Ekspert firmy Balabit, Márton Illés - Product Evangelist, omawia najlepsze sposoby ochrony przed infiltracją przez konto uprzywilejowane w czasie rzeczywistym
Istnieje wiele technik, aby zatrzymać zewnętrzny atak przed przeniknięciem do systemu organizacji. Jednak prędzej czy później napastnicy znajdą drogę i sforsują wszelkie zabezpieczenia. Problem z technikami obronnymi jest taki, że wszystkie chronią styk sieci firmowej z internetem, ale nie są naprawdę skuteczne, gdy cyberprzestępcy zdobędą już dostęp do sieci wewnętrznej. Nie są również wystarczające do kontrolowania działań wewnętrznych użytkowników, co jest podobne do przypadku, jakim jest zewnętrzny napastnik, który będąc wewnątrz sieci udaje legalnego użytkownika wewnętrznego. Analizując niektóre z najnowszych technologii phisingu możemy również zobaczyć, że uprawnieni użytkownicy są szczególnie brani na cel takich ataków.
Napastnicy są leniwi lub przynajmniej korzystają z najłatwiejszego rozwiązania, a kontrola konta uprzywilejowanego jest pierwszym rozsądnym krokiem każdego scenariusza ataku. Takie konto może być później użyte do dalszej penetracji i uzyskania po prostu dostępu do cennych danych lub kontroli nad krytycznymi usługami konkretnej organizacji. Niestety dodawanie kontroli nad kontami uprzywilejowanymi może wpłynąć na użyteczność tych kont. W wielu przypadkach ograniczenie praw dostępu jest niemożliwe, ponieważ niektóre zadania nie można wykonać w inny sposób.
,,Możliwym sposobem na zaradzenie tym problemom może być szybkie wykrywanie wrogich ataków ze strony uprawnionych użytkowników i stworzenie szybkich procedur reakcji na te naruszenia." -komentuje Márton Illés, Product Evangelist, Balabit.
Oto pięć kroków jak stworzyć strategię bezpieczeństwa opartą na detekcji:
- Należy zawsze używać imiennych kont.
- Śledzić działania uprzywilejowanych użytkowników / kont, a nie tylko nadzorować logowanie do nich. Należy je monitorować bardziej szczegółowo.
- Monitorować system kont w celu odróżnienia ludzi od robotów czy skryptów.
- Stosować monitorowanie w czasie rzeczywistym i analizę zachowania z profilowaniem użytkowników.
- Łączyć automatyczne i manualne badanie i weryfikację dla terminowych odpowiedzi.
Zawsze używaj imiennych kont
Korzystanie z imiennych kont powiązanych z rzeczywistymi użytkownikami ma kluczowe znaczenie dla zrozumienia, jak i co się wydarzyło. Wszelkie analizy śledcze, a zwłaszcza jakiekolwiek wykrywania w czasie rzeczywistym incydentów spowodowanych przez dzielone konta jest bardzo trudne, jeśli w ogóle możliwe. Dla każdej analizy muszą być szczegółowe dane audytowe i odpowiedni kontekst. Z kont dzielonych traci się prawdopodobnie najważniejszą informację kontekstową - użytkownika.
Śledź działania a nie tylko logowanie
Kiedy są już konta imienne można przejść dalej do śledzenia aktywności kont uprzywilejowanych. Im więcej szczegółów, tym większa szansa na udane wykrycie szkodliwych działań. Wiele znanych rozwiązań do monitorowania nagrywa tylko loginy, ale nie śledzi dalszych szczegółów. Po pomyślnej penetracji sieci wewnętrznej, typowymi kolejnymi krokami agresora są dalsze odkrycia i rozpoznawanie zasobów. Te działania mogą być zidentyfikowane przez różne oznaki ostrzegawcze, takie jak zwiększenie ruchu do wielu różnych zasobów i serwerów, czyli typowe działania dla crawlerów - programów automatycznie zbierających informacje o strukturze, stronach i treściach znajdujących się w danej sieci. Każdy system wczesnego reagowania powinien być wyczulony na takie szczegóły, związane ze wzmożonym ruchem po zasobach infrastruktury sieciowej organizacji.
Konta systemowe największym zagrożeniem
Przy identyfikacji uprzywilejowanych kont lub użytkowników wiele organizacji nie radzi sobie z kontrolą nad kontami systemowymi, które są używane przez skrypty, roboty lub wbudowane w aplikacje. Są to typowe ,,martwe punkty" dla systemów monitorowania i mogą służyć jako doskonała przykrywka dla atakujących. Większość wycieków danych jest związanych ze zwiększonym ruchem dotyczącym danych danego systemu w porównaniu do typowych zachowań normalnych użytkowników. Cyberprzestępcy wykorzystują konta systemowe jako trudne do wykrycia ukryte kanały dla nielegalnego przepływu pożądanych przez nich danych.
,,Po stworzeniu solidnej infrastruktury monitorowania, prawdziwym wyzwaniem jest dostrzec igłę w stogu siana, zwłaszcza w czasie rzeczywistym. Napastnicy mają wiele sposobów ukrywania swojej działalności lub udawania legalnego dostępu. Niestety bardzo trudno stworzyć predefiniowane reguły do wykrywania takich przypadków, jednak najlepszym rozwiązaniem jest stworzenie profili użytkowników i na ich bazie wykrywać nietypowe zachowania czy odstępstwa od normy. Poprzez monitorowanie i porównywanie do typowych czynności użytkownika, organizacje mogą zidentyfikować te anomalie." - mówi Márton Illés, Product Evangelist, Balabit.
Zachowanie użytkownika może ochronić system
Pierwsze podejście koncentruje się na człowieku: wszystkie działania tworzą podstawowe indywidualne wzory zachowań danej osoby i są bardzo trudne do naśladowania przez atakującego. Przykładowo jest to sposób, w jaki użytkownik pisze lub porusza się myszką, jakich poleceń czy skrótów używa, jakie preferuje urządzenia i programy osobiste (rozmiary ekranu, typ przeglądarki czy wersja). Do tego dochodzą zwyczaje - jak przeważnie pracuje, robi wiele rzeczy równolegle czy w sekwencjach.
Inne podejście określa, jakie prace użytkownik wykonuje. Podczas gdy pierwsze z nich stawia człowieka w centrum uwagi to drugie podejście dotyczy użytkownika, który ma określone zadania i pracę do wykonania. Istnieje jeszcze wiele innych aspektów do rozważenia - przykładowo kiedy użytkownik jest zwykle aktywny? Niektórzy napastnicy działają poza normalnymi godzinami pracy. Istotne jest też gdzie użytkownik znajduje się, z jakich usług korzysta, z jakich danych, ich ilość, co z nimi robi czy kopiuje je i wysyła poza zewnętrzną sieć, czyli częstotliwość i różnorodność dostępu do danych / plików / serwerów. Poprzez profilowanie tych wszystkich aspektów pozwala na tworzenia indywidualnych profili ról, które mogą być również wzbogacone o analizę poszczególnych grup, gdzie działania użytkownika są porównywane do profilu danego typu grupy.
,,Najlepszym sposobem jest połączenie dwóch powyższych podejść i tworzenie równoległych profili zachowań użytkowników. Brak złotego środka w analizie behawioralnej. Jedno podejście może działać świetnie w niektórych przypadkach, podczas gdy w innej sytuacji nie wykryje podejrzanych działań. Najlepszy wynik daje kombinacja, znacznie trudniej wtedy przechytrzyć działania obronne." - mówi Márton Illés, Product Evangelist, Balabit.
A co po wykryciu?
Wreszcie musimy ustanowić procedurę postępowania przy wykryciu szkodliwych działań. Ponownie, czas jest tutaj naszym największym wrogiem. Aby zwiększyć efektywność zespołu bezpieczeństwa oraz przyspieszyć dochodzenie, działania powinny być maksymalnie zautomatyzowane. Mając profile użytkowników i prawidłowe kontekstowe informacje śledczy mogą znacznie łatwiej klasyfikować podejrzane zachowania. Automatyczne reakcje mogą być użyte do blokowania i kontrolowania dalszego dostępu do przejętego lub podejrzanego konta, aby spowolnić atakujących.
,,Konta uprzywilejowane są wciąż najatrakcyjniejsze dla atakujących i przy budowie strategii bezpieczeństwa, należy rozważyć, zwiększenie naszych zabezpieczeń o szczegółowe techniki monitorowania i analizy behawioralnej. Musimy mieć na uwadze zarówno zagrożenia zewnętrzne oraz wewnętrzne, w tym wszystkich naszych użytkowników oraz znaleźć skuteczną ochronę. Monitorowanie użytkowników i profilowania nie są idealnym panaceum, ale mogą załatać krytyczne luki i braki w dotychczasowych rozwiązaniach dotyczących uprzywilejowanych kont i użytkowników." - podsumowuje Márton Illés, Product Evangelist, Balabit.
dostarczył infoWire.pl