Зараз кібератаки рідко здійснюються технічно висококваліфікованими зловмисниками. Традиційні методи злому, такі як декодування шифрування або проникнення в брандмауери, відходять у минуле. Анатомія кібератаки змінюється.
Злочинці більше не зламують; вони просто входять в систему. Це пояснюється тим, що слабкі, викрадені чи іншим чином скомпрометовані облікові дані створюють легку точку входу для зловмисників, навіть якщо вони мають низькі технічні навички.
Вкрадені логіни у співробітників
Нещодавній злом у Twitter, у результаті якого були захоплені десятки облікових записів відомих користувачів, є хорошим прикладом того, як сьогодні здійснюються кібератаки. Згідно з дослідженням гіганта соціальних мереж, 17-річний підліток із Флориди використовував методи соціальної інженерії, щоб отримати облікові дані невеликої кількості співробітників Twitter. Потім зловмисник зміг зловживати цими логінами, щоб отримати доступ до важливої внутрішньої системи. І Twitter не єдиний: Forrester оцінює, що зараз 80 відсотків порушень безпеки пов’язані з скомпрометованими обліковими даними. Якщо зловмисник захопить привілейований обліковий запис, він може використати його для широкого та непомітного переміщення в мережі протягом тривалого часу, щоб отримати конфіденційні дані або спричинити збої.
Маршрут атаки кіберзлочинців
Кожна кібератака відрізняється своєю мотивацією та завданою шкодою. Проте всі атаки містять три важливі основні компоненти, які стосуються як зовнішніх, так і внутрішніх загроз. Нижче наведено огляд того, як часто відбуваються сучасні кібератаки:
1. Знайти шлях всередину
Як уже згадувалося, сьогодні злочинці зазвичай зловживають скомпрометованими обліковими даними для своїх атак. Вони зазвичай використовують методи соціальної інженерії, такі як фішингові кампанії, щоб викрасти облікові дані для входу. Хакери також користуються мільйонами витоку облікових даних, які продаються в темній мережі. Як наслідок, користувачі, які використовують однакові або подібні паролі для кількох облікових записів, знаходяться під загрозою, якщо зловмисник використовує такі методи, як введення облікових даних або розпилення пароля.
2. Навігація системою
Потрапивши в систему, зловмисник спробує розвідати своє оточення та підвищити свої привілеї, щоб переміщатися в мережі та отримати доступ до більш критичної інфраструктури з потенційно цінними даними. На цій стадії хакери намагаються отримати розуміння свого середовища, дивлячись на розклад ІТ, заходи безпеки або потоки мережевого трафіку. Мережеві ресурси, привілейовані облікові записи, контролери домену та Active Directory є основними цілями для зловмисників, оскільки вони часто мають привілейовані облікові дані.
3. Крадіжка даних і замести слідів
Коли зловмисники дізнаються, де отримати доступ до цінних даних, вони будуть шукати способи ще більше збільшити свої привілеї доступу, щоб отримати ці дані та замести сліди. Вони також можуть створити бекдор, наприклад, створивши ключ SSH, щоб отримати більше даних у майбутньому.
Найкращі методи захисту від сучасних кібератак
Побудова міцного периметра та інвестиції в добре налагоджену команду безпеки все ще є фундаментальними. Однак, оскільки сучасні зловмисники все частіше використовують неправильні паролі та незахищені привілейовані облікові записи, організаціям необхідно адаптувати свою стратегію безпеки до цих загроз і зосередитися на захисті ідентифікаційних даних і облікових даних.
Озкан Топал, директор з продажу в ТикотичнийCentrify
Спільні привілейовані облікові дані слід перевірити та помістити в сховище паролів для належного керування. Однак одного сховища недостатньо для захисту від динамічного ландшафту загроз, який значно розширився завдяки цифровій трансформації та має все більше поверхонь для атак, таких як хмара або DevOps.
Застосуйте підхід із найменшими привілеями
Таким чином, компанії повинні застосувати підхід із найменшими привілеями, заснований на ідентифікації окремих людей і машин. Крім того, потрібні системи, які перевіряють, який співробітник або яка програма запитує доступ до ресурсів і з якої причини. Необхідно визначити ризик відповідного середовища доступу та надати дозволи лише для цільового об’єкта протягом мінімально необхідного часу. Ось три пункти, які компанії повинні застосувати у своїй стратегії безпеки:
- Застосування підходу нульової довіри: модель нульової довіри передбачає, що зловмисники вже знаходяться в мережі. Таким чином, жодному користувачеві чи запиту не можна довіряти, поки не буде повністю перевірено. Після цього слід надати лише доступ із найменшими привілеями, надаючи стільки дозволів, скільки необхідно. Архітектури безпеки повинні бути структуровані з урахуванням цього.
- Використання багатофакторної автентифікації для керування привілейованим доступом: багатофакторна автентифікація є простим засобом безпеки, і її слід використовувати скрізь, де привілеї підвищуються, із виділеними зонами доступу, що додають цей захист.
- Машинне навчання для поінформованості про ризики в реальному часі. Алгоритми машинного навчання можуть відстежувати поведінку привілейованих користувачів, виявляти аномальну та ризиковану діяльність і подавати сповіщення, щоб зупинити підозрілі операції.
Сучасні кіберзлочинці можуть мати складні технічні навички або просто базові знання сценаріїв. Однак, запровадивши надійний план керування привілейованим доступом, орієнтований на ідентифікацію, заснований на принципах нульової довіри, організації можуть захистити свої критичні активи від наростаючої хвилі атак і значно знизити ризик порушення безпеки.
Більше на Centrify.com
Про Thycotic Centrify ThycoticCentrify є провідним постачальником рішень безпеки хмарної ідентифікації, які забезпечують масштабну цифрову трансформацію. Провідні в галузі рішення управління привілейованим доступом (PAM) ThycoticCentrify знижують ризики, складність і вартість, одночасно захищаючи корпоративні дані, пристрої та код у хмарних, локальних і гібридних середовищах. ThycoticCentrify довіряють понад 14.000 100 провідних компаній у всьому світі, включаючи більше половини зі списку Fortune XNUMX. Клієнти включають найбільші фінансові установи світу, розвідувальні агентства та компанії критичної інфраструктури. Людина чи машина, у хмарі чи локально – привілейований доступ ThycoticCentrify безпечний.