Cyberbezpieczeństwo 
Zabezpieczenie kont uprzywilejowanych za pomocą kluczy FIDO2 to najlepszy sposób ochrony przed zagrożeniami wewnętrznymi i zewnętrznymi ze względu na większe bezpieczeństwo oraz wygodę użytkowania w porównaniu z tradycyj...
Jedną z najbardziej zauważalnych zmian w cyberprzestępczości od początku XXI wieku jest transformacja tej nielegalnej branży z grupy indywidualnych hakerów na w pełni funkcjonujące, dochodowe organizacje. E-Root, globalny nielegalny rynek, został zamknięty przez organy ścigania w 2020 r., lecz ostatnio ponownie pojawił się w wiadomościach, ponieważ jego administratorowi grozi 20 lat więzienia za sprzedaż skradzionych kont protokołów pulpitu zdalnego (RDP) i Secure Shell (SSH).
E-Root specjalizował się w ułatwianiu sprzedaży różnych towarów cyfrowych, w tym skradzionych danych uwierzytelniających i dostępu do naruszonych serwerów. Kupujący otrzymali wyfiltrowane narzędzia wyszukiwania umożliwiające poruszanie się po rynku z kryteriami takimi jak dostawca usług internetowych, system operacyjny, dostęp do RDP lub SSH i nie tylko. Ta organizacja cyberprzestępcza działała w szeroko rozproszonej sieci, aby zwiększyć odporność i uniknąć odpowiedzialności, zapewniając zabezpieczenia, które ukrywały prawdziwą tożsamość sprzedawców, nabywców i administratorów.
Incydent ten stanowi wyraźne przypomnienie o tym, jak ważne jest zabezpieczanie uprzywilejowanego dostępu w celu zapobiegania naruszeniom danych, ponieważ cyberzagrożenia wciąż ewoluują, a ich skala rośnie.
Protokół pulpitu zdalnego (RDP)
RDP to sieciowy protokół komunikacyjny, który umożliwia użytkownikom zdalne łączenie się z komputerami lokalnymi organizacji za pośrednictwem systemu operacyjnego Windows. Jest również powszechnie używany przez zespoły IT do zdalnego wykonywania konserwacji serwera i innych zadań.
RDP działa jako infrastruktura tajna, którą zazwyczaj wykorzystują administratorzy IT i pracownicy DevOps, choć czasami zwykli użytkownicy końcowi korzystają z protokołu RDP do zdalnego dostępu do plików.
Chociaż RDP jest cennym narzędziem do administracji zdalnej, staje się znaczącym zagrożeniem dla bezpieczeństwa, jeśli jest wykorzystany przez cyberprzestępców. Przez lata naruszone hasła RDP były najczęstszym wektorem ataków z użyciem oprogramowania wymuszającego okup.
Jednak ataki takie nie są jedynym zagrożeniem, które możliwe jest w wyniku naruszenia hasła RDP. Gdy atakujący naruszy RDP, może skorzystać z narzędzi programowych i skryptów wiersza poleceń, aby znaleźć i ukraść więcej danych uwierzytelniających, przedrzeć się przez sieć organizacji i uzyskać dostęp do jej plików. Mogą ukraść te pliki, usunąć je, zmodyfikować i zrobić cokolwiek zechcą.
Secure Shell (SSH)
SSH to kryptograficzny protokół sieciowy używany do bezpiecznej komunikacji danych, zdalnego logowania z wiersza poleceń i innych zabezpieczonych usług sieciowych między dwoma komputerami w sieci. Klucze SSH i inne dane uwierzytelniające połączenia to kluczowe zasoby dla zespołów DevOps i DevSecOps, które są powszechnie używane do bezpiecznego dostępu do serwerów.
Korzystanie z kluczy SSH i innych danych uwierzytelniających w bezpieczny sposób jest wyzwaniem. Przenoszenie kluczy w sieci lub między użytkownikami wiąże się z ryzykiem.
W rezultacie naruszone konta SSH mogą zostać wykorzystane do uzyskania nieautoryzowanej kontroli nad serwerami organizacji i danymi poufnymi.
Skoro jedynym sposobem na kradzież kont RDP i SSH jest użycie niezabezpieczonych połączeń zdalnych, to czy istnieje skuteczny sposób na zapobieganie temu zagrożeniu?
Działania prewencyjne w celu ochrony kont RDP i SSH przed wycieknięciem do dark webu.
Płynne działanie organizacji w dużym stopniu zależy od protokołów RDP i SSH, co czyni je głównymi celami ataków cyberprzestępców. Skradzione konta często trafiają do rynków w sieci dark web, takich jak E-Root.
Chociaż likwidacja E-Root była pozytywnym wydarzeniem, wiele innych nielegalnych rynków nadal istnieje, co potwierdza istnienie zagrożenia. Aby chronić dane uwierzytelniające SSH i RDP przed kradzieżą i niewłaściwym użyciem, organizacje powinny podjąć następujące aktywne działania:
- Zabezpieczanie kont uprzywilejowanych: wprowadź kompleksowe metody definiowania i zabezpieczania kont z podwyższonym dostępem do systemów IT i zarządzania nimi. Obejmuje to przechowywanie haseł i wpisów tajnych w bezpiecznym magazynie oraz kontrolę dostępu opartą na rolach, aby ograniczyć korzystanie z poufnych danych uwierzytelniających tylko do tych osób, które absolutnie muszą uzyskać do nich dostęp.
- Egzekwowanie zasady niezbędnych minimalnych uprawnień: ogranicz prawa dostępu dla użytkowników, aplikacji i systemów, przyznając tylko minimalne poziomy dostępu niezbędne do wykonywania przez nich wymaganych zadań. Stosując minimalne niezbędne uprawnienia, organizacje mogą ograniczyć ryzyko nieautoryzowanego dostępu i potencjalnego nadużycia.
- Zmiana danych uwierzytelniających: regularnie zmieniaj dane uwierzytelniające, aby zmniejszyć zagrożenia bezpieczeństwa związane z odejściami pracowników z firmy, naruszeniami, narażeniem na wyciek informacji do dark webu i innymi zagrożeniami. Praktyka ta zwiększa bezpieczeństwo, minimalizując możliwości wykorzystania naruszonych danych uwierzytelniających przez złośliwe podmioty.
- Zarządzanie sesjami uprzywilejowanymi: upewnij się, że dostęp do krytycznej infrastruktury jest możliwy za pośrednictwem zarządzania sesją kont uprzywilejowanych. Wszystkie sesje powinny być zabezpieczone, a dane uwierzytelniające muszą pozostać ukryte przed użytkownikami końcowymi, aby zapobiec nieautoryzowanemu dostępowi.
Rozwiązanie Keeper® to najlepsza opcja do ochrony kont RDP i SSH
Rozwiązanie Keeper Security do zarządzania uprzywilejowanym dostępem (PAM) to platforma nowej generacji służąca do zapobiegania nieautoryzowanemu dostępowi do krytycznych systemów i danych. KeeperPAM™ chroni wszystkie konta RDP i SSH, certyfikaty cyfrowe i inne poufne tokeny połączeń. Architektura zero-trust i zero-knowledge firmy Keeper oznacza, że tajne wpisy, dane uwierzytelniające i połączenia zdalne są dostępne tylko dla osób upoważnionych.
Keeper Secrets Manager (KSM) umożliwia zespołom DevOps i DevSecOps tworzenie dynamicznego dostępu programowego do tajnych wpisów i danych uwierzytelniających w systemach, bez konieczności zakupu i instalacji nowego sprzętu lub oprogramowania agenta. KSM działa w chmurze dzięki wstępnie skonfigurowanym połączeniom, zapewniając najlepsze narzędzia w branży. Ułatwia to płynną integrację KSM z istniejącym zestawem technologii w organizacji, eliminując potrzebę stosowania dodatkowych urządzeń i jednocześnie wdrażając architekturę zero-knowledge i zero-trust firmy Keeper w celu zapewnienia najwyższego poziomu bezpieczeństwa.
Keeper Connection Manager (KCM) zapewnia pracownikom IT i DevOps prosty i bezpieczny dostęp do protokołów RDP, SSH, baz danych i punktów końcowych Kubernetes, bez konieczności korzystania z sieci VPN. Dzięki KCM nie ma potrzeby korzystania z agentów – klientem jest przeglądarka internetowa i nie ma to wpływu na kontrolery domen i inne usługi. Użytkownicy mogą uzyskać dostęp tylko do połączeń, które zostały im wyraźnie przyznane przez administratora, za pomocą szczegółowych kontroli dostępu.
Keeper Enterprise Password Manager (EPM) zapewnia zespołom IT pełny wgląd w nawyki związane z hasłami i kontrolę nad nimi. Każdy użytkownik ma bezpieczny magazyn cyfrowy do przechowywania i udostępniania danych uwierzytelniających, kluczy dostępu, poufnych plików i innych danych. Keeper integruje się również z dostawcami SSO i usług bezhasłowych, zapewniając kompleksowe uwierzytelnianie bez stosowania haseł.
Już dziś zamów wersję demo rozwiązania Keeper i zabezpiecz swoją organizację.
