Многие организации еще не приобрели решение PAM, поскольку считают, что оно может быть дорогим и сложным. Хотя это справедливо для некоторых устаревших решений PAM, эти организации...
Чтобы обнаружить горизонтальное перемещение, организации необходимо выявить ненормальную активность в сети, составить карту путей горизонтального перемещения, проанализировать поведение пользователей и проверить неизвестные устройства. Горизонтальное перемещение, если его не заметить, часто может привести к утечке данных и потере высококонфиденциальных данных. Организации могут предотвратить горизонтальное перемещение внутри сети, обеспечив доступ с наименьшими привилегиями, внедрив нулевое доверие, разбив сети на сегменты и внедрив решение PAM.
Продолжайте читать, чтобы узнать больше о горизонтальном перемещении, о том, как оно работает, как его обнаружить и как предотвратить горизонтальное перемещение в сети.
Что такое горизонтальное перемещение и как оно работает?
Горизонтальное перемещение — это метод, который злоумышленники используют для продвижения вглубь сети после получения первоначального доступа. Злоумышленники используют горизонтальное перемещение для заражения нескольких устройств и учетных записей, поддержания постоянного доступа по всей сети и получения расширенных привилегий доступа к конфиденциальным данным. Они рассчитывают на то, что в организации ненадлежащим образом работает управление привилегированным доступом (PAM), когда привилегии отслеживаются и назначаются неправильно.
Сначала злоумышленники получают доступ, украв учетные данные для входа или используя уязвимости в системе безопасности. Получив доступ к сети незаметно для организации, злоумышленники пытаются повысить свои привилегии путем заражения других устройств в сети, кражи учетных данных привилегированных пользователей и обхода авторизации с помощью привилегированных учетных записей. Злоумышленники перемещаются по сети горизонтально, пока не получат привилегии административного уровня для контроля всей сети и получения доступа к ценным ресурсам.
Как обнаружить горизонтальное перемещение?
Злоумышленники стараются оставаться незаметными, когда получают доступ к сети и перемещаются по ней. Однако организации могут обнаружить горизонтальное перемещение, используя мониторинг поведения пользователей и сетей в режиме реального времени. Вот способы, которыми организации могут реализовать мониторинг в режиме реального времени для обнаружения горизонтального перемещения в сети.
Выявление ненормальной активности в сети
Основной способ, которым пользуются злоумышленники, чтобы оставаться незамеченными, — отключение настроек безопасности и антивирусного программного обеспечения. Чтобы обнаружить горизонтальное перемещение, организациям следует искать ненормальные действия в сети, такие как изменение настроек безопасности, подключение к внешним портам, использование нестандартных протоколов и необычную активность трафика в сети. Если организация заметит какие-либо из этих ненормальных действий в сети, то, скорее всего, злоумышленники скомпрометировали привилегированную учетную запись с административными привилегиями.
Составление карты путей горизонтального перемещения
Организациям необходимо составить карту путей горизонтального перемещения для возможности легко определять, имеет ли место какое-либо горизонтальное перемещение в сети, и понимать, были ли скомпрометированы привилегированные учетные записи. Необходимо изучить инфраструктуру данных и составить список учетных записей, которые потенциально могут быть объектом атаки, например учетные записи с привилегированным доступом, ненадлежащей аутентификацией и неправильным управлением привилегиями. Организациям также следует искать другие уязвимости, которые могут допустить горизонтальное перемещение.
Анализ поведения пользователей
Организациям следует анализировать поведение пользователей для обнаружения горизонтального перемещения. Необходимо обращать внимание на любое ненормальное поведение пользователей, например:
- Многочисленные попытки входа в привилегированные учетные записи
- Нестандартные время, место и устройства, с которых был выполнен вход
- Несанкционированный доступ к высококонфиденциальным данным
- Несанкционированный обмен файлами
Проверка неизвестных устройств
Некоторые организации требуют от сотрудников использовать собственные устройства для выполнения работы. В результате к сети систем и ресурсов организации может подключиться множество неизвестных устройств. Однако организации не должны безоговорочно доверять каждому устройству, которое подключается к их сети. Необходимо проверять каждое неизвестное устройство, которое подключается к сети, чтобы убедиться, что ни одно их них не используется злоумышленником. Необходимо проверить владельца устройства и следить за его действиями, чтобы убедиться, что сотрудник, а не злоумышленник.
6 способов предотвратить горизонтальное перемещение
Организации могут обнаружить горизонтальное перемещение в сети, однако удалить неавторизованных пользователей может быть сложно в зависимости от того, сколько устройств было захвачено злоумышленниками. Организации должны предотвращать получение злоумышленниками доступа к сети и горизонтальное перемещение по ней. Вот шесть способов, которыми организации могут предотвратить горизонтальное перемещение.
Внедрение доступа с наименьшими привилегиями
Принцип наименьших привилегий представляет собой концепцию кибербезопасности, согласно которой пользователям предоставляется только минимальный сетевой доступ к информации и системам, необходимым для выполнения их работы, и не более. Реализуя доступ с наименьшими привилегиями, организации ограничивают доступ к конфиденциальным данным и защищают их от неправомерного использования. Доступ с наименьшими привилегиями сокращает потенциальные пути нарушения системы безопасности и предотвращает горизонтальное перемещение. Если учетная запись пользователя будет скомпрометирована, злоумышленник будет ограничен привилегиями этого пользователя и не сможет получить дальнейший доступ к сети организации
Внедрение нулевого доверия
Нулевое доверие — это структура безопасности, которая требует от всех пользователей и устройств постоянно проходить проверку личности и ограничивает их доступ к системам и данным сети. При этом исключается безоговорочное доверие и предполагается, что каждое устройство скомпрометировано. Нулевое доверие основано на трех принципах:
- Предположение взлома. Нулевое доверие предполагает, что каждый пользователь, пытающийся проникнуть в сеть организации — человек или компьютер, — может быть скомпрометирован и может стать причиной нарушения безопасности системы.
- Явная проверка. Нулевое доверие предполагает, что все люди и компьютеры должны доказать, кто они такие, прежде чем получить доступ к сети и системам организации.
- Обеспечение наименьших привилегий. Когда пользователю предоставляется доступ к сети организации, он получает доступ, который ему необходим только для выполнения работы, ни больше, ни меньше.
Следуя принципам нулевого доверия, организации могут уменьшить поверхность атаки и помешать злоумышленникам получить первоначальный доступ к сети. Нулевое доверие также затрудняет злоумышленникам задачу незаметно перемещаться горизонтально.
Требование многофакторной аутентификации
Многофакторная аутентификация (MFA) — это протокол безопасности, который требует более одного фактора аутентификации для доступа к сети организации. Фактором аутентификации может быть что-то, что знает пользователь, что у него есть или кем он является. При включении многофакторной аутентификации пользователи обычно предоставляют свои учетные данные для входа в систему, а также дополнительную форму идентификации, например одноразовый код.
Организации должны использовать многофакторную аутентификацию для доступа к привилегированным учетным записям, чтобы создать дополнительный уровень безопасности и обеспечить доступ к этим конфиденциальным учетным записям только авторизованным пользователям. Требование многофакторной аутентификации защищает организации от горизонтального перемещения, поскольку злоумышленники не могут предоставить дополнительную аутентификацию, необходимую для доступа к привилегированным учетным записям.
Сегментация сетей
При сегментации сети разделяются и их части изолируются для контроля над тем, кто имеет доступ к конфиденциальной информации. Эти сегменты разработаны с учетом потребностей различных пользователей и могут сообщаться друг с другом только для выполнения рабочих функций. Сегментация сетей ограничивает доступ ко всей сети и не позволяет злоумышленникам перемещаться по ней. Организации также могут создавать микросегменции, которые являются изолированными частями в рамках сегментированной сети.
Обновляйте программное обеспечение
Злоумышленники пытаются получить первоначальный доступ к организации, используя уязвимости в ее инфраструктуре безопасности. Часто они ищут уязвимости, имеющиеся в устаревшем программном обеспечении. Организациям следует постоянно обновлять программное обеспечение, чтобы исправлять недостатки в системе безопасности и добавлять функции безопасности, которые лучше защищают устройства. Это сократит возможность горизонтального перемещения.
Инвестиции в решение PAM
Решение PAM — это инструмент, который управляет учетными записями и защищает их с помощью прав доступа к высококонфиденциальным данным и системам. Решение PAM дает организациям полную видимость всей инфраструктуры данных и позволяет контролировать, какой доступ к конфиденциальным данным имеет каждый пользователь. Решение PAM также может дать организациям представление о методах использования паролей сотрудниками. Организации могут обеспечить использование сотрудниками надежных паролей для защиты учетных записей и обмена паролями только с авторизованными пользователями.
Предотвращение горизонтального перемещения с помощью Keeper®
С горизонтальным перемещение может быть трудно справиться, если в организации плохо организовано управление привилегированным доступом. При отсутствии внимания злоумышленники могут получить привилегированный доступ к высококонфиденциальным данным и украсть самые ценный ресурсы организации. Чтобы предотвратить горизонтальное перемещение, организациям необходимо приобрести решение PAM для внедрения доступа с наименьшими привилегиями и безопасности с нулевым доверием.
С помощью решения PAM организации могут управлять привилегированными учетными записями, отслеживать, кто получает доступ к конфиденциальным данным и внедрять меры безопасности для защиты конфиденциальных данных. KeeperPAM™ — это решение для управления привилегированным доступом с нулевым доверием и нулевым разглашением, которое объединяет Keeper Enterprise Password Manager, Keeper Secrets Manager® и Keeper Connection Manager®. Оно помогает организациям уменьшить поверхность атаки и защитить конфиденциальные данные от ущерба, который может нанести горизонтальное перемещение.
Запросите демоверсию KeeperPAM, чтобы помешать злоумышленникам использовать горизонтальное перемещение для кражи ваших конфиденциальных данных.