Класичних заходів безпеки, таких як багатофакторна автентифікація або антивірусні програми, недостатньо для комплексної кібербезпеки. Тому компанії повинні застосовувати підхід до глибокого захисту та зосереджуватися насамперед на захисті ідентифікаційних даних і привілейованому доступі, каже експерт із безпеки CyberArk.
У більшості атак, незалежно від того, хто за ними стоїть, рівень ідентичності є першою точкою входу в мережу організації. У багатьох випадках було показано, що зловмисники можуть підтримувати постійний, непомічений і тривалий доступ у скомпрометованих середовищах, використовуючи, серед іншого, законні облікові дані.
MFA, EDR, AntiVirus - все має значення
Для підвищення кібербезпеки на кінцевих пристроях компанія повинна, з одного боку, спиратися на перевірені практики. Це стосується, наприклад, реалізації MFA (багатофакторної автентифікації), впровадження EDR (виявлення кінцевих точок і реагування) і AV (антивірусних рішень), використання брандмауера, регулярного встановлення патчів і - якщо необхідно – використання надійних паролів.
З іншого боку, необхідні додаткові кроки для підвищення рівня кібербезпеки в рамках підходу до поглибленого захисту. Це включає такі заходи:
- Використання рішень для контролю за заявками: Компанії повинні блокувати запуск невідомих файлів EXE, оскільки вони можуть містити потенційно небезпечні команди. Перезавантаження шкідливого коду та його виконання на скомпрометованому кінцевому пристрої є частиною атаки майже у всіх зломах ІТ-систем.
- Обмеження прав доступу: Послідовна реалізація концепції найменших привілеїв і деактивація непотрібних облікових записів є обов’язковими. Обмеження привілеїв має вирішальне значення, оскільки крадіжка облікових даних дозволяє зловмисникам отримати доступ до важливої інформації. Слід також підтримувати своєчасне розширення повноважень. Це означає: якщо користувачеві потрібні підвищені або найвищі права для роботи в системі або для виконання певних робочих кроків, ці права можуть бути призначені лише тимчасово та пов’язані з ціллю – двійковому файлу чи дії. Функції виявлення загроз можуть прискорити виявлення та запобігання спробам атак.
- Виявлення тіньового адміністратора: Тіньові адміністратори часто мають конфіденційні дозволи, які дають їм можливість підвищувати привілеї в хмарних середовищах. Ці ідентифікаційні дані, часто породжені неправильною конфігурацією або недостатньою обізнаністю, можуть стати мішенню зловмисників, залишаючи під загрозою все середовище. Існують різні рішення для виявлення тіньових адміністраторів, наприклад інструмент з відкритим кодом zbang.
- Резервне копіювання резервних копій: Підприємства повинні надійно створювати резервні копії контролерів домену, оскільки зловмисники можуть спробувати отримати доступ або створити копію бази даних домену Active Directory, щоб викрасти облікові дані або іншу інформацію про пристрій, користувача чи права доступу. Для резервного копіювання можна розглянути інструменти з функціями виявлення загроз, які захищають файл NTDS, у якому зберігаються конфіденційні дані Active Directory.
- Використання шифрування AES Kerberos: Використання шифрування AES Kerberos замість RC4 може запобігти зловмиснику від неправомірного використання дійсного квитка надання квитка Kerberos (TGT) або шпигування за мережевим трафіком для отримання доступу до послуги надання квитка (TGS), яка може бути вразливою методами грубої сили. Наприклад, модуль RiskySPN інструменту thezBang можна використовувати для виявлення Kerberoasting.
- Захист сертифікатів облікових даних: Збережені сертифікати користувача для входу в цільові системи повинні бути надійно захищені, щоб запобігти спробам зловмисників підписати сертифікати за допомогою маркерів. Це також можна використовувати для пом’якшення таких загроз, як атака Golden SAML, під час якої зловмисники отримують дійсний маркер SAML, тобто підроблений елемент автентифікації. Це дає їм майже будь-який дозвіл для майже всіх послуг компанії - залежно від того, які служби використовують SAML як протокол автентифікації.
Кібербезпека: багаторівневі заходи безпеки захищають
«Ізольованих заходів безпеки вже недостатньо в епоху ескалації кіберзлочинності. Порядок дня такий: глибока оборона – зараз. Це означає, що компанія повинна вживати багаторівневих заходів безпеки, щоб захистити конфіденційні системи, програми та дані та мінімізувати можливі негативні наслідки атаки», — пояснює Крістіан Гьотц, директор з розробки рішень DACH у CyberArk. «Гарною відправною точкою для цього є підхід до безпеки на основі ідентичності, тобто концепція безпеки, яка класифікує ідентичність як центральну лінію захисту компанії — незалежно від того, чи це людина, програма чи машина».
Більше на Cyberark.com
Про CyberArk
CyberArk є світовим лідером у сфері захисту ідентифікаційних даних. Завдяки керуванню привілейованим доступом як основному компоненту CyberArk забезпечує комплексну безпеку для будь-якої ідентифікаційної інформації – людини чи не людини – у бізнес-додатках, розподілених робочих середовищах, гібридних хмарних робочих навантаженнях і життєвих циклах DevOps. Провідні світові компанії покладаються на CyberArk для захисту своїх найважливіших даних, інфраструктури та програм. Близько третини компаній DAX 30 і 20 компаній Euro Stoxx 50 використовують рішення CyberArk.