Операция «Аврора» в 2009 году была беспардонной атакой на Google и другие крупные компании. Недавние атаки на крупные компании привели к недоступности сертификационных компаний DigiNotar и VeriSign. Хакеры научились использовать серьезный и часто игнорируемый недостаток сетевой безопасности для получения контроля над сетями жертв.

Задним числом всегда легко определить, что скорее всего произошло. Теперь кажется всем понятно, что авторы этих кибератак на известные компании не обязательно являются компьютерными гениями — просто достаточно беспринципными негодяями. Они воспользовались несовершенством человеческой природы, чтобы получить доступ «через черную дверь» к сети и развернуться вовсю.

Эти хакеры использовали креативные тактические методы, такие как четко ориентированные фишинговые сообщения электронной почты, чтобы заставить ничего не подозревающих пользователей открыть вредоносное вложение. Так хакеры устанавливали на пользовательских компьютерах вредоносное ПО нулевого дня. Используя один этот компьютер, хакеры использовали слабые учетные записи с общими правами для получения контроля надо сетью компании-жертвы, анализа ее инфраструктуры и получения конфиденциальной информации. Это простая, но очень эффективная стратегия.

Уязвимые привилегированные учетные записи можно найти практически в любой ИТ-инфраструктуре. Они есть в операционных системах компьютеров, сетевых устройств и систем архивирования, а также в бизнес-приложениях. Привилегированные учетные записи можно разбить на три основных группы.

• Учетные записи суперпользователей В ИТ такие учетные записи используются для конфигурирования, запуска и установки приложений, изменения системных параметров, выполнения рутинных административных операций, а также для восстановления в случае аварии.
• Учетные записи служб Этим учетным записям также нужны привилегированные идентификаторы имен входа и пароли.
• Пароли обмена между приложениями Веб-службы, бизнес-приложения и частное ПО используют эти пароли для подключения к базам данных, промежуточному ПО и т. п.

Пароли, контролирующие доступ к привилегированным учетным записям, являются основным препятствием между хакером и конфиденциальными данными организации. Однако очень часто для этих учетных данных обеспечена недостаточная защита, мониторинг и аудит.

Риск, котором подвергаются привилегированные учетные записи

Привилегированные учетные записи не всегда распознаются как таковые системами управления идентификационной информацией. Как следствие, во многих организациях нет автоматизированного способа управления этими мощными учетными записями.

Нынешние стандарты ИТ-безопасности, предписываемые как государством, так и отраслевыми сообществами, требуют регулярного обновления учтенных данных привилегированных учетных записей и аудита их использования. Но обновление этих учетных записей с помощью сценариев или вручную отнимает много времени и чревато ошибками, что делает эту операцию непрактичной.

Дополнительно ситуация усугубляется тем, что ручные изменения могут вызывать простои служб, если недостаточно тщательно отследить взаимосвязи между разными привилегированными учетными записями. Поэтому многие организации просто игнорируют проблему.

К сожалению, риски безопасности, обусловленные слабыми привилегированными учетными записями, не заканчиваются на пороге вашего центра обработки данных. Все больше общедоступных ресурсов, используемых в организациях, в том числе облачные службы, центры сертификации и шлюзы финансовых услуг, оказываются подверженными атакам из-за слабой или отсутствующей защиты привилегированных учетных записей.

Для хакера общие и слабо защищенные привилегированные учетные записи, используемые поставщиком услуг, являются очень соблазнительной целью. Это легко понять, если учесть, что в средах такого типа одна скомпрометированная учетная запись может предоставлять доступ к большому массиву конфиденциальных данных клиентов поставщика.

Обеспечивайте безопасность ключей

Защита привилегированных учетных записей может показаться сложной задачей, но можно начать с трех простых шагов.

Шаг 1. Найдите ключи. Выполните аудит всей сетевой среды сверху донизу, чтобы выяснить в точности, где находятся привилегированные учетные записи. Это подразумевает выяснение, насколько уникальны и сложны имена входа и не требуется в целях безопасности часто менять их. В обычном центре обработки данных может быть тысячи привилегированных учетных записей, поэтому инвентаризация таких записей может оказаться непростой задачей. Есть эффективные решения, которые позволяют выполнить разовый аудит организации. Обычно это делается бесплатно.

Шаг 2. Закройте двери Нужно развернуть средства автоматизации, которые призваны закрыть все прорехи в системе безопасности. Есть решения, которые стоят разумные деньги и могут не только обезопасить эти учетные записи в крупны сетях, но сделать это за считанные часы или дни, а не за месяцы.

Шаг 3. Защитите Windows.Нет смысла защищать сеть, если оставить под ударом критически важные внешние компоненты. Требуйте, чтобы ваши ключевые партнеры по бизнесу, в том числе поставщики облачных служб, центры сертификации и другие, подтвердили, что соответствуют стандартам безопасности, таким как Consensus Audit Guidelines.

Хакеры показали, что могут проникнуть в любую корпоративную сеть, и за последние месяцы их активность и контроль только расширились. Ходят слухи, что еще четыре центра сертификации пали жертвой атак, подобных той, от которой пострадал DigiNotar.

Многие организации испугала сложность ситуации. В некоторых естественной реакцией стала паника и замешательство — в таких организациях стали горячечно задраивать люки, оставляя ключи в замках.

Для нормальной работы центра обработки данных нужны привилегированные учетные записи. И в этом отношении ситуация меняться не будет. Однако неспособность защитить эти учетные записи оставит ваши конфиденциальные данные под ударом. Вы узнали о всех рисках, но в конечном итоге решение о том, надо ли защищать ключи от своей крепости, остается за вами.