Привілейований доступ. Чому це важливо і як його контролювати

Найбільш руйнівні кібератаки зосереджені на контролі найбільш цінних активів компанії з використанням привілейованого доступу. Досить згадати, що спільного мають відомі атаки на банківську мережу SWIFT і ті, що були спрямовані на енергосистему України. Несанкціоноване використання привілейованих облікових даних знаходиться в центрі цих та багатьох інших руйнівних кібератак.

Досить очевидно, що привілейовані облікові записи (Privileged Access − далі PA) та дані забезпечують безперешкодний доступ до критично важливої ​​локальної та хмарної інфраструктури, і додатків.

Перед ІТ-директором або керівником служби інформаційної безпеки стоїть непросте завдання − забезпечити безпеку ввірених ресурсів, не перервавши при цьому бізнес-процес. Інструменти захисту для забезпечення безпеки розвинулися дуже сильно. На допомогу приходять міжмережеві екрани, VPN-тунелі, антивіруси, засоби автентифікації, детектори атак. Ефективність всіх цих інструментів доведена роками використання. Проте, все частіше і частіше в пресі з'являється інформація про нові зломи, витоки інформації, втрати репутації і прибутку через хакерські дії. Невже роками перевірені інструменти втратили свою ефективність? Ні, на щастя це не так. Проте, з огляду на зростаючу з кожним днем ​​складність і потужність кібератак, можливостей класичних рішень забезпечення захисту периметру недостатньо. По суті, і периметру, як такого вже немає. Мобільні пристрої та мобільний доступ настільки глибоко проникли в щоденні процеси, що визначити межі периметру з кожним днем ​​все важче і важче.
 
За даними опитування Cyber-Privileged Account Security & Compliance Survey, близько 30% компаній, з кількістю співробітників понад 1000 чоловік не змогли дати відповідь на питання: «Скільки PA використовується у Вашій компанії?». Другою за популярністю була відповідь − від 1 до 250.

Так що ж таке PA і чому дуже важливо його контролювати?

PA існує в багатьох формах в корпоративному середовищі (наприклад, локальні адміністративні облікові записи, адміністративні облікові записи домену, облікові записи служб, облікові дані додатків, ключі SSH, сервісні облікові записи з різним рівнем дозволів, облікові записи адміністраторів в соціальних мережах). РА, облікові дані і секрети знаходяться в пристроях, додатках і операційних системах. Вони дозволяють організаціям захищати інфраструктуру і додатки, ефективно вести бізнес і підтримувати конфіденційність критичних даних.

 Відповідно, ризики, які можуть виникнути в зв'язку з цим це:
- Спільне використання облікових записів;
- Надмірні привілеї;
- Неконтрольований доступ;
- Не регулярна зміна паролів;
- Неактивні аккаунти.

В чужих руках PA можуть бути використані, щоб нанести катастрофічну шкоду бізнесу. Ось чому вони повинні бути захищені, управлятися і контролюватися.
 
Привілейовані облікові записи, облікові дані і секрети є скрізь. І зловмисники переслідують їх.

На практиці для контролю використання привілейованих доступу використовуються рішення класу Privileged accounts management (PAM).
Організаційно та функціонально, з їх допомогою, завдання розбивається на кілька складових, а саме:
- Пошук і аудит стану РА;
- Управління життєвим циклом привілейованих облікових даних (створення\ заміна\ деактивація, безпечне зберігання, контроль доступу до облікового запису, регулярна звітність);
- Контроль сесій з використанням РА (ізоляція сесій, їх моніторинг, журналювання команд, відеофіксація дій);
- Аналітика використання РА і поведінковий аналіз для оперативного виявлення підозрілої активності зловмисників.

Підсумовуючи, можна констатувати, що управління та контроль використання PA повинні займати одне з найважливіших місць в процесі забезпечення інформаційної безпеки компанії. Втрата контролю над PA дає зловмисникам (як зовнішнім, так і внутрішнім) ключі до критично важливих ресурсів ІТ-інфраструктури. Також безперервність захисту PA допомагає знизити ризик витоку даних і відповідати нормативним вимогам.