Журнал "Information Security/ Информационная безопасность" #1, 2023

Во многих случаях сливы информации происходят через привилегированные аккаунты в информацион- ных системах предприятий- жертв. В России утечки дан- ных стали привычным явлением. Зафиксирова- ны случаи кражи данных из Сбербанка, Альфа- банка, Билайна, РЖД и других крупных компа- ний 2 , но наиболее извест- ным стал инцидент с сер- висом "Яндекс.Еда" 3 , а совсем недавно пострадали пользовате- ли Почты России 4 . Компании крайне неохотно сообщают под- робности таких про- исшествий, чаще всего объясняя их хакерскими атаками. Но наш опыт говорит о том, что во многих случаях сливы информации происхо- дят через привилегиро- ванные аккаунты в информа- ционных системах предприя- тий-жертв. Такие учетные запи- си становятся желанной целью киберпреступников. Контроль за аккаунтом, права которого в системе почти не ограничены, позволяет получить доступ к конфиденциальным данным десятков тысяч пользо- вателей, конфиденциальной информации компаний и настройкам информационных систем. Проникнув внутрь охра- няемого периметра, преступники могут месяцами никак не выда- вать своего присутствия, выби- рая наиболее подходящее время для развития атаки. Привилегированные пользователи и риски безопасности Привилегированные пользо- ватели есть в любой корпора- тивной инфраструктуре, к ним относятся системные и сетевые администраторы, администра- торы баз данных, внешние раз- работчики (если они привле- каются для развития и под- держки систем) и даже подряд- чики, которым делегируются расширенные права для управ- ления приложением или базой данных. Все обладатели подобных аккаунтов получают практиче- ски безграничные возможности: в их распоряжении оказываются данные и настройки систем. Без специализированных средств управления привилегированные пользователи могут действо- вать бесконтрольно. Рисков, связанных с присут- ствием в инфраструктуре при- вилегированных пользователей, очень много, но существует два основных сценария, по которым развиваются негативные собы- тия. В первом варианте злоумыш- ленники получают доступ к привилегированному аккаун- ту – они активно охотятся за данными таких учетных запи- сей. По сути, хакеры получают "ключ" ко всем дверям в орга- низации, а целевая атака ста- новится вопросом времени. Пара "логин-пароль" может быть использована непосред- ственно взломщиками или выставлена на продажу в Дарк- нете. В любом случае приви- легированный аккаунт стано- вится скомпрометированным и является серьезной брешью в корпоративной защите. Пред- отвращение атаки возможно, если утечка данных аккаунта будет обнаружена. Во втором сценарии приви- легированный пользователь сам, вольно или невольно, ста- новится злоумышленником, такие случаи широко известны. Последствием превращения рядового сотрудника компании в киберпреступника может стать намеренное вмешатель- ство в работу корпоративных систем, а также кража дан- ных – достаточно вспомнить о многочисленных утечках, зафиксированных различными сервисами. Системы управления привилегированным доступом Для преодоления проблем контроля за использованием привилегированных аккаунтов существуют специализирован- ные инструменты, такие как РАМ-системы (Privilege Access Management). Они позволяют предотвратить массовые утечки данных и конфиденциальных документов, а также контроли- ровать использование паролей в организации, позволяя сэко- 16 • СПЕЦПРОЕКТ Контроль над правами: как управлять привилегированными учетными записями кандал 2016 г. вокруг президентских выборов в США до сих пор вспоминают многие СМИ. Во влиянии на их результат обвиняли не только иностранные государства и хакерские группировки, но и социальные сети. Особенно отличилась компания Cambridge Analytica, которая использовала собранные личные данные пользователей одной из популяр- ных социальных сетей, чтобы демонстрировать им релевантную политическую рекламу 1 . С Любовь Ермилова, менеджер по продукту, компания MONT Антон Грязнов, технический эксперт по PAM-системам, компания MONT 1 https://www.nytimes.com/2018/03/17/us/politics/cambridge-analytica-trump-campaign.html 2 https://www.anti-malware.ru/analytics/Threats_Analysis/Top-10-data-leakage-in-Russia%23part22 3 https://www.interfax-russia.ru/moscow/news/kompaniya-yandeks-eda-priznana-poterpevshey-po-delu-ob-utechke-dannyh-klientov 4 https://xakep.ru/2022/07/30/pochta-leak/