Artykuł sponsorowany
Z Andreyem Dulkinem, pełniącym funkcję Senior Director of Cyber Innovation w firmie CyberArk Software rozmawiamy na temat bezpieczeństwa w organizacji w kontekście ochrony tzw. kont uprzywilejowanych.
Dlaczego kontrola środowisk uprzywilejowanych i zarządzanie tożsamością są tak ważne dla bezpieczeństwa organizacji?
Ogólnie, dziedzina jaką jest zarządzanie tożsamością dotyczy użytkowników w sieci i praw dostępu, które oni posiadają. W CyberArk Software uważamy, że zarządzanie tożsamością jest tylko częścią większego zagadnienia. To, co jest w nim najważniejsze, to zarządzanie dostępem do danych przez użytkowników o najwyższych uprawnieniach, które nazywamy kontami uprzywilejowanymi (privileged accounts). Należy to zagadnienie odróżnić od zwykłego zarządzania tożsamością, ponieważ konta te często nie należą do konkretnych użytkowników. Można je stworzyć w sieci organizacji, a następnie współdzielić pomiędzy wieloma użytkownikami. Są one wykorzystywane przez aplikacje i zautomatyzowane procesy. Mogą tak “drzemać” niewykorzystywane przez bardzo długi czas ponieważ zostały np. zdefiniowane do zastosowań jedynie w wyjątkowych sytuacjach. Jak można się domyślać wiele tego rodzaju kont posiada bardzo mocne uprawnienia, co stwarza niebezpieczeństwo w momencie przejęcia ich przez atakujących, a ryzyko takiego scenariusza wzrasta jeżeli nie są one właściwie zarządzane.
Jak zabezpieczyć organizację przed atakiem na konta uprzywilejowane?
Zanim atakujący obierze sobie cel stara się dokładnie poznać architekturę informatyczną tej organizacji, po to, by znaleźć jak najłatwiejszą dla niego ścieżkę dostępu. To, co możemy z całą pewnością wziąć pod uwagę to fakt, że atakujący będą wyszukiwać w pierwszej kolejności takich właśnie kont uprzywilejowanych, które pozwolą im wiele zdziałać wewnątrz sieci. Dlatego tak istotne jest zarządzanie uprawnieniami, zarządzanie hasłami i przydzielanie dostępu jedynie tym użytkownikom i aplikacjom, które rzeczywiście tego potrzebują. Druga strona medalu to stworzenie takich zabezpieczeń w organizacji, by zwykli użytkownicy, którzy nie potrzebują wysokiego poziomu uprawnień rzeczywiście ich nie otrzymali. Należy tak zarządzać uprawnieniami, by użytkownikom dano dostęp wyłącznie do tych funkcji, które są im niezbędne, a wysokie uprawnienia otrzymały jedynie aplikacje i użytkownicy, którym faktycznie są one potrzebne. Dzięki temu, nawet jeżeli nie uda się zabezpieczyć przez dostaniem się atakującego do sieci organizacji to uzyska on dostęp jedynie do podstawowych funkcji zwykłego użytkownika. Atakujący nie będzie w stanie łatwo zwiększyć zakresu swojego ataku.
Czy może Pan opisać spektakularne przykłady ataków ze swojego doświadczenia zawodowego?
Jeden z ataków, z którym się niedawno spotkałem miał miejsce w sektorze finansowym – Bangladesh Central Bank, ale często prowadzone były także ataki na firmy prowadzące sprzedaż, instytucje rządowe czy sektor użyteczności publicznej. Ciekawy może być przypadek ostatniego ataku na ukraińską elektrownię. Atakujący wykorzystali podatność na phishing i posłużyli się wykradzionymi uprawnieniami operatora tej elektrowni, po to, by zdobyć dostęp do generatora i przeprogramować odpowiednio przełączniki oraz połączenie z siecią. Wykorzystując komendę zamknięcia (shutdown) dokonali wyłączenia całej elektrowni zatrzymując w niej produkcję energii na kilka godzin. Było to możliwe nie poprzez odkrycie jakiejś podatności na tzw. exploit (błędy w oprogramowaniu zostawiające furtki dla atakujących), ale dlatego, że cyberprzestępcy byli w stanie wykorzystać niewłaściwe zarządzanie uprawnieniami użytkowników w tej elektrowni.
Jak w Pana ocenie wyglądają zabezpieczenia organizacji w Polsce, jakie braki Pana zdaniem można w nich wychwycić?
Trudno mi się wypowiadać na temat organizacji w Polsce, ponieważ nie znam aż tak dobrze specyfiki Waszego kraju. Z pomocą narzędzia, które nazywamy DNA możemy dokonać rozpoznania i przeprowadzić audyt bezpieczeństwa praktycznie każdej organizacji na świecie – każda z nich może też samodzielnie zbadać swoją sieć. Narzędzie to weryfikuje nadane użytkownikom uprawnienia i sprawdza, jakie uprawnienia są w stanie przejąć atakujący sieć z zewnątrz. Posiadane przez nas statystyki pozwalają stwierdzić, że aż w 40% przypadków badanych organizacji istnieje ponad 50% szansa na to, że atakujący będzie w stanie przejąć jedną z maszyn znajdujących się w sieci i za pomocą tego jednego zaatakowanego komputera uzyskać dostęp do całej sieci tej organizacji. Dlatego tak ważna jest implementacja narzędzi pozwalających we właściwy sposób zarządzać dostępem do kont. Wdrożenie takiego rozwiązania w sposób znaczący zmniejsza ryzyko podatności na ataki i w efekcie pozwala podnieść bezpieczeństwo całej organizacji.
Andrey Dulkin był gościem specjalnym konferencji CyberGov 2016, która odbyła się 17 maja w Warszawie. Więcej o wydarzeniu na stronie: www.cybergov.pl.
