Vienas tiesiausių kelių jautrių duomenų link – IT infrastruktūra, į kurią kibernetiniams nusikaltėliams padeda „įsisukti“ pavogti kredencialai (slaptažodis, naudotojo vardas, PIN kodas, sesijos identifikatorius, sesijos bilietas ir kiti duomenys, padedantys identifikuoti naudotoją). Kartais patys to nežindomi, padedame kibernetiniams nusikaltėliams gauti šią informaciją ir prieiti prie svarbiausios įmonės informacijos.

Apmaudžiausia, jog šios problemos ištakos – ne eilinių darbuotojų neatsargumas, bet sisteminės svarbių paskyrų administravimo ydos, pastebi „Blue Bridge“ kibernetinio saugumo ekspertas Kęstutis Meškonis, pristatysiantis pranešimą apie pažangiausias grėsmes debesų kompiuterijos paslaugoms jau trečią kartą organizuojamoje, didžiausioje debesų kompiuterijos konferencijoje Lietuvoje – „Bridge to Cloud 2019″.

Atkreipti dėmesį į svarbių paskyrų saugumą

Kibernetinėms grėsmėms tampant vis įvairesnėmis, viena opiausių problemų, su kuria susiduria visos organizacijos – saugumo prioritetų nustatymas.

„Tarp šių prioritetų, remiantis ir pasauline, ir Lietuvos praktika, turėtų atsidurti privilegijuotų paskyrų administravimo problemos. Jų bendras vardiklis – per didelių teisių suteikimas naudotojams ir sistemoms“, – sako K. Meškonis.

„Kaip greičiau“ virsta „kaip pavojingiau“

Dauguma privilegijuotų paskyrų administravimo problemų kyla taupant laiką ir iš įpročio administruoti šias paskyras „kaip patogiau“.

„Taip atsiranda ir vienodi kredencialai, kuriuos administratoriai naudoja skirtingoms sistemoms ir mašinoms, ir privilegijuotų paskyrų slaptažodžių „rankinis“ kūrimas bei valdymas“, – vardina K. Meškonis. Pašnekovas pastebi, kad tokia administravimo praktika lemia, kad privilegijuoti slaptažodžiai kartais nekeičiami 15 ar net daugiau metų.

Nesaugūs kredencialai – įsilaužimo metodų pagrindas

Apie administravimo principus „kaip greičiau“ ir „tikrai veiks“ puikiai žino kibernetiniai nusikaltėliai, patikina „Blue Bridge atstovas: „Pavyzdžiui, populiariausia „horizontolaus judėjimo“ įsilaužimo technika egzistuoja tik todėl, kad nenaudojami unikalūs slaptažodžiai“, – sako K. Meškonis, paaiškindamas, kad pagal šią metodiką, įsilaužėlis, naudodamasis vienais vogtais kredencialais, gali greitai ir nepastebimai judėti iš vienos sistemos į kitą, vogti kitus kredencialus, turinčius dar aukštesnes teises ir taip plėsti savo nelegalią sistemų prieigą. Taip galiausiai jis ne tik užvaldo visą IT infrastruktūrą, bet ir prieina prie svarbiausių duomenų.

Atidžiau peržvelgti privilegijuotų paskyrų sąrašą

Pirmoji užduotis norint tinkamai sustyguoti daugiausiai teisių turinčių paskyrų administravimą – nustatyti, kurios iš tokių paskyrų tikrai būtinos.

„Reikia įvertinti, ar visi naudotojai ir sistemos žino tiek, kiek joms būtina žinoti. Kitais žodžiais tariant, į privilegijuotų naudotojų sąrašą reikia pažvelgti kritiškai ir pašalinti nereikalingas paskyras bei atimti nereikalingas teises. Šiuo atveju, mažiau teisių visada yra saugiau“, – pasakoja K. Meškonis.

Pradėti nuo privilegijuotų naudotojų kontrolės

Įvertinus ir sumažinus bendrą privilegijuotų paskyrų skaičių, „Blue Bridge“ saugumo ekspertas rekomenduoja stebėti, kur jungiasi administratoriai, turintys plačias teises.

„Svarbiausia problema, kurios reikėtų išvengti – privilegijuotų administratorių prisijungimai į žemesnio saugumo lygio mašinas. Bloga praktika, kai su tais pačiais, aukščiausias teises turinčiais, kredencialais jungiamasi ir prie kompiuterinės darbo vietos (žemiausias saugumo lygmuo), ir prie „Windows“ serverio (vidutinis saugumo lygmuo), ir prie ypač svarbių „Windows“ domeno valdiklių funkcijas atliekančių serverių (aukščiausias saugumo lygmuo). Jeigu Jums tai pažįstama situacija, siūlau tokią praktiką kuo skubiau panaikinti“, – pataria K. Meškonis.

Pašnekovas pabrėžia, jog administratorių kredencialai turi būti prioretizuoti pagal skirtingų saugumo lygių mašinas, vieni nuo kitų izoliuoti ir apsaugoti. Taip pat svarbiausių kredencialų apsaugą sustiprina ir tokios priemonės kaip daugelio faktorių autenfikavimas, tinklo izoliavimas, kredencialų izoliavimas, privilegijuoto administravimo darbo vietos ir administravimo stotys.

Pasirūpinti, kad tam tikrose AD grupėse nebūtų „svečių“

Su kita dažniausia IT infrastruktūros administravimo klaida susiduria organizacijos, paskyrų ir slaptažodžių valdymui naudojančios „Active Directory“ (AD) katalogų tarnybos paslaugas.

„Paslaugų paskyros privilegijuotose AD grupėse – viena dažniausiai pasitaikančių saugumo problemų. Ją spręsti reikėtų nuo paslaugų paskyrų šalinimo iš privilegijuotų AD grupių“ – sako K. Meškonis ir siūlo pradėti šį šalinimą nuo svarbiausių Numatytųjų (angl. Default) grupių, tokių kaip „Domain Admins“, „Enterprise Admins“ ir „Administrators“.

„Taip pat gerai būtų pasirūpinti, kad jokių paskyrų nebeliktų ir integruotuose (angl. Build-in) grupėse „Account Operators“, „Backup Operators“, „Server Operators“ ir „Print Operators“, – vardija K. Meškonis.

Dar kartą apie slaptažodžius

Vienos žymiausių pasaulyje interneto ir telekomunikacijų bendrovės „Verizon“ duomenys rodo, kad pernai net 81 proc. visų kibernetinių incidentų metu išnaudoti silpni arba pavogti slaptažodžiai. Tarp tokių slaptažodžių – ir priklausantys AD paskyroms.

„Problemų kelia ir AD paslaugų paskyrų, ir lokalių administratorių slaptažodžių valdymas. Šioje vietoje svarbu priminti, kad negalima pamiršti elementarių „higienos taisyklių“: privilegijuoti slaptažodžiai turi būti ilgesni nei 25 simbolių, neįsimenami, keičiami kas 2-6 mėnesius“, – sako K. Meškonis.

Kalbėdamas apie lokalių administratorių slaptažodžius, pašnekovas prideda dar vieną taisyklę – šie slaptažodžiai negali būti vienodi. „Deja, dažniausiai su tuo pačiu slaptažodžiu galima prisijungti prie kelių skirtingų mašinų: kompiuterinės darbo vietos, serverių ir AD domeno valdiklių serverių. Tokia situacija taip pat yra taisytina“, – sako kibernetinio saugumo ekspertas.

Sudėtingiausius slaptažodžius kuria mašinos

Efektyviausiai su privilegijuotų slaptažodžių kūrimu ir valdymu susijusias problemas padeda spręsti technologijos, įsitikinęs pašnekovas.

„Privilegijuoti kredencialai, padedantys identifikuoti aplikaciją, sistemą, įrenginį arba administratorių, turi būti beveik neįsimenami ir sunkiai atkuriami, o geriausiai tokius slaptažodžius kuria mašinos, ne žmonės.“, – akcentuoja K. Meškonis.

Vienas pažangiausių sprendimų automatiniam svarbiausių slaptažodžių valdymui – privilegijuotų naudotojų kontrolės (angl. Privileged access management (PAM)) sprendimai.

„Taip pat galima rinktis ir specializuotus sprendimus. Pavyzdžiui, AD paslaugų paskyrų slaptažodžių valdymui galima pasitelkti AD siūlomas priemones „Group/Managed Service Accounts“, o lokalių administratorių slaptažodžių valdymui „Windows“ sistemose – nemokamą „Microsoft“ LAPS įrankį, – sako K. Meškonis, pabrėždamas, kad bet kuris iš šių sprendimų padės geriau valdyti slaptažodžius, nei pavyzdžiui, žodynas. „Beje, „Blue Bridge“ saugumo auditų statistika rodo, kad pernai 42 proc. „nulaužtų“ privilegijuotų slaptažodžių atspėjami būtent naudojant žodyno ataką (angl. Dictionary attack)“, – perspėja Kęstutis Meškonis.

Daugiau Kęstučio Meškonio ir kitų „Blue Bridge“ ekspertų bei kviestinių svečių įžvalgų apie saugumą ir debesų kompiuterijos paslaugas – konferencijoje „Bridge to Cloud 2019“, kuri įvyks spalio 8 d. Vilniuje. Daugiau informacijos renginio puslapyje >>


Sustiprinkite savo IT saugumą su „Blue Bridge“ kibernetinio saugumo specialistais

Susisiekime: Asta.Radzivanaite@bluebridge.lt, +370 62921422

Asta Radzivanaitė, „Blue Bridge“ kompiuterinių tinklų sprendimų vadybininkė