5 кроків для захисту привілейованих користувачів від компрометації

        У цій статті ми надамо рекомендації, за допомогою яких можна захистити привілейовані аккаунти від зламу. Один із найпоширеніших сценаріїв цільової атаки складається з наступних етапів:
        1. Фішинг (Initial access). Після вдалого фішинга зловмисник переходить на етап отримання доступу до кінцевої точки та компрометації локального користувача.
        2. Ескалація привілеїв (Privilege escalation). На цьому етапі, якщо користувач не має прав адміністратора, зловмисник переходить на етап локального підвищення привілеїв.
        3. Отримання привілеїв (Credential access). У випадку підключення адміністратора домену чи іншого привілейованого користувача до скомпрометованої кінцевої точки, зловмисник отримує паролі від використаних акаунтів.
        4. Поширення (Lateral movement). Компрометація AD, під час якої зловмисник отримує доступ до акаунтів адміністраторів домену.
        Як бачимо, ключова задача зловмисника - отримати доступ до привілейованих облікових записів. Саме за його наявності стає можливим подальше поширення в інфраструктурі жертви.

         

        Odoo CMS - a big picture
        Як протистояти несанкціонованому доступу до привілейованих акаунтів?

        Для протистояння несанкціонованому доступу треба виконати наступні кроки, нижче ми розглянемо їх детальніше.
         - Використовувати різні адміністративні облікові записи.
         - Затвердити внутрішню політику щодо управління паролями.
         - Використовувати інструменти типу Local Administrator Solution (LAPS).
         - Використовувати мультифакторну аутентифікацію (multi-factor authentication).
         - Використовувати інструменти типу Privileged Access Workstation (PAW).

        Додатково, з метою моніторингу дій привілейованих облікових записів варто використовувати інструменти типу Privileged Access Manager (PAM), які дозволяють писати текстовий чи відео лог про будь-які дії облікових записів з підвищеними привілеями .
        Використання різних облікових записів

        Рекомендується створювати гранулярні облікові записи з мінімальними привілеями, необхідними для виконання певних завдань. В процесі адміністрування потрібно використовувати тільки облікові записи з найоптимальнішим набором привілеїв: “сервер баз даних”, “веб-сервер”, “адміністратор робочих станцій” тощо. Обов'язково проведіть навчання для співробітників, які будуть використовувати облікові записи з підвищеними привілеями. Зокрема варто поінформувати про те, як слід використовувати привілеї адміністраторів. Наприклад, не варто ділитися такими привілеями з іншими колегами, які їх не мають, згідно внутрішніх політик безпеки.
            
        Важливо! Не надавайте користувачам домену обліковий запис “адміністратор домену”, щоб вони могли виправити певні проблеми на робочій станції. Якою б терміновою не була задача, ніколи не надавайте абсолютного доступу, якщо це не є критично необхідним для функціонування інфраструктури.

        Виконання даної рекомендації дасть можливість зменшити ризик компрометації облікового запису із абсолютними правами в інфраструктурі.

        Внутрішня політика щодо управління паролями

        Рекомендується розробити внутрішню політику по управлінню паролями для всіх типів облікових записів. Вона повинна регулювати такі параметри, як рівень складності паролів, частоту оновлень тощо. Паролями зручно керувати за допомогою інструментів типу Local Administrator Password Solution.

        Виконання даної рекомендації дозволить зменшити ризик компрометації паролів облікових записів користувачів та адміністраторів.
        Використання інструментів типу Local Administrator Password Solution (LAPS)

        Active Directory має вбудований функціонал LAPS. Даний інструмент можна використовувати з метою керування паролями локальних адміністраторів на комп'ютерах, підключених до домену. Функціонал LAPS включає:
        •    унікальні паролі для кожного керованого комп'ютера, що генеруються випадковим чином
        •    перевірка паролів, термін використання яких завершився
        •    заміна старих паролів згідно внутрішньої політики управління паролями
        Керувати функціоналом LAPS можна за допомогою групових політик.

        Виконання даної рекомендації дозволить здійснювати управління паролями згідно внутрішніх політик за допомогою вбудованого інструмента Active Directory.
        Багатофакторна аутентифікація (multi-factor authentication)

        Існує багато інструментів для отримання паролю адміністраторів із оперативної пам'яті робочої станції чи сервера. Наприклад, mimikatz допомагає отримати дамп паролю з оперативної пам'яті, а Bloodhound надає інформацію про облікові записи з підвищеними привілеями. Використання багатофакторної аутентифікації дозволяє уникнути компрометації паролів, оскільки крім самого паролю використовуються додаткові параметри-фактори для входу в обліковий запис.
        Таким чином техніка багатофакторної автентифікації забезпечує додатковий захист для облікових записів із підвищеними привілеями. Авторизація користувача в такому випадку виглядатиме наступним чином:
        •    Після введення логіну та паролю для входу система запитує користувача про додаткові параметри входу
        •    Користувач вводить додатковий параметр, наприклад, згенерований код з обмеженим часом дії. Параметрів може бути декілька, залежно від кількості факторів аутентифікації
        •    Після коректного виконання всіх етапів аутентифікації користувач отримує вхід в обліковий запис із підвищеними привілеями.

        Виконання цієї рекомендації дозволить максимально зменшити ризик компрометації облікових записів з підвищеними привілеями. 
        Використання інструментів типу Privileged Access Workstation (PAW)

        Суть роботи PAW полягає у розмежуванні операційних середовищ, де використовуються як звичайні облікові записи, так і ті, що мають підвищені привілеї. Рекомендовано використовувати звичайні облікові записи тільки на робочих станціях. Якщо потрібно виконати адміністративну задачу, використовується новий обліковий запис, який відкриває вхід на локальну машину, і в новому середовищі входить в потрібний обліковий запис для виконання задачі по адмініструванню.
        Дана техніка дозволяє створити буферну машину між робочою станцією і критичними активами. Особливість такої машини полягає в тому, що вона немає виходу назовні і знаходиться в окремому сегменті мережі. Це дозволяє зменшити ризик інфікування, наприклад, за допомогою фішингових листів, встановлення неперевіреного програмного забезпечення тощо. Крім того, таку буферну машину можна перезавантажувати без ризику впливу на бізнес-процеси.
        Примітка. Перезавантаження дозволяє очистити оперативну пам’ять від слідів використаних облікових записів.

        Управління обліковими записами та ідентифікацією користувачів – постійний процес в операційній діяльності організації. Грамотне налагодження цього процесу з використанням усіх інструментів та рекомендацій дозволить суттєво знизити ризик компрометації облікових записів та ускладнити роботу злочинцям у разі цільових атак.