės (angl. Privileged access management (PAM)) sprendimai.

„Taip pat galima rinktis ir specializuotus sprendimus. Pavyzdžiui, AD paslaugų paskyrų slaptažodžių valdymui galima pasitelkti AD siūlomas priemones „Group/Managed Service Accounts“, o lokalių administratorių slaptažodžių valdymui „Windows“ sistemose – nemokamą „Microsoft“ LAPS įrankį, – sako K. Meškonis, pabrėždamas, kad bet kuris iš šių sprendimų padės geriau valdyti slaptažodžius, nei pavyzdžiui, žodynas. „Beje, „Blue Bridge“ saugumo auditų statistika rodo, kad pernai 42 proc. „nulaužtų“ privilegijuotų slaptažodžių atspėjami būtent naudojant žodyno ataką (angl. Dictionary attack)“, – perspėja Kęstutis Meškonis.

Sustiprinkite savo IT saugumą su „Blue Bridge“ kibernetinio saugumo specialistais. Parašykite mums!