CyberArk

Ochrona kont uprzywilejowanych

Organizacje na całym świecie coraz częściej stają się ofiarami zaawansowanych ataków przeprowadzanych zarówno przez intruzów z zewnątrz, jak i od wewnętrznych współpracowników. Ci ostatni niekoniecznie mają złe zamiary, często są po prostu nieświadomie wykorzystywani w procesie przełamywania zabezpieczeń systemu. Celami tych ataków są systemy krytyczne przechowujące cenne i wrażliwe dane. Często przebiegają one według charakterystycznego schematu: intruz po uzyskaniu dostępu do określonego konta lokalnego użytkownika biznesowego, wykorzystując jego rolę i uprawnienia w systemie kieruje swoje kroki ku kolejnym zasobom. Przejmując kolejne konta stopniowo rozszerza swoje uprawnienia aż do poziomu kiedy będzie mógł zrealizować postawiony sobie cel główny. Zadaniem zespołów cyberbezpieczeństwa jest oczywiście przeciwdziałanie tym atakom, a w sytuacji kiedy wysiłki okażą się nieskutecznie, zminimalizowanie szkód w organizacji.

Cykl życia ataku

Pierwszym krokiem intruza jest pozyskanie i wykorzystanie danych uwierzytelniających, dających dostęp do konta o standardowym poziomie uprawnień w obrębie logicznej sieci organizacji. Może to być zarówno atak z zewnątrz jak i atak przeprowadzany z wewnątrz firmy. Dla intruza będącego użytkownikiem wewnętrznym ten etap jest banalnie prosty. Według najnowszych badań, agresorzy wewnętrzni odpowiadają za ponad 45% wycieków danych. W przypadku intruza zewnętrznego, ten krok wiąże się z pewnym niewielkim wysiłkiem, związanym na przykład z koniecznością wykonania ataku phishingowego. Pierwszy etap kończy się w momencie uzyskania przez atakującego dostępu do sieci firmy. Pozostałe etapy mają dla intruzów wewnętrznych i zewnętrznych taki sam przebieg; jedni i drudzy korzystają w dalszym ciągu ataku z danych uwierzytelniających nadających im cechy użytkowników wewnętrznych.

Choć istnieje wiele sposobów poszerzania uprawnień, to można je ogólnie podzielić na dwie grupy: poszerzanie uprawnień dostępnych dla posiadanego konta oraz zdobywanie dostępu do innych kont, o wiaększych uprawnieniach. Pierwsza grupa obejmuje wykorzystywanie słabych punktów systemów operacyjnych i innych luk, druga zaś – uzyskiwanie danych uwierzytelniających dzięki ich niewystarczającej ochronie.

Przedstawiona na schemacie pętla obejmuje trzy kroki. Pierwszy to przeprowadzenie rekonesansu przy użyciu pomyślnie poszerzonych uprawnień w celu zidentyfikowania co najmniej jednego konta na co najmniej jednym zasobie, które pozwoli atakującemu zbliżyć się do obranego celu. Kolejny polega na wyborze kolejnego zasobu i konta do zaatakowania, wykradzeniu zakodowanych haseł lub innych dających do niego dostęp danych uwierzytelniających, po czym rozpoczęciu korzystania z takiego równorzędnego konta na wypatrzonym zasobie do dalszej penetracji środowiska /lateral movement/. Ostatni polega na sprawdzeniu dostępności finalnego celu ataku z nowo zdobytego konta. Jeżeli nie jest on jeszcze w zasięgu atakującego, ponowi on kroki 2 i 3, jeszcze bardziej poszerzając swoje uprawnienia, przeprowadzając kolejne rozpoznanie i przejmując kolejne konto. Kroki te mogą być powtarzane wiele razy, zanim intruzowi uda się osiągnąć ostateczny cel.

Ostatni krok polega na wykorzystaniu przez intruza zdobytego dostępu dla sfinalizowania misji. Cele ataku mogą być bardzo różne. Atakujący często szukają wrażliwych danych, np. danych kart kredytowych, numerów rachunków bankowych, danych umożliwiających korzystanie ze świadczeń opieki zdrowotnej, danych osobowych lub własności intelektualnej. W takich przypadkach mogą oni zakończyć misję przez skopiowanie odnalezionych danych i ich zapis poza zinfiltrowaną organizację. Niekiedy ulegają przy tym pokusie zakłócenia jej działalności przez wyrządzenie fizycznych szkód lub wyłączenie krytycznych dla niej systemów i aplikacji. Nawet jeżeli na tym etapie dojdzie do wykrycia incydentu może już być za późno.

Proaktywna ochrona przed atakami wykorzystującymi konta uprzywilejowane

Nieodzownym elementem cyklu życia ataku jest uzyskanie dostępu do kont uprzywilejowanych, czyli kont o większych uprawnieniach niż standardowe konta użytkowników. Mogą one obejmować np. możliwość administrowania systemem operacyjnym danego zasobu, określonymi aplikacjami lub danymi. Konta uprzywilejowane są cennym łupem dla zaawansowanych atakujących nie tylko dlatego, że dają im pełny dostęp do konkretnego elementu infrastruktury informatycznej, ale także dlatego, że często dysponują one uprawnieniami administracyjnymi do więcej niż jednego zasobu. Umożliwia to intruzowi łatwe rozszerzanie ataku w obrębie firmy z maszyny na maszynę, z systemu na system. Opanowując kolejne zasoby, wreszcie udaje mu się dzięki nim dotrzeć do tego, który obrał sobie za główny cel ataku i uzyskać kontrolę nad przechowywanymi w nim wrażliwymi danymi lub narzędziami. Proaktywne podejście CyberArk do przerywania cyklu życia ataku znacznie utrudnia takim atakującym pozyskanie danych uwierzytelniających kont uprzywilejowanych i minimalizuje zakres nieautoryzowanego dostępu, jaki są oni w stanie zdobyć. Praktyczną realizacją tego podejścia jest kompleksowe rozwiązanie CyberArk do ochrony kont uprzywilejowanych, zbudowane na pojedynczej, zintegrowanej platformie. Zabezpiecza ono dane uwierzytelniające, izoluje i kontroluje sesje uprzywilejowane, egzekwuje zasadę ograniczania przyznawanych uprawnień do niezbędnego minimum i bezustannie monitoruje sesje robocze pod kątem podejrzanych zachowań.

Rozwiązanie Privileged Account Security firmy CyberArk znacznie ogranicza zdolność atakującego do penetrowania środowiska informatycznego metodą „lateral movement”. Ponieważ zmniejsza ono zakres wykorzystania kont uprzywilejowanych, znacznie trudniej jest intruzowi poruszać się po sieci, gromadzić informacje o jej zasobach i zdobywać dostęp do kolejnych jej elementów. Poniżej przedstawiono podstawowe cechy rozwiązania.

Dane umożliwiające logowanie się do wszystkich kont uprzywilejowanych, w tym także klucze SSH potrzebne użytkownikom i aplikacjom, są zabezpieczane w szyfrowanym, wirtualnym sejfie. Znacznie poprawia to ich ochronę przed przejęciem w porównaniu z sytuacją, gdy są one przechowywane na laptopach administratorów, wprowadzane za pomocą klawiatury na nierzadko zainfekowanych złośliwym oprogramowaniem urządzeniach końcowych, trwale osadzone w skryptach aplikacji lub kodzie źródłowym, lub w inny sposób wystawione na zagrożenia związane z ich używaniem z poziomu urządzeń końcowych. W wielu sytuacjach administrator nie będzie mógł nawet poznać hasła do konta w systemie końcowym, do którego będzie się łączył. Właściwa ochrona danych uwierzytelniających kont uprzywilejowanych ma kluczowe znaczenie dla minimalizacji ryzyka na każdym z opisanych etapów ataku.

Częsta wymiana uprzywilejowanych danych uwierzytelniających do wszystkich urządzeń i programów w całej firmie, w tym haseł administratorów i kluczy SSH, stanowi nie lada wyzwanie dla osób odpowiedzialnych za jej bezpieczeństwo informatyczne. Rzadka ich wymiana oznacza możliwość ich długotrwałego używania także przez byłych pracowników, którzy będą w stanie logować się na swoje konta na długo po opuszczeniu firmy, czy intruzów, mogących długo i bez przeszkód cieszyć się zdobytym dostępem. Automatyzacja połączeń z docelowymi systemami pozwala wprowadzić dla kont uprzywilejowanych silne, niepowtarzalne hasła i regularnie je wymieniać, i to bez konieczności ujawniania ich użytkownikom. Regularna i częsta rotacja haseł jest w stanie zapobiec dostępowi osób nieupoważnionych do danych uwierzytelniających i zminimalizować ryzyko użycia takich technik ataku jak pass-the-hash, których skuteczność jest uwarunkowana niezmiennością haseł i ich przechowywaniem w punktach końcowych w trakcie uwierzytelniania i po nim. Wdrożenie niepowtarzalnych uprzywilejowanych danych uwierzytelniających i ich częste zmienianie znacząco obniża prawdopodobieństwo udanego ataku przy zastosowaniu przez intruza techniki przeskakiwania między równorzędnymi kontami w różnych częściach firmy.

Z systemów informatycznych organizacji nierzadko korzysta wielu różnych użytkowników końcowych, potrzebujących w swojej pracy dostępu do kont uprzywilejowanych – należą do nich także pracownicy czasowi, zewnętrzni wykonawcy i firmy zewnętrzne. Stwarza to konieczność zapewnienia właściwej ochrony kluczowym zasobom, z których osoby te korzystają, na przykład przez zabezpieczenie ich sesji roboczych przez ich odizolowanie w bezpiecznym środowisku. Izolacja sesji i ich prowadzenie przez szyfrujący je serwer proxy zapobiega rozprzestrzenianiu się malware na krytyczne elementy infrastruktury dzięki separowaniu urządzenia użytkownika końcowego od systemu docelowego, z którym pracuje. Co więcej, taki mechanizm pozwala uniknąć przekazywania takiemu urządzeniu danych uwierzytelniających dających dostęp do wewnętrznych kont uprzywilejowanych. Izolowanie sesji to ważny środek bezpieczeństwa, znacznie zmniejszający ryzyko zdobywania przez intruzów dostępu do równorzędnych kont w systemach firmy i torowania sobie tą metodą drogi do upatrzonych zasobów, ponieważ wprowadza on ścisłą kontrolę dostępu i jego monitorowanie za pomocą serwera proxy.

Prawdziwie wszechstronne rozwiązanie chroniące konta uprzywilejowane powinno wprowadzać zestawy reguł umożliwiające bardziej szczegółowe zarządzanie przywilejami administratorów, których konta oferowały dotąd pełny i nieograniczony dostęp do danego zasobu. Musi pozwalać ono na nadawanie jedynie granularnych, minimalnych uprawnień do zasobów, aplikacji i poleceń /least privilige/,  ograniczanych także dla konkretnego przedziału czasowego.  Rozwiązanie tego rodzaju umożliwia też odbieranie użytkownikom biznesowym uprawnień administratora na urządzeniach będących punktami końcowymi sieci, co znacząco zmniejsza ryzyko ich nadużycia. Tak zaprojektowane ograniczenia pomagają specjalistom zapobiegać atakom na bardzo wczesnym etapie – już na pierwszych dotkniętych nimi punktach końcowych – uniemożliwiając agresorowi uzyskanie rozszerzonych uprawnień, niepozwalając użytkownikom na przypadkowe ani celowe uruchamianie szkodliwych poleceń oraz kontrolując i monitorując aplikacje używane na punktach końcowych.

Privileged Access Security Solution

Core Privileged Access Security

Bezpiecznie przechowuj i automatycznie zarządzaj poświadczeniami, aby monitorować, rejestrować, wykrywać ryzyko i reagować na działania związane z dostępem uprzywilejowanym.

Endpoint Privilege Manager

Zwiększ bezpieczeństwo punktów końcowych implementując granularne uprawnienia, aby powstrzymywać złośliwe oprogramowanie i inne zagrożenia.

Application Access Manager

Wyeliminuj osadzone poświadczenia w aplikacjach i konsekwentnie monitoruj uprzywilejowany dostęp aplikacji w środowiskach lokalnych, hybrydowych i wielochmurowych.

Alero

Zapewnij bezpieczny, rejestrowany i w pełni rozliczalny zdalny dostęp uprzywilejowany „just in time” dla dostawców i współpracowników, oparty o biometryczne uwierzytelnianie wieloskładnikowe.

Privilege Cloud

Oferujemy także rozwiązanie SaaS będące uproszczoną ścieżką do bezpiecznego przechowywania i zarządzania poświadczeniami oraz monitorowania sesji uprzywilejowanych.

Red Team

Skorzystaj z analizy ekspertów, która dostarczy głęboki wgląd w mocne i słabe strony bezpieczeństwa środowiska lokalnego oraz chmury w organizacji i zaproponuje konieczne działania.

Dlaczego powinieneś wdrożyć CyberArk z nami?

0

Certified Delivery Engineers

0

Certified Sales Engineers

0

Certified Sales Specialists

Jesteśmy silnym zespołem certyfikowanych inżynierów CyberArk

Tworzymy silny i doświadczony zespół, w którym aż troje inżynierów posiada certyfikację „CyberArk Certified Delivery Engineer”, będącą gwarancją wysokiego poziomu wiedzy merytorycznej i umiejętności w zakresie prezentowanej technologii.

Wdrożyliśmy CyberArk w największych organizacjach

Wdrażaliśmy technologię CyberArk w na prawdę dużych organizacjach zaliczanych do systemów krytycznych, takich jak banki czy dostawcy energii. Dzięki temu zdobyliśmy solidne doświadczeniem i umiejętność radzenia sobie z nietypowymi wymaganiami.

Przeszkolimy twój zespół

Doceniamy wagę transferu wiedzy dlatego organizujemy warsztaty dla naszego Partnera na wszystkich etapach projektu starając się stopniowo wprowadzać jego specjalistów w tę zaawansowaną technologię.

Mamy wsparcie licznych specjalistów z innych technologii

Z racji tego, że rozwiazanie to integruje się z wieloma systemami w organizacji, to nie bez znaczenia jest fakt, że w grupie Trecom dysponujemy kilkudziesięcioma inżynierami, z których fachowej pomocy możemy w każdej chwili skorzystać.

Jesteś zainteresowany ofertą?

Odezwij się do nas, a nasz przedstawiciel skontaktuje się z Tobą

Na tej stronie zostały wykorzystane ogólnodostępne materiały informacyjne i marketingowe opublikowane przez producenta /CyberArk Software Ltd/, który pozostaje właścicielem wszelkich praw do tych materiałów.