Wiele organizacji nadal nie wdrożyło rozwiązania PAM, ponieważ może to być kosztowny i złożony proces. Chociaż jest to prawdą w przypadku niektórych starszych rozwiązań PAM, organizacje powinny zwrócić
W celu wykrycia poruszania się atakującego w sieci organizacje muszą identyfikować nietypową aktywność w sieci, monitorować możliwe ścieżki, analizować zachowania użytkowników i weryfikować nieznane urządzenia. Niezauważone poruszanie się atakującego w sieci często prowadzi do naruszenia danych i utraty wysoce poufnych danych. Organizacje mogą zapobiegać poruszaniu się atakującego w sieci, wymuszając dostęp z najniższym poziomem uprawnień, wdrażając architekturę zero-trust, segmentując sieci oraz inwestując w rozwiązanie PAM.
Czytaj dalej, aby dowiedzieć się więcej o poruszaniu się atakującego w sieci, czym się charakteryzuje, jak je wykrywać oraz jak mu zapobiegać.
Co to jest poruszanie się atakującego w sieci i czym się charakteryzuje?
Poruszanie się atakującego w sieci to technika wykorzystywana przez cyberprzestępców po uzyskaniu wstępnego dostępu, mająca na celu dotarcie do dalszych zasobów. Cyberprzestępcy poruszają się w sieci, aby infekować wiele urządzeń i kont, zachować bieżący dostęp i podnieść uprawnienia dostępu w celu przejęcia danych poufnych. Wykorzystują niewłaściwe zarządzanie uprzywilejowanym dostępem (PAM) organizacji, w którym uprawnienia są niewłaściwie śledzone i nadawane.
Cyberprzestępcy uzyskują dostęp poprzez kradzież danych uwierzytelniających lub wykorzystanie luk w zabezpieczeniach. Po uzyskaniu dostępu do sieci organizacji cyberprzestępcy próbują podnieść uprawnienia, infekując inne urządzenia w sieci, kradnąc dane uwierzytelniające uprzywilejowanych użytkowników i pokonując zabezpieczenia autoryzacji za pomocą kont uprzywilejowanych. Cyberprzestępcy poruszają się w sieci, dopóki nie uzyskają uprawnień administratora umożliwiających kontrolowanie całej sieci i dostęp do cennych zasobów.
Jak wykryć poruszanie się atakującego w sieci
Cyberprzestępcy próbują uniknąć wykrycia podczas uzyskiwania dostępu do sieci i poruszania się w niej Jednak organizacje mają możliwość wykrywania poruszania się atakującego w sieci, monitorując zachowanie użytkowników i stan sieci w czasie rzeczywistym. Oto sposoby wykorzystywania przez organizacje monitorowania w czasie rzeczywistym w celu wykrywania poruszania się atakującego w sieci.
Identyfikacja nietypowej aktywności w sieci
Cyberprzestępcy próbują uniknąć wykrycia głównie poprzez wyłączenie ustawień zabezpieczeń i oprogramowania antywirusowego. Aby wykryć poruszanie się atakującego w sieci, organizacje powinny szukać nietypowej aktywności w sieci, takiej jak zmiana ustawień zabezpieczeń, połączenia z portami zewnętrznymi, wykorzystanie nietypowych protokołów i nietypowy ruch w sieci. Występowanie tego typu nietypowej aktywności w sieci organizacji najprawdopodobniej oznacza naruszenie przez cyberprzestępcę konta uprzywilejowanego z uprawnieniami administratora.
Monitorowanie możliwych ścieżek poruszania się atakującego
Organizacje muszą monitorować możliwe ścieżki poruszania się atakującego, aby wykryć tego typu aktywność i naruszenie kont uprzywilejowanych. Wymagana jest analiza infrastruktury danych i utworzenie listy kont, które mogą być celem ataku, takich jak konta z uprzywilejowanym dostępem, słabym uwierzytelnianiem i niewłaściwie zarządzanymi uprawnieniami. Niezbędna jest również ocena innych luk w zabezpieczeniach, które mogą prowadzić do poruszania się atakującego w sieci.
Analiza zachowania użytkowników
Organizacje powinny analizować zachowanie użytkowników w celu wykrycia poruszania się atakującego w sieci. Do nietypowych zachowań użytkowników należą:
- Wielokrotne próby logowania na kontach uprzywilejowanych
- Nietypowe pory, lokalizacje i urządzenia logowania
- Nieautoryzowany dostęp do wysoce poufnych danych
- Nieautoryzowane udostępnianie plików
Weryfikacja nieznanych urządzeń
Niektóre organizacje wymagają od pracowników korzystania z własnych urządzeń do wykonywania pracy. Może to spowodować łączenie się wielu nieznanych urządzeń z siecią systemów i zasobów organizacji. Nie należy jednak domyślnie ufać każdemu urządzeniu, które łączy się z siecią. Konieczna jest weryfikacja każdego nieznanego urządzenia, które łączy się z siecią, aby upewnić się, że nie jest wykorzystywane przez cyberprzestępcę. Organizacje powinny zweryfikować właściciela urządzenia i monitorować jego aktywność, aby potwierdzić, że jest to pracownik, a nie cyberprzestępca.
Sześć sposobów zapobiegania poruszaniu się atakującego w sieci
Mimo że organizacje mogą wykrywać poruszanie się atakującego w sieci, usunięcie nieautoryzowanych użytkowników może sprawiać trudności w zależności od tego, ile urządzeń zostało przejętych przez cyberprzestępców. Dlatego konieczne jest zapobieganie uzyskaniu przez cyberprzestępców dostępu do sieci organizacji i poruszaniu się po niej. Oto sześć sposobów zapobiegania przez organizacje poruszaniu się atakującego w sieci.
Wymuszanie dostępu z najniższym poziomem uprawnień
Zasada dostępu z najniższym poziomem uprawnień to koncepcja cyberbezpieczeństwa, zgodnie z którą użytkownicy powinni mieć dostęp sieciowy do informacji i systemów tylko w stopniu niezbędnym do wykonywania swoich zadań. Wdrażając dostęp z najniższym poziomem uprawnień, organizacje ograniczają dostęp do danych poufnych i chronią je przed niewłaściwym wykorzystaniem. Dostęp z najniższym poziomem uprawnień ogranicza możliwość naruszenia bezpieczeństwa i zapobiega poruszaniu się atakującego w sieci. W przypadku naruszenia konta użytkownika przez cyberprzestępcę jest on ograniczony do uprawnień tego użytkownika i nie może uzyskać dalszego dostępu do sieci organizacji
Wdrożenie zasady zero-trust
Zero-trust to struktura bezpieczeństwa, która wymaga od wszystkich użytkowników i urządzeń ciągłej weryfikacji tożsamości oraz ogranicza dostęp do systemów sieciowych i danych. Rezygnuje z domyślnego zaufania i zakłada naruszenie każdego urządzenia. Zero-trust opiera się na trzech zasadach:
- Zakładane naruszenie: zero-trust zakłada, że każdy użytkownik i urządzenie, które próbuje dostać się do sieci organizacji, może stać się ofiarą naruszenia i spowodować naruszenie bezpieczeństwa.
- Weryfikacja jawna: w ramach struktury zero-trust wszyscy użytkownicy i urządzenia poddawani są weryfikacji przed uzyskaniem dostępu do sieci i systemów organizacji.
- Nadanie najniższego poziomu uprawnień: po uzyskaniu dostępu do sieci organizacji użytkownik otrzymuje dostęp na poziomie wymaganym do wykonywania przydzielonych zadań, a nie z niższymi lub wyższymi uprawnieniami.
Stosowanie zasad zero-trust umożliwia organizacjom ograniczenie powierzchni ataku i uniemożliwienie cyberprzestępcom uzyskania wstępnego dostępu do sieci. Zero-trust utrudnia również cyberprzestępcom poruszanie się w sieci bez wykrycia.
Wymóg MFA
Uwierzytelnianie wieloskładnikowe (MFA) to protokół bezpieczeństwa, który w celu uzyskania dostępu do sieci organizacji wymaga co najmniej jednego dodatkowego czynnika uwierzytelniania. Czynnikiem uwierzytelniania może być element wiedzy użytkownika, fizyczny przedmiot lub jego cecha. Po włączeniu MFA użytkownicy zazwyczaj podają dane uwierzytelniające logowania wraz z dodatkową formą identyfikacji, taką jak jednorazowy kod.
Organizacje powinny wymagać MFA przed uprzywilejowanym dostępem w celu zapewnienia dodatkowego poziomu bezpieczeństwa i zagwarantowania dostępu do tych poufnych kont wyłącznie przez upoważnionych użytkowników. Wymóg MFA chroni organizacje przed poruszaniem się atakujących w sieci, ponieważ cyberprzestępcy nie są w stanie zapewnić dodatkowego uwierzytelniania na potrzeby dostępu do kont uprzywilejowanych.
Segmentacja sieci
Segmentacja sieci dzieli ją i izoluje jej części w celu kontrolowania dostępu użytkowników do poufnych informacji. Segmenty te są dostosowane do potrzeb różnych użytkowników i mogą komunikować się ze sobą tylko w celach biznesowych. Segmentacja sieci ogranicza dostęp do całości sieci i uniemożliwia cyberprzestępcom poruszanie się w niej Organizacje mogą również tworzyć mikrosegmentacje, które są odizolowanymi częściami sieci w sieci segmentowanej.
Aktualizuj oprogramowanie
Cyberprzestępcy próbują uzyskać wstępny dostęp do organizacji, wykorzystując luki w zabezpieczeniach infrastruktury organizacji. Często szukają luk w zabezpieczeniach występujących w nieaktualnym oprogramowaniu. Organizacje powinny aktualizować oprogramowanie, aby usunąć luki w zabezpieczeniach i dodać funkcje bezpieczeństwa, które lepiej chronią urządzenia. Ograniczy to możliwość poruszania się atakującego w sieci.
Inwestycja w rozwiązanie PAM
Rozwiązanie PAM to narzędzie, które zarządza kontami i zabezpiecza je za pomocą uprawnień dostępu do wysoce poufnych danych i systemów. Zapewnia organizacjom pełny wgląd w całą infrastrukturę danych i możliwość określenia poziomu dostępu każdego użytkownika do danych poufnych. Rozwiązanie PAM może również umożliwić organizacjom wgląd w praktyki pracowników w zakresie haseł. Organizacje mogą wymusić używanie przez pracowników silnych haseł do ochrony kont i udostępnianie haseł tylko upoważnionym użytkownikom.
Zapobieganie poruszaniu się atakującego w sieci za pomocą rozwiązania Keeper®
Poruszanie się atakującego w sieci może wiązać się z problemami w przypadku niewłaściwego zarządzania dostępem uprzywilejowanym w organizacji. Nienadzorowani cyberprzestępcy mogą uzyskać uprzywilejowany dostęp do wysoce poufnych danych i ukraść najcenniejsze zasoby organizacji. Aby zapobiec poruszaniu się atakującego w sieci, organizacje muszą zainwestować w rozwiązanie PAM umożliwiające wdrożenie dostępu z najniższym poziomem uprawnień i zabezpieczeń zero-trust.
Rozwiązanie PAM umożliwia organizacjom zarządzanie kontami uprzywilejowanymi, monitorowanie dostępu użytkowników do danych poufnych i wdrażanie środków bezpieczeństwa w celu ochrony danych poufnych. KeeperPAM™ to rozwiązanie do zarządzania dostępem uprzywilejowanym typu zero-trust i zero-knowledge, które łączy rozwiązania Keeper takie jak Keeper Enterprise Password Manager, Keeper Secrets Manager® i Keeper Connection Manager®. Pomaga organizacjom w ograniczeniu powierzchni ataku i ochronie danych poufnych przed skutkami poruszania się atakującego w sieci.
Poproś o demo rozwiązania KeeperPAM, aby zapobiec poruszaniu się cyberprzestępców w sieci i kradzieży danych poufnych.