Устраните это немедленно: топ актуальных проблем аутентификации

Автор: Дмитрий Грудинин, руководитель развития продуктовой линейки аутентификации Avanpost FAM/MFA+.

Согласно глобальному отчёту о киберугрозах 2024 CrowdStrike Global Threat Report, количество вторжений в гибридную и облачную среду увеличилось на 75% год к году. Организациям при этом потребуется около 120 дней для установки патча; на идентификацию, аутентификацию, компрометацию учетных данных и авторизацию приходится 85% предупреждений, требующих принятия мер.

Рост популярности удалённой работы с 2020 года по-прежнему продолжает оказывать существенное влияние на безопасность инфраструктур: сотрудники подключаются из разных мест и с многочисленных BYOD-устройств, и количество векторов атак значительно увеличилось. Многие организации испытывают трудности с получением информации, необходимой для определения наиболее уязвимых мест, выявления атак и способов снижения рисков. Большинство из этих проблем начинаются на уровне идентификации и аутентификации.

Угрозы, связанные с аутентификацией, учётными данными и авторизацией, быстро развиваются, их очень много, но в этой статье сосредоточимся на самых серьёзных.

Вредоносные атаки на основе учётных данных

Давайте рассмотрим основные способы раскрытия учётных данных:

1. Скомпрометированные учетные данные
2. Повышение привилегий
3. Злонамеренные инсайдеры
4. Риск, связанный с третьими сторонами

Один из самых распространённых способов, с помощью которого злоумышленники взламывают системы, – это компрометация учётных данных. Представьте: если хакер получит пароль или, при наличии 2FA – скомпрометирует второй фактор одного из сотрудников (с помощью фишинга, утечки данных или даже психологического или физического воздействия) – у него пусть и не сразу, но постепенно обязательно появятся ключи от всего вашего ‘’королевства’’.

Оказавшись внутри системы, они на этом не остановятся. Злоумышленники будут искать способы расширить свои привилегии, получая доступ к конфиденциальным данным, компрометируя устройства сотрудников, вплоть до устройств администраторов. Это особенно опасно, потому что, заполучив доступ на уровне администратора, они смогут всё: изменять настройки, получать доступ к конфиденциальной информации или нарушать работу систем. При этом зачастую администратор может по причине избыточной информированности и уверенности в надёжности защиты периметра ИТ-инфраструктуры не обращать внимания на свои личные устройства.

Нужно беспокоиться не только о внешних злоумышленниках – иногда угроза исходит изнутри. Злонамеренные инсайдеры – пользователи, которые понимают, что наносят ущерб организации, например, путем кражи данных, саботирования систем или передачи секретной информации конкурентам. Поскольку таким пользователям уже доверяют, их действия труднее обнаружить.

И давайте не будем забывать о рисках, связанных со сторонними организациями. Организации зачастую выдают доступ к системам своим поставщикам и подрядчикам, и если их защита слабая, компания может подвергнуться атаке через них. Это цепная реакция: если они подвергаются атаке, вы подвергаетесь риску. При этом до сих пор отследить такие атаки проблематично.

Токсичные привилегии: риски с раскрытием учётных данных

Но не все угрозы преднамеренны: некоторые из самых серьёзных угроз и раскрытия идентификационных данных исходят из собственной организации. Эти угрозы зачастую непреднамеренны:

Халатность инсайдера;

• Потерянные или неактивные учетные записи;
• Наслаивание прав;
• Неправильные конфигурации доступа;
• «Токсичные» сочетания привилегий.

Халатность инсайдера – огромная проблема. Сотрудники могут случайно оставить конфиденциальные данные открытыми или не соблюдать протоколы безопасности просто потому, что они их не знают или неосторожны.

Также в топ нашего «антирейтинга» включаем проблему с потерянными или неактивными учетками – учетными записями пользователей, которые больше не используются, но не были отключены. Эти учетки могут оставаться в вашей системе месяцами или даже годами, и если злоумышленник до одной из них доберется, то автоматически найдет лазейку в вашу сеть.

Следующая проблема, которая приводит к утечкам данных организаций, – наслаивание прав. Со временем пользователям предоставляется все больше разрешений на доступ, значительно превышающих их фактические потребности для выполнения работы. Аналогично, неправильно настроенный контроль доступа может дать доступ неавторизованным пользователям, зачастую из-за неправильного управления разрешениями в сложных гибридных и облачных средах.

Любите токсичные межличностные отношения? Мы – нет, а еще больше не любим «токсичные» сочетания привилегий: некоторые разрешения могут казаться безобидными, но в сочетании друг с другом создавать опасные уязвимости. Из-за этого обычно неосторожные сотрудники непреднамеренно создают серьёзные риски безопасности. Например, младший администратор из ИТ-департамента имеет доступ к коммерческим и финансовым сведениям в учётных системах по причине того, что он их администрирует. При этом системы давно введены в эксплуатацию и такие избыточные привилегии администратору такого уровня не нужны для выполнения задач. Но есть ли кто-нибудь, кто за этим проследит?

И снова к защите: как спастись от угроз идентификации

Внедрите многофакторную аутентификацию (MFA), в идеале – адаптивную: MFA снижает вероятность компрометации учётных данных, требуя от пользователей предоставления двух и более различных факторов для входа в защищённую систему. Поскольку второй или третий фактор обычно представляет собой фактор владения или знания, которые у пользователю, завладеть одновременно и паролем, и токеном для злоумышленника представляет серьезную проблему. Поэтому многофакторная аутентификация затрудняет компрометацию учётной записи пользователя в соцсетях или получение несанкционированного доступа к системе или базе данных. Если же решение по аутентификации может менять тактику верификации пользователя “на лету” исходя из различных контекстных признаков сеанса аутентификации – это может существенно усложнить работу злоумышленника даже в случае компрометации дополнительного фактора.

Обеспечьте доступ с минимальными привилегиями: убедитесь, что у пользователей есть доступ только к тем ресурсам, которые им необходимы, и регулярно проверяйте и смело отменяйте ненужные привилегии.

Проводите регулярные и автоматические проверки доступа: используйте проверки доступа для выявления проблем с доступом, т. Е. Потерянных или чрезмерно привилегированных учетных записей, до того, как они станут проблемой.

Повысьте уровень безопасности сторонних поставщиков: проведите тщательную оценку безопасности сторонних поставщиков и убедитесь, что они соблюдают ваши правила безопасности.

Обеспечьте «прозрачность» всей вашей инфраструктуры управления доступом (то, что в зарубежных публикациях обозначается термином “Identity Fabric”). Identity Fabric – дополнительный уровень абстракции над техническими решениями для обеспечения защиты учётных данных, процессов аутентификации, авторизации и т.д. Термин Identity Fabric объединяет в себе IAM, IDM, PAM и многие другие решения, обеспечивая единую прозрачную архитектуру с единым подходом к управлению. Вы не сможете защитить то, что скрыто от ваших глаз. Важно иметь целостное представление о доступе к вашему on-premise, облаку, SaaS-приложениям и поставщикам идентификационных данных.

Отслеживайте аномальное поведение: благодаря возможности отслеживать доступ в режиме реального времени вы можете выявлять аномальное поведение пользователей. Например, решения класса PAM (касается только привилегированных пользователей) обеспечивают прозрачность и ответственность при работе с критически важными системами, а также способствуют быстрому обнаружению и предотвращению угроз. Атипичные ситуации такой системой маркируются как риски – отсюда возможна автоматическая реакция на них.