Дмитрий Бондарь, Алексей Лукацкий 26/02/19
Известны ли вам случаи компрометации идентификационной информации пользователей каких-либо ресурсов, произошедшие в 2018 г. ?
Дмитрий Бондарь, inRights
По результатам отчета центра мониторинга и реагирования на инциденты кибербезопасности Solar JSOC за первое полугодие 2018 г., за указанный период количество внешних инцидентов ИБ (не по вине сотрудников компаний), реализованных в результате компрометации административных учетных записей, в российских компаниях составило 2,2% от общего числа. Этот показатель остается более-менее стабильным в последние пару лет.
В целом же в публичном поле информации об инцидентах в сфере IdM крайне мало, поскольку они в большинстве случаев выливаются в успешные атаки либо утечки конфиденциальной информации, о которых и говорят в СМИ. Лишь последующее внутреннее расследование может показать, что причиной инцидента стали предоставленные пользователю избыточные права доступа к тем ресурсам инфраструктуры, к которым у него не должно было быть доступа.
Алексей Лукацкий, Сisco
Компрометация идентификационной информации – это одно из самых популярных преступлений в сфере высоких технологий. Только в 2018 г. было зафиксировано 1138 случаев утечки идентификационных данных. Одним из самых крупных стал инцидент с компанией Starwood Hotels & Resorts Worldwide (группа компаний Marriott International), у которой "утекли" идентификационные данные полумиллиарда постояльцев. По сути, речь идет о 1/8 всех пользователей Интернета в мире. На этом фоне утечка 50 млн учетных записей пользователей Facebook выглядит просто смешно. Всего же в 2018 г. утекло 562 млн идентификационных записей, и причина этого кроется в несоблюдении простых мер безопасности: разграничение доступа и сегментация сети, оперативное устранение уязвимостей, реализация принципа минимума привилегий и контроль привилегированных пользователей. В целом с 1 января 2005 г. в мире было зафиксировано 9668 инцидентов с утечкой идентификационных параметров 1,642 млрд человек, что составляет больше трети всего Интернета.
В чем основные причины возникновения инцидентов в вопросах управления идентификацией?
Дмитрий Бондарь, inRights
Типичным ИБ-инцидентом в сфере управления идентификацией является наличие у сотрудников нелегитимных или избыточных полномочий, которые в дальнейшем привели, например, к успешной атаке на инфраструктуру или утечке конфиденциальной информации и т.д.
Приведу пример из финансовой сферы, когда избыточный доступ к информационным ресурсам привел к существенным потерям для бизнеса. В одном из дополнительных офисов банка компьютер одного из сотрудников был атакован вирусом-шифровальщиком. Эта вредоносная программа зашифровала весь файловый архив отделения, что парализовало его работу на три дня. Избыточные права привели к тому, что атака шифровальщика оказалась успешной. Такие нарушения встречаются и в других сферах, например в одной из компаний медиаиндустрии компрометация учетных данных сотрудника ИТ-отдела привела к тому, что злоумышленники получили доступ к бизнес-критичным системам (системе управления медиатрансляцией, сайта и др.). Это создало для компании колоссальные репутационные риски.
Другой распространенной причиной возникновения инцидентов в сфере IdM являются некогда легитимно предоставленные права, которые впоследствии должны были быть отозваны, но по какой-то причине остались неотозванными. К примеру, если подрядчик проводил работы в инфраструктуре компании и на время работ ему были выданы те или иные права доступа, то после истечения срока действия договора этот доступ должен был быть отозван, однако этого сделано не было. Или, например, у уволившегося сотрудника остался доступ к ресурсам сети.
Так, в минувшем году в одной из российских госструктур был выявлен ряд учетных записей уволившихся сотрудников, под которыми ведется активная работа!
Алексей Лукацкий, Сisco
Из года в год растет число утечек идентификационных данных по причине хакерских атак. В 2017 г. 59% всех утечек было связано именно с действиями внешних нарушителей. На действия внутренних нарушителей приходилось всего 5% утечек. 10% инцидентов было связано с ошибками пользователей. Еще 7,5% утечек произошло по вине третьих лиц.
Самой популярной причиной утечек (21%) стал банальный фишинг, который является причиной чуть ли не 95% всех атак. Стоит получить письмо с вредоносным вложением или ссылкой на вредоносный сайт и, при отсутствии здорового скепсиса в работе с электронной почтой и технических мер контроля, мы сталкиваемся с утечкой данных. Но так бывает не всегда. Например, в случае с кредитным бюро Equifax, детали взлома которого стали известны в августе 2018 г., причиной утечки стала банальная уязвимость, найденная хакерами на внешнем портале компании и не устраненная вовремя. Через нее преступники проникли во внутренние базы данных и похитили идентификационные данные 145 млн человек. А в инциденте с British Airways в сентябре 2018 г. злоумышленники атаковали не саму компанию, а сайт подрядчика, подменив JavaScript, который подгружался на сайт авиакомпании и затем крал идентификационные данные клиентов, включая и номера кредитных карт. По схожему сценарию была взломана и компания Ticketmaster.
Какие способы минимизации риска компрометации или проведения атаки на системы идентификации вы можете назвать?
Дмитрий Бондарь, inRights
Я бы разделил рекомендации по минимизации этих рисков на два основных направления:
- выстраивание в компании эффективной системы управления доступом;
- применение специализированных средств ИБ для защиты учетных записей пользователей от хакерских атак, вредоносных программ и т.д.
Что касается выстраивания в компании эффективной системы управления доступом, здесь важен комплексный подход. Для автоматизации управления доступом необходимо использовать решения класса IdM, которые обеспечивают исполнение процессов и регламентов по управлению правами доступа сотрудников к информационным ресурсам.
Вместе с IdM комплекс мер должен включать в себя создание ролевых моделей доступа к информационным системам предприятия, выстраивание профилей доступа в зависимости от должности. Это длительная, кропотливая работа, которая дает потрясающий результат, превышающий первоначальные ожидания от внедрения системы управления идентификацией. Профилирование доступа позволяет сделать бизнес-процессы гораздо более прозрачными, выявить избыточные и, наоборот, недостающие бизнес-функции, обнаружить наличие пробелов в зонах ответственности персонала, регламентировать функциональные обязанности сотрудников, соотнести должностные обязанности персонала с правами доступа в информационные системы и т.д.
Если проделать эту работу до конца, то избыточных прав в организации практически не останется. Например, если сотрудник сменит должность в рамках компании, то в случае использования IdM-решения ему будут автоматически предоставлены права, предусмотренные профилем новой должности, и одновременно отозваны права, соответствующие профилю его предыдущей должности. Все вышеперечисленные меры сведут к минимуму возможность использования избыточных прав доступа для компрометации или проведения атаки через системы идентификации.
Что касается применения специализированных средств защиты учетных записей, здесь можно посоветовать применение строгой аутентификации, когда для входа пользователей в информационные системы используется не пароль, а, например, smart-карта.
Если целевые системы не позволяют использовать строгую аутентификацию, то можно использовать промежуточный вариант: вход на рабочую станцию осуществляется с применением строгой аутентификации, вход в целевые системы – автоматически системой SSO, на основании паролей, которые автоматически генерируются системой IdM по сложным правилам и которые сами сотрудники не знают.
В целом внедрение второго фактора аутентификации позволит защитить данные от компрометации, а заодно практически целиком закрыть риски неотозванных привилегий для подрядчиков или уволенных сотрудников.
Кроме того, хорошей мерой является контроль и профилирование точек подключения сотрудника для использования данных. Как правило, базовый анализ геолокации удаленного доступа позволяет выявить существенную часть действий злоумышленника.
Алексей Лукацкий, Сisco
Достаточно соблюдать простые правила: разграничение доступа и сегментация сети, оперативное устранение уязвимостей, реализация принципа минимума привилегий и контроль привилегированных пользователей, повышение осведомленности персонала в области ИБ, постоянный мониторинг изменений в системе и отсутствие доверия к кому и чему бы то ни было.
Какие из известных вам и применяемых в настоящее время мер защиты неэффективные или неоправданно дорогие/избыточные и почему?
Алексей Лукацкий, Сisco
Как это ни парадоксально, но самым неэффективным способом борьбы с утечками данных будут… средства борьбы с утечками данных, в простонародье называемые DLP. Именно они призваны защищать от утечек информации и именно они этого не делают, так как неспособны контролировать те каналы, по которым утекает информация. Например, в случае с Equifax данные утекали через зашифрованный канал. В случае с British Airways данные утекали с сайта, а DLP никто не ставит перед своими интернет-витринами.
В 2017 г. в 4,6% случаев данные выносились или терялись на материальных носителях, и DLP тут вновь бессильны. Наверное, поэтому многие производители DLP-решений сегодня позиционируют их не как продукты для борьбы с утечками, а как инструмент слежения за работниками – выявления людей с нетрадиционной ориентацией, обнаружения сговоров, контроль нелояльных сотрудников, поиск неформальных лидеров и т.д. Не умея бороться с реальными утечками, число которых только растет, они начинают применять свои продукты для совершенно иных задач. Это не хорошо и не плохо – это реальность, которую надо просто признать и отталкиваться от нее.
Опишите известный вам и наиболее запомнившийся синергетический эффект от внедрения IdM-решения в организации в 2018 г.
Дмитрий Бондарь, inRights
На одном из мероприятий, где обсуждалось внедрение IdM-решений, представитель компании – заказчика систем защиты отметил, что реализованный IdM-проект не всегда дает изначально ожидаемый результат. Однако в итоге от внедрения системы управления доступом можно получить гораздо больший эффект за счет улучшений в бизнес-процессах компании, которые инициаторы проекта даже не планировали достичь.
Речь идет ровно о тех преимуществах от внедрения IdM и комплексной работы по профилированию доступа, о которых я упоминал выше. Подобный эффект, например, получил один из отечественных банков – повысилась прозрачность бизнес-процессов: удалось выявить и ликвидировать разрывы в функционале, уйти от дублирующихся функций и т.д. и, в конечном счете, оптимизировать расходы компании.
Алексей Лукацкий, Сisco
У нас был проект, в котором стояла задача обеспечить сегментацию сети и разграничение доступа внутри организации на сетевом уровне. Выбранное решение справлялось с этой задачей, но обладало и рядом дополнительных преимуществ, среди которых можно назвать динамическую и программно-определяемую сегментацию, интегрированную с Active Directory, и транслирующие политики безопасности на каждое сетевое устройство (коммутатор, точку доступа, маршрутизатор и т.д.). Это позволило сотрудникам компании быть мобильными и динамично менять свое местоположение, получая доступ к запрашиваемым ресурсам. При этом существенно снизилась нагрузка на ИТ-службу в части формирования правил контроля доступа (ACL) и поддержания их в актуальном состоянии, а служба ИБ смогла реализовать принцип "минимум привилегий" еще и на сетевом уровне. Когда летом компания столкнулась с появлением внутри сети (в обход всех периметровых средств защиты) зараженного Wan-naCry домашнего ноутбука генерального директора, внутренняя инфраструктура совершенно не пострадала, так как используемое решение локализовало проблему на уровне беспроводной точки доступа, к которой подключился зараженный ноутбук, и не дало вредоносной программе выйти за пределы этой точки.
Поделитесь вашими идеями