Завдяки розширенню віддаленої роботи ІТ-адміністратори, служби безпеки та звичайні співробітники тепер сильно залежать від віддаленого доступу до корпоративних систем, середовищ і програм DevOps. Це дає учасникам загрози набагато більшу поверхню для атаки: видавання себе за іншу особу.
Цифрові ідентифікатори стали улюбленою зброєю для кіберзлочинців. Якщо привілейовані користувачі організації регулярно використовують спільні привілейовані облікові записи для доступу, зокрема віддаленого через VPN, будь-який зловмисник, який скомпрометує ці облікові дані, у гіршому випадку має далекосяжний доступ до критично важливих даних і ресурсів. Причому під загрозою знаходяться не тільки привілейовані користувачі. Багато кібератак спрямовані на облікові записи звичайних працівників, щоб використовувати їх як стартовий майданчик для розвідки мережі.
Пам’ятаючи про це, організаціям слід переглянути вплив розподіленої робочої сили, зовнішніх підрядників і зростаючої поверхні атаки високорозподіленої ІТ-інфраструктури, а також розглянути можливість впровадження нових стратегій Zero Trust, щоб краще реагувати на цю нову динаміку.
Стратегія нульової довіри для ідентифікаційних даних людини та машини
Завдяки моделі Zero Trust жоден суб’єкт, який запитує доступ до конфіденційних корпоративних даних, додатків чи інфраструктури, не може бути надійним. Однак заходи безпеки не повинні обмежуватися ідентифікацією користувачів. Ідентифікаційні дані та облікові записи служб для машин, програм та інших робочих навантажень дедалі частіше становлять більшість «користувачів» у багатьох організаціях. Це особливо вірно в хмарних середовищах і середовищах DevOps, де інструменти розробника, контейнерні програми, мікросервіси та еластичні робочі навантаження - всі вони вимагають ідентичностей для спілкування одна з одною - відіграють домінуючу роль. Тому, щоб покращити систему безпеки на основі ідентифікації, організації повинні зосередитися на управлінні привілейованими дозволами доступу на основі підходу нульової довіри.
Безпека без довіри через керування привілеями доступу (PAM)
Традиційний периметр мережі розпадається, оскільки користувачі та ІТ-ресурси стають більш географічно розподіленими. Як наслідок, більше непрактично приймати рішення щодо доступу на основі простих понять, таких як «довірені користувачі знаходяться всередині периметра, а ненадійні — зовні», і використовувати для цього розрізнення IP-адреси. Підприємства повинні вважати, що суб’єкти загрози вже знаходяться в їхніх системах. Застарілий підхід «довіряй, але перевіряй» необхідно замінити на «ніколи не довіряй, завжди перевіряй».
«Ніколи не довіряй» означає, що законні адміністратори більше не мають дозволу на доступ до привілейованих облікових записів. Тобто замість того, щоб дозволяти спільним привілейованим обліковим записам, таким як root і локальний адміністратор, робити все, що їм заманеться, адміністратори використовують свій корпоративний обліковий запис, перевірений відділом кадрів, який має базові привілеї. Це запобігає фатальним помилкам і зменшує вплив, якщо зловмисник скомпрометує цей обліковий запис. Тоді елементи керування безпекою PAM можуть вибірково надавати підвищені привілеї, коли того вимагає ситуація, на основі централізованих ролей і політик. Замість того, щоб ідентифікаційні особи постійно мали широкі привілеї, цей підхід із найменшими привілеями зменшує ризик безпеки, але все ще дозволяє законним адміністраторам виконувати свою роботу, запитуючи лише достатню кількість привілеїв, своєчасно та протягом обмеженого часу. Щоб забезпечити ефективний захист, компанії повинні постійно застосовувати цей підхід до всіх ІТ-ресурсів, будь то в центрі обробки даних, у демілітаризованій зоні (DMZ), у віртуальній приватній хмарі або в багатохмарному середовищі.
Впроваджуючи цей підхід нульової довіри до PAM із використанням засобів контролю доступу з найменшими привілеями, організації мінімізують поверхню атаки, покращують видимість аудиту та відповідності, а також зменшують ризик, складність і вартість.
Важливі кроки на шляху до нульової довіри
PAM — це складна технологія, але організації можуть досягти значних успіхів у безпеці лише за допомогою кількох основ і продовжувати вдосконалювати свій рівень зрілості Zero Trust, послідовно впроваджуючи більш розширені можливості. Першими важливими кроками є покращення гігієни паролів, захист спільних привілейованих облікових записів і застосування багатофакторної автентифікації (MFA) для адміністраторів.
1. Гарна гігієна пароля для ідентифікаційних даних людини та машини
Один зламаний пароль потенційно може завдати шкоди всій організації. Тому дуже важливі паролі з високою ентропією, які важко зламати. Часта зміна паролів також зменшує вікно можливостей для потенційних зловмисників. Це також важливо для нелюдських облікових записів. Їх рідко змінюють, побоюючись зламати програму чи службу. PAM дозволяє централізовано керувати цими обліковими записами та застосовувати політику частої ротації. При цьому ці рішення можуть використовувати функцію мультиплексного облікового запису, щоб забезпечити синхронізацію пароля на всіх залежних комп’ютерах перед ротацією, щоб зменшити ризик збою програми.
Оскільки люди все ще залишаються найслабшою ланкою в ланцюжку безпеки і, отже, однією з головних цілей для зловмисників, постійне навчання безпеки має бути обов’язковим для всіх користувачів, а не лише для адміністраторів.
2. Багатофакторна аутентифікація для адміністраторів
Ще одним конкретним кроком для посилення безпеки ідентифікації є впровадження багатофакторної автентифікації для всіх адміністраторів. Для зловмисників час теж гроші. Тому додаткові перешкоди безпеки, такі як MFA, можуть спонукати зловмисника просто перейти до наступної потенційної жертви.
Використання фізичного автентифікатора (наприклад, YubiKey, push-сповіщень або вбудованих біометричних даних, таких як Apple Touch ID) як другий фактор створює дуже високу перешкоду для зловмисників. Цей захід також зупиняє ботів або зловмисне програмне забезпечення. Послідовне застосування MFA у кількох точках доступу є важливим.
3. Зберігання паролів
Особи з постійними дозволами створюють значний ризик для безпеки. Зокрема, системи Linux є чудовим джерелом локальних привілейованих облікових записів. Найкращий спосіб — видалити якомога більше таких облікових записів. Облікові записи, які компанія не може видалити, слід зберігати в сховищі паролів, а доступ обмежувати лише в екстрених випадках. Ці два заходи вже значно зменшують поверхню атаки. На наступному етапі адміністраторам слід надавати лише ті дозволи, які їм потрібні, саме вчасно, коли вони їм потрібні.
Зростаюча кількість успішних кібератак показує, що традиційних концепцій безпеки на основі периметра вже недостатньо. Тому що як тільки цей захисний мур буде подолано, злочинцям зазвичай це легко. Підприємства повинні припускати, що зловмисники вже знаходяться в їхніх мережах, і базувати свої заходи безпеки на цьому припущенні. Це єдиний спосіб захистити всі активи компанії та конфіденційні дані та мінімізувати шкоду від зовнішніх атак і внутрішніх загроз.
Більше на Sophos.com
Про Thycotic Centrify ThycoticCentrify є провідним постачальником рішень безпеки хмарної ідентифікації, які забезпечують масштабну цифрову трансформацію. Провідні в галузі рішення управління привілейованим доступом (PAM) ThycoticCentrify знижують ризики, складність і вартість, одночасно захищаючи корпоративні дані, пристрої та код у хмарних, локальних і гібридних середовищах. ThycoticCentrify довіряють понад 14.000 100 провідних компаній у всьому світі, включаючи більше половини зі списку Fortune XNUMX. Клієнти включають найбільші фінансові установи світу, розвідувальні агентства та компанії критичної інфраструктури. Людина чи машина, у хмарі чи локально – привілейований доступ ThycoticCentrify безпечний.