PAM 
Доступ к базам данных — одна из главных уязвимостей корпоративной инфраструктуры. Сотрудники часто делятся учетными данными, хранят их в ненадежных местах и используют без какого-либо мониторинга....
опубликованный , дата публикации: 13 февраля, 2024
Для безопасного ведения деятельности организации разделяют доступ к определенным данным и административным возможностям на различные типы привилегированных учетных записей. К некоторым типам привилегированных учетных записей относятся учетные записи администратора домена, локальные учетные записи администратора, учетные записи привилегированного пользователя и учетные записи экстренного доступа. При отсутствии надлежащего управления или защиты злоумышленники могут получить несанкционированный доступ к этим привилегированным учетным записям и украсть конфиденциальные данные организации.
Читайте дальше, чтобы узнать больше о привилегированных учетных записях, различных типах привилегированных учетных записей, проблемах, с которыми они сталкиваются, и о том, как ваша организация может защитить их.
Что такое привилегированные учетные записи?
Привилегированные учетные записи в организации имеют более высокие привилегии, чем стандартные учетные записи. Такие привилегии дают определенным пользователям доступ к конфиденциальным системам, базам данных, приложениям и сетевой инфраструктуре организации. Привилегированные учетные записи позволяют использовать конфиденциальные данные и выполнять административные задачи организации, что недоступно большинству пользователей. Если эти учетные записи используются неправомерным образом или к ним получают доступ неавторизованные пользователи, это может нанести ущерб организации и привести к потере денежных средств, утрате конфиденциальных данных и подрыву репутации.
Семь типов привилегированных учетных записей
Существуют различные типы привилегированных учетных записей, каждый из которых имеет различные уровни доступа и привилегии для выполнения соответствующих функций. Вот семь типов привилегированных учетных записей.
Учетная запись администратора домена
Учетные записи администратора домена — самые важные привилегированные учетные записи в сети организации. Они имеют полный и неограниченный доступ к домену Active Directory, совокупности таких ресурсов организации, как серверы, учетные записи, приложения и рабочие станции, а также контроль над ним. Учетные записи администратора домена могут изменять состав всех административных учетных записей в организации. Доступ к таким учетным записям должен быть ограничен и предоставляться только по мере необходимости.
Локальная учетная запись администратора
Локальные учетные записи администратора предоставляют доступ административного уровня к локальным машинам. ИТ-администраторы используют такие учетные записи для настройки или обслуживания рабочих станций, серверов, сетевых устройств и других локальных машин в организации. Локальные учетные записи администратора часто имеют одинаковый пароль на нескольких устройствах, что позволяет злоумышленникам получить первоначальный доступ к сети организации и горизонтально перемещаться в ней.
Учетная запись привилегированного пользователя
Учетные записи привилегированного пользователя — это стандартные учетные записи пользователей, у которых есть определенные привилегии для выполнения работы. Такие учетные записи имеют доступ к определенным ресурсам, которые не предоставляются обычным пользователям, например к конфиденциальным данным или определенным административным возможностям. Это наиболее распространенный и рискованный тип привилегированных учетных записей. При неправильном управлении злоумышленники могут скомпрометировать учетные записи привилегированного пользователя для горизонтального перемещения в сети организации.
Учетная запись экстренного доступа
Учетные записи экстренного доступа используются, когда организации не могут получить доступ к своим системам, но он нужен им немедленно. Эти учетные записи отключены и активируются только в случае чрезвычайной ситуации, например потери доступа в результате кибератаки. Организации используют такие учетные записи, чтобы вернуть и восстановить доступ к своим системам.
Учетная запись службы
Учетные записи служб используются приложениями или службами для обеспечения работы операционных систем и программ. Эти учетные записи не принадлежат пользователям, и в них не следует входить с локальных систем. Однако пароли к таким учетным записям часто не меняются и используются сотрудниками совместно, что делает их популярной мишенью для злоумышленников.
Учетная запись службы домена
Учетные записи службы домена позволяют системам и приложениям взаимодействовать друг с другом и получать доступ к необходимым ресурсам для создания отчетов, использования баз данных и вызова API. Они помогают внедрять исправления в системы безопасности, сохранять резервные копии и развертывать программное обеспечение. Многие администраторы не меняют пароли учетных записей службы домена, поскольку это требует выхода из такой учетной записи и нарушает работу приложения, если оно не синхронизировано должным образом. Это позволяет злоумышленникам легко скомпрометировать пароли к ним.
Учетная запись приложения
Учетные записи приложения позволяют приложениям пользоваться базами данных и сетями, чтобы выполнять автоматизированные задачи, такие как обновление программного обеспечения и предоставление доступа к другим приложениям. Пароли к этим учетным записям часто хранятся в незашифрованных текстовых файлах, что позволяет злоумышленникам легко проникать в сеть организаций.
Угрозы, которым подвергаются привилегированные учетные записи
Многие злоумышленники хотят скомпрометировать привилегированные учетные записи, чтобы получить несанкционированный доступ к сети организаций. Вот типы угроз, которым подвергаются привилегированные учетные записи.
Фишинг
Фишинг — тип кибератаки, когда привилегированных пользователей обманом заставляют передать конфиденциальную информацию, например учетные данные для входа в систему. Для этого злоумышленники выдают себя за знакомого жертвы, например коллегу или администратора. Они отправляют жертве электронное письмо или текстовое сообщение с вредоносным вложением или ссылкой. Если жертва нажимает на ссылку, она попадает на поддельный веб-сайт, который либо загружает вредоносное ПО на ее устройство, либо предлагает ввести учетные данные для входа в систему, чтобы украсть их.
Внутрисистемная угроза
Внутрисистемная угроза — это киберугроза, возникающая внутри организации. Она происходит, когда нынешний или бывший сотрудник, партнер, подрядчик или поставщик приводит к компрометации конфиденциальных данных и систем. Внутрисистемные угрозы могут быть преднамеренными или непреднамеренными. Некоторые внутрисистемные угрозы вызваны человеческим фактором, когда контроль над привилегированными учетными записями осуществляется неправильно или халатно. В других случаях внутрисистемные угрозы вызваны злоумышленниками, которые пытаются саботировать работу организации изнутри и украсть конфиденциальную информацию, чтобы использовать ее в своих интересах.
Вредоносное ПО
Злоумышленники тайно устанавливают вредоносное ПО на устройство пользователя, чтобы нанести ему вред или украсть конфиденциальные данные. Для этого они обманом заставляют пользователей случайно установить вредоносное ПО или используют уязвимости в системе безопасности. Они убеждают пользователей посетить зараженный веб-сайт или загрузить вредоносное программное обеспечение из фишинговых электронных писем, вредоносной рекламы или с поддельных веб-сайтов. После установки на устройство привилегированного пользователя вредоносное ПО может украсть учетные данные привилегированных учетных записей.
Атака методом подбора
Атака методом подбора — это тип кибератаки, связанный с паролем, когда злоумышленники пытаются угадать данные для входа в привилегированные учетные записи. Злоумышленники полагаются на то, что организации плохо соблюдают гигиену паролей, что позволяет легко взломать их. Атакам методом подбора подвержены привилегированные учетные записи, защищенные ненадежными паролями.
Примеры ненадежных паролей:
- пароли длиной менее 16 символов;
- пароли, используемые повторно для нескольких учетных записей;
- пароли, содержащие личную информацию;
- последовательные цифры или буквы (12345 или abcde);
- часто используемые словарные слова (password);
- повторяющиеся буквы или цифры (55555 или aaaaa).
Как защитить привилегированные учетные записи?
Привилегированные учетные записи имеют доступ к конфиденциальным данным организации. Чтобы обеспечить безопасность конфиденциальных данных, организациям необходимо защитить привилегированные учетные записи от злоумышленников. Вот способы, с помощью которых организации могут защитить привилегированные учетные записи.
Реализуйте доступ с наименьшими привилегиями
Чтобы защитить привилегированные учетные записи, организациям необходимо реализовать доступ с наименьшими привилегиями. Принцип наименьших привилегий — это концепция кибербезопасности, когда пользователям предоставляется только минимальный доступ к информации и системам, необходимым для выполнения их работы. Доступ с наименьшими привилегиями ограничивает число пользователей, которые могут использовать привилегированные учетные записи, а также их привилегии.
Лучший способ реализовать доступ с наименьшими привилегиями — решение для управления привилегированным доступом (PAM). PAM — это контроль и защита учетных записей, имеющих разрешение на доступ к высококонфиденциальным данным и системам. С помощью решения PAM организации получают полное представление о всех сетях, приложениях, серверах и устройствах, а также контроль над ними. Оно помогает предотвратить неправомерное использование привилегированных учетных записей за счет внутрисистемных угроз и их компрометацию внешними злоумышленниками.
Защитите привилегированные учетные записи с помощью надежных паролей
Злоумышленники проводят атаки методом подбора, чтобы угадать данные для входа в привилегированные учетные записи и получить несанкционированный доступ. Чтобы этого не произошло, организациям необходимо защитить привилегированные учетные записи с помощью надежных и уникальных паролей. Благодаря уникальным паролям злоумышленникам сложнее скомпрометировать несколько привилегированных учетных записей. Надежные пароли к привилегированным учетным записям должны быть длинными и сложными, чтобы злоумышленники не смогли угадать их.
Пароли к привилегированным учетным записям должны быть уникальными и состоять из случайных комбинаций, включающих не менее 16 прописных и строчных букв, цифр и специальных символов. Они не должны содержать личной информации, цифр и букв, идущих по порядку, а также общеупотребительных словарных слов.
Лучший способ убедиться в том, что сотрудники используют надежные пароли, — менеджер паролей для бизнеса. Менеджер паролей для бизнеса — это инструмент, который позволяет вашей организации и сотрудникам отслеживать, хранить, передавать, защищать и контролировать все пароли. Пароли хранятся в цифровом зашифрованном хранилище, защищенном надежным мастер-паролем и многофакторной аутентификацией. Менеджеры паролей дают ИТ-администраторам полное представление о способах создания паролей сотрудниками, а также помогают генерировать надежные пароли.
Применяйте многофакторную аутентификацию
Многофакторная аутентификация — это протокол безопасности, который требует дополнительной аутентификации для получения доступа к учетной записи. Когда многофакторная аутентификация включена, пользователям необходимо предоставить учетные данные для входа в систему вместе с другой формой идентификации, чтобы получить доступ к привилегированной учетной записи. Многофакторная аутентификация дополнительно защищает привилегированные учетные записи, обеспечивая только авторизованный доступ. Даже если данные для входа в привилегированные учетные записи будут скомпрометированы, злоумышленники не смогут получить доступ к ним, поскольку они защищены многофакторной аутентификацией.
Проводите обучение по кибербезопасности
Чтобы защитить привилегированные учетные записи, организациям необходимо проводить обучение по кибербезопасности среди сотрудников. Обучая сотрудников, организации могут гарантировать, что привилегированные учетные записи не будут скомпрометированы. Сотрудникам нужно знать о кибератаках, таких как фишинг, чтобы распознать и избежать их. Они должны следовать рекомендациям по кибербезопасности, а именно: избегать нежелательных вложений или ссылок, хранить конфиденциальную информацию в зашифрованном месте и регулярно обновлять программное обеспечение.
Как Keeper® защищает привилегированные учетные записи?
Лучший способ защитить привилегированные учетные записи — решение PAM. Оно позволяет организациям уменьшить поверхность атаки и предотвратить горизонтальное перемещение внутри сети. PAM дает администраторам полный контроль над инфраструктурой данных и позволяет защищать привилегированные учетные записи с помощью надежных паролей и многофакторной аутентификации.
KeeperPAM™ — это решение для управления привилегированным доступом, которое защищено шифрованием с нулевым разглашением и системой безопасности с нулевым доверием. Это гарантирует, что доступ к вашим конфиденциальным данным будет только у вашей организации. KeeperPAM объединяет Keeper Enterprise Password Manager, Keeper Secrets Manager® и Keeper Connection Manager®, обеспечивая полный контроль над вашими данными.
Чтобы защитить привилегированные учетные записи, запросите демоверсию KeeperPAM.
