Инцидент с E-Root — Важность защиты учетных записей RDP и SSH

опубликованный , дата публикации: 22 ноября, 2023

Одним из самых заметных изменений в киберпреступности с начала 21 века стало превращение нелегальной индустрии из отдельных хакеров в полноценный прибыльный бизнес. E-Root, международная нелегальная торговая площадка, была ликвидирована правоохранительными органами в 2020 году. Однако недавно она снова попала в ленту новостей, поскольку ее администратору грозит 20 лет тюрьмы за продажу украденных учетных записей протокола удаленного рабочего стола (RDP) и безопасной оболочки (SSH).

E-Root специализировалась на продаже различных цифровых товаров, включая украденные учетные данные и доступ к скомпрометированным серверам. Покупатели могли пользоваться инструментами поиска по таким критериям, как провайдер, операционная система, доступ по RDP или SSH и т. д. Организация злоумышленников действовала в широко распределенной сети для повышения устойчивости и возможности уклонения и использовала средства защиты для маскировки реальных личностей продавцов, покупателей и администраторов.

Этот инцидент служит напоминанием о важности защиты привилегированного доступа для предотвращения утечки данных, поскольку киберугрозы продолжают развиваться и расти.

Протокол удаленного рабочего стола (RDP)

RDP — это протокол сетевой связи, который позволяет пользователям удаленно подключаться к локальным компьютерам организации через операционную систему Windows. Он также широко используется ИТ-специалистами для удаленного обслуживания серверов и других задач.

RDP работает как инфраструктурный секрет, который используют люди — обычно ИТ-администраторы и сотрудники DevOps, — хотя иногда и обычные конечные пользователи также могут использовать RDP для удаленного доступа к файлам.

Хотя RDP — это ценный инструмент для удаленного администрирования, в случае использования злоумышленниками он становится серьезной угрозой безопасности. На протяжении многих лет взломанные пароли RDP были наиболее распространенным вектором заражения программами-вымогателями.

Атаки программ-вымогателей — не единственная неприятность, которая может случиться, если пароль RDP будет взломан. После того как злоумышленник взломает RDP, он сможет использовать программные инструменты и скрипты, чтобы найти и украсть дополнительные учетные данные, пробраться через сеть организации и получить доступ к ее файлам. Он может украсть эти файлы, удалить их, изменить или сделать что угодно.

Безопасная оболочка (SSH)

SSH — это криптографический сетевой протокол, используемый для безопасного обмена данными, удаленного входа в систему из командной строки и других безопасных сетевых служб между двумя сетевыми компьютерами. Ключи SSH и другие учетные данные для подключения — это жизненно важные ресурсы для команд DevOps и DevSecOps. Они широко используются для безопасного доступа к серверам.

Однако использование ключей SSH и других учетных данных безопасным способом сопряжено с определенными трудностями. Передача ключей по сети или между пользователями несет риски.

Как результат, скомпрометированные учетные записи SSH могут быть использованы для получения несанкционированного контроля над серверами и конфиденциальными данными организации.

Если единственный способ украсть учетные записи RDP и SSH — это небезопасные удаленные соединения, есть ли эффективный способ это предотвратить?

Меры для защиты учетных записей RDP и SSH от попадания в даркнет

Организации во многом полагаются в своей работе на RDP и SSH, что делает их главной мишенью для киберпреступников. Украденные учетные записи часто оказываются на маркетплейсах даркнета, таких как E-Root.

Хотя ликвидация E-Root была позитивным явлением, многие другие незаконные торговые площадки продолжают вести свою деятельность, что подчеркивает сохраняющуюся угрозу. Чтобы защитить учетные данные SSH и RDP от кражи и неправомерного использования, организациям рекомендуется принимать следующие упреждающие меры:

Безопасные привилегированные учетные записи. Внедрите надежные меры по определению, управлению и защите учетных записей с расширенным доступом к ИТ-системам. Это включает в себя хранение паролей и секретов в надежном хранилище, а также контроль доступа на основе ролей, чтобы доступ к конфиденциальным данным был только у тех лиц, которым они действительно необходимы.
Принцип наименьших привилегий. Ограничьте права доступа для пользователей, приложений и систем, предоставляя только минимальный уровень доступа, необходимый сотрудникам для выполнения возложенных на них задач. Пользуясь принципом наименьших привилегий, организации могут снизить риск несанкционированного доступа и потенциального неправомерного использования.
Ротация учетных данных. Регулярно меняйте учетные данные, чтобы снизить угрозы безопасности, связанные с увольнением сотрудников, взломами, появлением информации в даркнете и многим другим. Эта практика повышает уровень защищенности, поскольку сводит к минимуму возможность злоумышленников использовать скомпрометированные учетные данные.
Управление привилегированными сеансами. Убедитесь, что доступ к критически важной инфраструктуре осуществляется с помощью управления привилегированными сеансами учетных записей. Все сеансы должны быть безопасными, а учетные данные должны оставаться скрытыми от конечных пользователей, чтобы предотвратить несанкционированный доступ.

Keeper® — это лучший способ защиты учетных записей RDP и SSH

Решение Keeper Security для управления привилегированным доступом — это платформа следующего поколения для предотвращения несанкционированного доступа к критически важным системам и данным. KeeperPAM™ защищает все ваши учетные записи RDP и SSH, цифровые сертификаты и другие конфиденциальные токены соединений. Архитектура Keeper с нулевым доверием и нулевым разглашением подразумевает, что ваши секреты, учетные данные и удаленные соединения доступны только авторизованным лицам.

Keeper Secrets Manager (KSM) позволяет командам DevOps и DevSecOps создавать динамический программный доступ к своим секретам и учетным данным внутри своих систем, без необходимости приобретения и установки нового оборудования или агентского программного обеспечения. KSM работает в облаке с предварительно настроенными соединениями с передовыми инструментами в отрасли. Это облегчает интеграцию KSM в текущий технологический стек организации, устраняя необходимость в дополнительных устройствах и развертывая архитектуру Keeper с нулевым разглашением и нулевым доверием для обеспечения высочайшего уровня безопасности.

Keeper Connection Manager (KCM) предоставляет ИТ-сотрудникам и DevOps-командам простой и безопасный доступ к RDP, SSH, базам данных и конечным точкам Kubernetes, без необходимости в VPN. В KCM нет агентов — клиентом является ваш веб-браузер, и это не влияет на контроллеры домена или другие службы. Пользователи могут получить доступ только к тем соединениям, к которым администратор явно предоставил им доступ с помощью специальных средств управления доступом.

Keeper Enterprise Password Manager (EPM) предоставляет ИТ-специалистам полную видимость и контроль над привычками использования паролей пользователями. Каждому пользователю предоставляется безопасное цифровое хранилище для хранения и обмена учетными данными, паролями, конфиденциальными файлами и многим другим. Keeper также интегрируется с поставщиками услуг SSO и беспарольной авторизации, обеспечивая сквозную беспарольную аутентификацию.

Запросите демоверсию Keeper уже сегодня, и защитите свою организацию.

Adrien Julienne

Автор: Adrien Julienne

Adrien is the B2B Marketing Campaigns Manager for Keeper Security and contributing writer with over 12 years of experience in the technology industry with a focus on SaaS. Adrien now leads Keeper’s marketing efforts to raise awareness about Keeper as a leader in cybersecurity in its mission to unify critical components of Identity and Access Management and enable zero-trust transformation.