Всем привет! Меня зовут Алексей Ширикалов, я руководитель группы поддержки продаж «АйТи Бастион». Ранее я писал о том, как реализованы отказоустойчивость и катастрофоустойчивость в СКДПУ НТ. Материал можно прочитать здесь. А сегодня расскажу о нескольких реальных случаях хакерских атак и о том, как можно избежать подобного, если контролировать доступ в ИТ-инфраструктуру с помощью СКДПУ НТ.
Какой вред может нанести учетная запись, если окажется у злоумышленника? Рассмотрим несколько случаев.
Начнем с очень показательной истории, произошедшей в Коста-Рике в 2022 году. В результате хакерской атаки злоумышленники получили доступ к 27 учреждениям (изначально была атакована инфраструктура Министерства финансов) и тем самым, помимо прочих последствий, привели к вводу военного положения. Хакеры похитили 672 Гб данных и потребовали выкуп в размере от 5 до 20 млн долларов (со временем он менялся). Если упростить схему действия злоумышленников (естественно, исходя из информации в открытых источниках), то начало атаки было классически направлено на VPN, скомпрометировать который получилось благодаря зараженному устройству в сети одного из сотрудников. Что произошло потом?
Хакеры выстроили удаленные сеансы благодаря скомпрометированному журналу VPN → получили роль администратора домена локальной сети → занялись поиском ресурсов с содержанием конфиденциальных данных и выкачиванием их на внутренние общедоступные ресурсы.
Не менее важной является тема атак на цепочки поставок. Даже если компания обезопасила себя со всех сторон, она пользуется услугами подрядчика, который может оказаться недобросовестным и потенциально опасным. Взломать инфраструктуру организации, предоставляющей ИТ-услуги крупным заказчикам, зачастую проще и результативнее. При получении доступа к подрядной организации у злоумышленника открывается простор для целенаправленных атак на обслуживаемые ею компании. Его целью может стать не только получение нелегитимного доступа в определённую организацию. Если у хакера нет «конкретной мишени» при взломе, то под угрозой оказываются все крупные и не очень организации, пользующиеся услугами подрядчика этой ИТ-компании. Надо несколько раз подумать, стоит ли доверять «защищенности» подрядчиков?
Самое страшное, что атаки все чаще приобретают целенаправленный характер и тщательно планируются. Это уже не простые хищения данных, а вполне реальные угрозы инфраструктуре, которые влекут за собой прямые и косвенные финансовые убытки для бизнеса. Если говорить о сферах КИИ, то последствием таких атак может быть не только простой инфраструктуры, но и непоправимый ущерб. Кейсы и статистика говорят сами за себя.
По информации Positive Technologies, «товарами», которые можно приобрести в даркнете, являются: доступ (75%), данные (15%), DDoS (7%), эксплойт (2%), взлом (1%). Посмотрим на кейс, который показывает, как выглядит такая атака и к чему приводит.
Один из взломов Uber, который произошел в 2022 году, был совершен именно по такой схеме. Злоумышленник получил утекший пароль подрядчика Uber EXT, затем при попытке попасть в систему столкнулся с проблемой второго фактора. Но по воле случая один из запросов на подтверждение входа был принят сотрудником. Злоумышленник оказался в сети подрядчика и, как следствие, в сети UBER. Затем он получил доступ к ряду других УЗ и все необходимые привилегии для используемых инструментов и продолжения атаки. Она носила развлекательный характер и не нанесла серьезного ущерба, кроме репутационного, конечно. По некоторым данным, за этими «развлечениями» стоял 17-ти летний подросток из США.
В большинстве случаев для «нанесения вреда» необходимо получение доступа через УЗ с дополнительными привилегиями. Поэтому и эти УЗ можно отнести к чувствительным данным, которые стоит оберегать и хранить. Но обслуживание систем и другие действия внутри инфраструктуры не могут быть осуществлены без этого доступа. Как же быть?
В таком случае к нам на помощь приходит модель zero trust, которая гласит: «Никому не доверяй!». Любой ресурс может оказаться под угрозой, и любой пользователь может быть источником такой угрозы. Согласно этому подходу, необходимо:
- жестко распределять ролевые модели;
- ограничивать любой сторонний и излишний доступ;
- проводить дополнительные проверки и аутентификации пользователей;
- выдавать минимальный доступ и наименьшие привилегии, непрерывно отслеживать активность в инфраструктуре.
Но ограничиться этим нельзя. Все это работает в комплексе с общими политиками безопасности. Что может помочь в реализации такого подхода?
Наш ответ — PAM-система СДКПУ НТ совместно с многочисленными полезными интеграциями с ИТ- и ИБ-продуктами. Благодаря нашему решению можно не только воплотить в реальность некоторые принципы zero trust, но и «удобно» это контролировать в рамках единого центра Мониторинга и аналитики даже в геораспределенных инсталляциях. В данном вопросе СКДПУ НТ имеет четкую ролевую модель для пользователей. Решение ограничивает доступ к неиспользуемым ресурсам, УЗ с повышенными привилегиями, другим сегментам сети и т.д. Также система ограничивает действия внутри сессий, предотвращая недопустимые команды, процессы, приложения и т.д. Ведется постоянная запись сессий в формате видео и лога, что позволяет значительно упростить поиск инцидента безопасности и является доказательной базой. Как выглядит упрощенная система доступа к целевым ресурсам в среднестатистической компании?
Пользователь подключается через выделенный VPN в корпоративную сеть компании. Он получает доступ к необходимому ресурсу с использованием ввода его адреса и выданного ему логина и пароля. Чаще всего доступ не ограничивается по времени, месту и выполняемым действиям. Соответственно, при компрометации такого аккаунта злоумышленник получает идентичный доступ к корпоративной сети.
СКДПУ НТ встает в логический разрыв между пользователем и целевым устройством. Путем настраивания сетевых взаимодействий СКДПУ НТ работает аналогично прокси. Такой метод позволяет не стать точкой отказа в случае использования моноинсталляции без отказоустойчивости и выходе шлюза доступа из строя. Пользователь подключается через выделенный VPN в корпоративную сеть, в которой у него есть доступ к системе СКДПУ НТ без прямого доступа на целевые ресурсы. Там пользователю уже предоставлены все необходимые для него ресурсы и методы входа согласно ролевой модели. Это может быть вход под хранящимися в СКДПУ НТ аккаунтами целевых устройств, которые не выдаются на руки пользователю для исключения компрометации. Другие варианты: использование маппинга текущей учетной записи либо использование интерактивного входа, когда УЗ от целевого ресурса выдается пользователю на руки. Также есть возможность добавления на устройства согласования на доступ и введения ряда ограничений, например: время, источник либо иные ограничения в рамках сессии. А еще путем выстроенных гибких политик доступа возможно ограничение по различным факторам, например:
— ограничение использования свойств протоколов (использование буфера обмена файлов, текста, проброс дисков, и др.);
— ограничение на выполнение определенных команд на основе черных и белых списков;
— ограничение на запуск процессов/ПО в сессии (например, закрытие ПО в самой сессии или полное завершение сессии).
Для создания комплексной защиты инфраструктуры необходима настройка интеграции с различными решениями. Сегодня мы стараемся интегрироваться с отечественными продуктами наших текущих партнеров, исходя из «необходимостей» современного рынка ИБ и пожеланий заказчиков. Самое главное – мы пытаемся создать мультивендорную экосистему для обеспечения доступности и защищенности всей инфраструктуры.
Использовать УЗ с повышенными привилегиями нужно максимально аккуратно. А еще необходимо следовать подходам нулевого доверия. Ведь потенциальная угроза может быть как в периметре организации, так и за ее пределами.
И всегда помните: большие привилегии – большая ответственность!