5 шагов для защиты привилегированных пользователей от компрометации

        В этой статье мы дадим рекомендации, с помощью которых можно защитить привилегированные аккаунты от компрометации. Один из самых распространенных сценариев целевой атаки состоит из следующих этапов:
         -  Фишинг (Initial access). После удачного фишинга злоумышленник переходит на этап получения доступа к конечной точке и компрометации локального пользователя.
         - Эскалация привилегий (Privilege escalation). На этом этапе, если пользователь не имеет прав администратора, злоумышленник переходит на этап локального повышения привилегий.
         - Получение привилегий (Credential access). В случае подключения администратора домена или иного привилегированного пользователя к скомпрометированной конечной точке злоумышленник получает пароли от использованных аккаунтов.
         - Распространение (Lateral movement). Компрометация AD, при которой злоумышленник получает доступ к аккаунтам администраторов домена.
        Как видим, ключевая задача злоумышленника - получить доступ к привилегированным учетным записям. Именно при его наличии становится возможным дальнейшее распространение в инфраструктуре жертвы.

         

        Odoo CMS - a big picture
        Как противостоять несанкционированному доступу к привилегированным аккаунтов?

        Для предупреждения несанкционированного доступа надо выполнить следующие шаги, ниже мы рассмотрим их подробнее.
        1. Использовать разные административные учетные записи.
        2. Утвердить внутреннюю политику по управлению паролями.
        3. Использовать инструменты типа Local Administrator Solution (LAPS).
        4. Использовать мультифакторную аутентификацию (multi-factor authentication).
        5. Использовать инструменты типа Privileged Access Workstation (PAW).

        Дополнительно, с целью мониторинга действий привилегированных учетных записей, следует использовать инструменты типа Privileged Access Manager (PAM), которые позволяют писать текстовый или видео лог о любых действиях учетных записей с повышенными привилегиями.

        Использование различных учетных записей

        Рекомендуется создавать гранулярные учетные записи с минимальными привилегиями, необходимыми для выполнения определенных задач. В процессе администрирования нужно использовать только учетные записи с оптимальным набором привилегий: "сервер баз данных", "веб", "администратор рабочих станций" и другие. Обязательно проведите обучение для сотрудников, которые будут использовать учетные записи с повышенными привилегиями. В частности, стоит проинформировать о том, как следует использовать привилегии администраторов. Например, не стоит делиться такими привилегиями с другими коллегами, которые их не имеют, согласно внутренних политик безопасности.
            
        Важно! Не передавайте пользователям домена аккаунт "администратор домена", чтобы они могли исправить определенные проблемы на рабочей станции. Какой бы срочной ни была задача, никогда не предоставляйте абсолютный доступ, если это не является критически необходимым для функционирования инфраструктуры.

        Выполнение данной рекомендации даст возможность уменьшить риск компрометации учетной записи с абсолютными правами в инфраструктуре.

        Внутренняя политика по управлению паролями

        Рекомендуется разработать внутреннюю политику по управлению паролями для всех типов учетных записей. Она должна регулировать такие параметры, как уровень сложности паролей, частоту обновлений и тому подобное. Паролями удобно управлять с помощью инструментов типа Local Administrator Password Solution.

        Выполнение данной рекомендации позволит уменьшить риск компрометации паролей учетных записей пользователей и администраторов.
        Использование инструментов типа Local Administrator Password Solution (LAPS)

        Active Directory имеет встроенный функционал LAPS. Данный инструмент может быть использован для управления паролями локальных администраторов на компьютерах, подключенных к домену. Функционал LAPS включает:
        • уникальные пароли для каждого управляемого компьютера, генерируемые случайным образом
        • проверка паролей, срок использования которых завершился
        • замена старых паролей согласно внутренней политике управления паролями
        Управлять функционалом LAPS можно с помощью групповых политик.

        Выполнение данной рекомендации позволит осуществлять управление паролями согласно внутренних политик с помощью встроенного инструмента Active Directory.
        Мультифакторная аутентификация (multi-factor authentication)

        Существует много инструментов для получения паролей администраторов из оперативной памяти рабочей станции или сервера. Например, mimikatz помогает получить дамп пароля из оперативной памяти, а Bloodhound предоставляет информацию об учетных записях с повышенными привилегиями. Использование многофакторной аутентификации позволяет избежать компрометации паролей, поскольку кроме самого пароля используются дополнительные параметры-факторы для входа в учетную запись.
        Таким образом техника многофакторной аутентификации обеспечивает дополнительную защиту для учетных записей с повышенными привилегиями. Авторизация пользователя в таком случае будет выглядеть следующим образом:
        • После ввода логина и пароля для входа система запрашивает пользователя о дополнительных параметрах входа
        • Пользователь вводит дополнительный параметр, например, сгенерированный код с ограниченным временем действия. Параметров может быть несколько, в зависимости от количества факторов аутентификации
        • После корректного выполнения всех этапов аутентификации пользователь получает вход в учетную запись с повышенными привилегиями

        Выполнение этой рекомендации позволит минимизировать риск компрометации учетных записей с повышенными привилегиями.
        Использование инструментов класса Privileged Access Workstation (PAW)

        Суть работы PAW заключается в разграничении операционных сред, где используются как обычные учетные записи, так и имеющие повышенные привилегии. Рекомендуется использовать обычные учетные записи только на рабочих станциях. Если нужно выполнить административную задачу, используется новый аккаунт, который открывает вход на локальную машину, и в новой среде входит в учетную запись для выполнения задачи по администрированию.
        Данная техника позволяет создать буферную машину между рабочей станцией и критическими активами. Особенность такой машины в том, что у нее нет выхода наружу и находится в отдельном сегменте сети. Это позволяет уменьшить риск инфицирования, например, с помощью фишинговых писем, установление непроверенного программного обеспечения и тому подобное. Кроме того, такую буферную машину можно перезагружать без риска воздействия на бизнес-процессы.
        Примечание. Перезагрузка позволяет очистить оперативную память от следов использованных учетных записей.

        Управление учетными записями и идентификацией пользователей - постоянный процесс в операционной деятельности организации. Грамотное налаживание этого процесса с использованием всех инструментов и рекомендаций позволит существенно снизить риск компрометации учетных записей и усложнить работу преступникам в случае целевых атак.