Основи привілейованого доступу

Що таке Основи привілейованого доступу?

Привілейовані акаунти, адміністративні та root-облікові дані, що контролюють критичні системи Вашої організації, є ціллю номер один для зловмисників. Скомпрометований звичайний акаунт — це проблема. Скомпрометований адміністративний акаунт — це катастрофа. Ця вправа поміщає Вас у два контрастні сценарії, щоб показати чому. У першому Ви — системний адміністратор, якому потрібно виконати планове оновлення сервера. Замість входу з адміністративними обліковими даними напряму, Ви проходите робочий процес доступу just-in-time: запит підвищених привілеїв для конкретного завдання, з визначеним часовим вікном та автоматичним відкликанням після закінчення вікна. У другому сценарії Ви розслідуєте наслідки інциденту, де адміністратор використовував свій привілейований акаунт для повсякденних завдань, таких як перевірка пошти та перегляд внутрішніх вікі. Зловмисник отримав фішингом цей акаунт та негайно отримав ключі до всієї інфраструктури. Контраст між двома сценаріями робить урок конкретним. Ви також практикуєте безпечні звички привілейованого доступу: використання окремих адміністративних акаунтів для підвищеної роботи, ніколи не зберігати адмін-паролі в браузерах, увімкнення запису сесій для аудиторських слідів та розпізнавання, коли запит колеги на 'швидкий адмін-доступ' повинен пройти через належні канали затвердження.

Що ви дізнаєтесь у Основи привілейованого доступу

• Розрізняти стандартні та привілейовані акаунти та пояснювати, чому привілейовані облікові дані вимагають суворіших контролів та окремих патернів використання
• Використовувати робочі процеси доступу just-in-time для запиту обмежених за часом підвищених привілеїв для конкретних адміністративних завдань
• Визначати ризики використання привілейованих акаунтів для рутинних дій, таких як електронна пошта, перегляд вебсторінок та неадміністративна робота
• Застосовувати практики безпечного поводження з адміністративними обліковими даними, включаючи використання окремих акаунтів, заборону зберігання паролів у браузері та моніторинг сесій
• Оцінювати запити колег на привілейований доступ та направляти їх через належні канали затвердження та документування замість надання ad hoc доступу

Основи привілейованого доступу — Кроки навчання

1. Ласкаво просимо до Northgate Financial

   Доступ адміністратора означає, що ви можете читати, записувати та видаляти записи в усій клієнтській базі даних. Більшість співробітників мають доступ лише для читання до своїх власних клієнтських портфоліо. Ваш рівень доступу є потужним інструментом і має високу цінність.

2. Повідомлення про відповідність SOX

   Аліса отримує електронний лист від команди ІТ-безпеки про майбутній аудит відповідності SOX. Щоквартальні перевірки є звичайною справою у фірмі, що надає фінансові послуги, і тут немає нічого незвичайного.

3. Потрібна допомога колезі

   У Аліси гуде телефон. Повідомлення в Telegram від Маркуса Чена, колеги з аналітичної групи. Маркусу потрібен доступ до клієнтської бази даних для квартального звіту, але його доступ було скасовано під час нещодавньої зміни ролі. Він просить Алісу поділитися своїми обліковими даними адміністратора — тільки цього разу.

4. Обмін обліковими даними

   Маркус є надійним колегою з законним терміном. Аліса думає: 'Це лише на годину. Що найгірше, що може статися?' Вона ділиться своїми обліковими даними адміністратора через Telegram.

5. Хвилина для роздумів

   Аліса щойно поділилася своїми обліковими даними адміністратора з Маркусом через Telegram. Перш ніж продовжити, давайте подумаємо про те, що щойно сталося.

6. Порушення

   Минуло п’ять днів, як Аліса поділилася своїми обліковими даними. Терміновий електронний лист від CISO зупиняє її. Було виявлено масовий злом — викрадено 47 000 записів клієнтів і остаточно видалено всю заархівовану таблицю бази даних. Атаку було простежено за обліковими даними адміністратора Аліси, які були зібрані шкідливим програмним забезпеченням для крадіжки інформації з робочої станції Маркуса.

7. Розслідування порушення

   Аліса переходить до інформаційної панелі розслідування порушень. Масштаби шкоди нищівні - і все це сходить до одного спільного набору облікових даних адміністратора.

8. Як один спільний пароль став зломом

   Ланцюжок атак показує, як саме спільні облікові дані Аліси потрапили від повідомлення Telegram до катастрофічного зриву даних – жодний зловмисник не зв’язався з Алісою безпосередньо.

9. Неконтрольоване підвищення привілеїв

   Це порівняння показує основну небезпеку спільного використання облікових даних. Коли Аліса надала свій логін адміністратора, вона обійшла всі засоби контролю доступу, які були в організації. Маркус – і відповідно кожен, хто зламав машину Маркуса – отримав необмежений доступ адміністратора без обмежень за часом, без обмежень обсягу та без аудиту.

10. Радіус вибуху - Чому рівень привілеїв важливий

    Ті самі спільні облікові дані. Та сама шкідлива програма. Але шкода була б зовсім іншою, якби Аліса мала стандартний доступ користувача замість привілеїв адміністратора. Ось чому організації впроваджують принцип найменших привілеїв — мінімізації радіусу вибуху, коли щось йде не так.