Как защитить привилегированные аккаунты от утечки

IT Статьи Cross Technologies

О том, что такое привилегированные аккаунты, у кого они есть в компании и как защитить их от утечки, рассказал руководитель группы внедрения центра исследования и разработки CrossTech Solutions Group Никита Андреянов

В условиях повсеместной цифровизации появляется все больше решений и практик по защите информации. Современные решения направлены либо на защиту от внешних угроз, либо на классический мониторинг сотрудников внутри организации. При этом администраторы, управляющие ИТ- и ИБ-ресурсами, подрядчики, внедряющие и настраивающие решения, а также руководящие лица компании находятся в определенной зоне доверия — передаваемые ими данные не контролируются. Подобные недостаточно качественные процессы по управлению и мониторингу за привилегированными аккаунтами часто могут наносить серьезный ущерб, вплоть до полного отказа ИТ-инфраструктуры и кражи всей существующей информации.

Согласно данным IDC, в 2019 году процент утечек данных и взломов критически важных систем с использованием привилегированных аккаунтов составил 61%, и подобные тенденции ежегодно усиливаются.

Что такое привилегированные аккаунты?

Сам термин «привилегированные аккаунты» используется для описания любой учетной записи, предоставляющей неограниченный доступ к системе, изменению ее параметров, просмотру секретных данных и т.д. Они обладают расширенными или максимальными наборами прав доступа к критически важными автоматизированным системам и данным. Чаще всего пользователями привилегированных аккаунтов являются системные администраторы, сотрудники службы управления ИБ, топ-менеджмент и специалисты, выполняющие подрядные работы. Компрометация подобных учетных записей является крайне серьезной угрозой информационной безопасности для компании. Мошенники, получив важные данные c таких аккаунтов, прибегают к шантажу и вымогательству денег за их возврат.

Так, в июле 2020 года в компании Garmin произошла крупная кража — пользователи фитнес-часов потеряли доступ к своей персональной информации, а сами сервисы Garmin перестали функционировать. По версии экспертов в сфере ИБ и косвенных фактов в официальных заявлениях компании, утечка произошла из-за компрометации привилегированного аккаунта одного из сотрудников. Полученные мошенниками важные данные были зашифрованы, а за их выкуп злоумышленники потребовали $10 млн.

Проблематика и потенциальные угрозы

Несмотря на то что привилегированные аккаунты зачастую являются ключом к информационным системам, их безопасности уделяется недостаточное количество внимания. Повышенное доверие к администраторам, недостаточно качественно выстроенные практики по управлению привилегированными учетными записями и паролями, бесконтрольные действия подрядчиков, а также административные скрипты, содержащие пароли в открытом виде, — все это приводит к компрометации подобных учетных записей и дальнейшей нелегитимной деятельности внутри организации. Перечень потенциальных угроз может быть реализован посредством злонамеренных действий самого сотрудника или же компрометации учетной записи злоумышленником: