Privilegizált fiókok: detektálj, menedzselj és védd minden körülmények között!

A privilegizált fiókok és a privilegizált hozzáférések kezelése ma már minden vállalkozás fókusz pontjai.

A Delinea számos aspektusból megvizsgálta már, hogy miért is kell különös figyelmet fordítanunk ezekre. A privilegizált fiókok és hozzáférések biztosítják, hogy az IT-csapat képes legyen a szervezet rendszereinek, infrastruktúrájának és szoftverének felügyeletére és kezelésére, valamint lehetővé teszik az alkalmazottak számára, hogy hozzáférjenek azokhoz az adatokhoz, amelyek biztosítják számukra a kritikus üzleti döntések meghozatalát.

 

A legtöbb vállalkozás nemcsak függ a privilegizált fiókoktól, de ezek által válik a legkönnyebben a kiberbűnözők célpontjává. Hogy miért is állnak ezek a hozzáférések a célkeresztben?

Egyrészt azért, mert lehetővé teszik a támadók számára, hogy könnyedén mozogjanak a hálózaton, hozzáférjenek a kritikus rendszerekhez és az érzékeny adatokhoz, másrészt a privilegizált fiókok mögött a támadók általában könnyebben és hosszabb ideig észrevétlenek maradnak, sőt akár el is rejthetik a nyomaikat. A cikkben ingyenes toolokat is ajánlunk.

 

Delinea alapozó – mik is a privilegizált accountok?

 

A privilegizált fiókok a szoftver- és hardverhálózataink kezelésének építőkövei. Meg kell különböztetni őket a tipikus felhasználói fiókoktól, amelyek emberi személyazonosságot képviselnek, mint például egy Active Directory felhasználói fiók, amelyhez jelszó tartozik a hozzáférés korlátozására. Emberi felhasználónként általában egyetlen fiók jelszót alkalmazunk. Az is gyakori, hogy egy osztály vagy egy csoport által használt, megosztott jogosultságú fiókokat használnak az alkalmazásokhoz vagy rendszerekhez való hozzáféréshez.

 

Egy privilegizált fiók lehet emberi vagy nem-emberi fiók, és nem feltétlenül képvisel emberi felhasználót. A privilegizált fiókok a megosztott jogosultságok magasabb szintjein alapuló, rendszergazdai vagy speciális szintű hozzáférést biztosítanak. A nem emberi, magas szintű privilegizált fiókok néhány típusa olyan alkalmazásfiók, amelyet speciális jogosultságokat igénylő szolgáltatások futtatására használnak. Sok esetben a felhasználói fiókok emelt szintű vagy rendszergazdai jogosultságokkal is rendelkezhetnek.

 

A privilegizált fiókok lehetővé teszik a rendszer- és szoftverkonfiguráció módosítását, a rendszergazdai feladatok elvégzését, a felhasználói fiókok létrehozását és módosítását, a szoftverek telepítését, az adatok biztonsági mentését, a biztonsági beállítások és patchek frissítését, az interaktív loginok engedélyezését, és természetesen a privilegizált adatokhoz való hozzáférést.  Mindezek a tevékenységek létfontosságúak az üzlet működésének biztosításához, a rendszerek és szoftverek működésének fenntartásához.

 

A privilegizált fiókok sokfélék lehetnek, bővítsük a látókörünket, ebben segít a Delinea

 

 

Tévedünk, ha azt hisszük, hogy a privilegizált fiókok minden esetben közvetlenül kapcsolódnak az alkalmazottak munkaköréhez.

 

A privilegizált fiókok jellemzően a vállalaton belüli munkavállalói szerepkörökre korlátozódnak, de néha a felhasználók fiókjaihoz a szerepkörüktől függetlenül is hozzárendelhetők. Ezért nagy hiba azt feltételeznünk, hogy a privilegizált fiókok kizárólag közvetlenül az alkalmazottak munkaköréhez rendelhetők, hiszen azokat számos különböző terület használhatja. Például IT-adminisztrátorok, biztonsági csapatok, helpdesk dolgozók, harmadik félként jelen lévő vállalkozók, alkalmazások tulajdonosai, adatbázis-adminisztrátorok, operációs rendszerek és szolgáltatások fiókjai, hogy csak néhányat említsünk.

 

A privilegizált fiókok a szervezet infrastruktúrájában a fizikai helytől függetlenül mindenhol megtalálhatók, beleértve a lokális, a felhős és a SaaS-alkalmazások eléréséhez használt fiókokat is. A privilegizált fiókok gyakori helyei a szervereken, végpontokon és operációs rendszerekben található alapértelmezett hitelesítő adatok. Megtalálhatók továbbá virtuális környezetekben, szoftverekben, cloudban, adatbázisokban, szolgáltatási fiókokban és a legtöbb alkalmazáson belül is. Ez nem teljeskörű, de így is hosszú felsorolás azt mutatja, hogy a privilegizált fiókok gyakorlatilag mindenhol megtalálhatók egy szervezeten belül. Az is gyakori jelenség, ami security szempontból az egyik legkevésbé szerencsés állapot, hogy egy szervezet akár ötször annyi privilegizált fiókkal rendelkezik, mint ahány rendszerrel.

 

A privilegizált fiókok száma egyre nő, a security pedig nem tudja lekövetni?

 

Sok szervezet küzd a kiberbiztonsági feladatok miatti túlterheltséggel - a jelszavak és hitelesítő adatok puszta mennyisége miatt, amelyeket az alkalmazottaknak fenn kell tartaniuk és megjegyezniük. Ez egy vállalati szintű komoly probléma, nemcsak az IT-csapatot érinti, hanem a biztonsági terültet is, valamint minden olyan alkalmazottat, akinek több rendszerhez és alkalmazáshoz kell hozzáférnie.

 

Egy dolog már régóta tiszta mindenki számára: az emberek nem túl jók az erős jelszavak kiválasztásában és biztonságos megőrzésében. A jelszavak kezelését nem bízhatjuk pusztán a felhasználókra. Az olyan megoldások, mint a Delinea jelszókezelő vagy a privilegizált hozzáférés-kezelő szoftverei nyújtanak security szempontból is megfelelő kiutat a hozzáférés és jelszó káoszból. Segítenek automatizálni a jogosultságok és jelszavak védelmét szolgáló számos biztonsági ellenőrzést.

 

A privilegizált hozzáférések biztonsági updatejének elmulasztása számos szervezet számára eredményzett már pénzügyi veszteséget. Erre rengeteg nemzetközi példa hozható az elmúlt évekből.

 

Mi baj történhet? A Delinea már számtalanszor rávilágított a privilegizált fiókok kompromittálódásának veszélyire...

 

A vállalkozásoknak a privilegizált hozzáférések naprakészen tartása kihívást jelent, különösen akkor, ha az alkalmazottak szerepköre megváltozik, vagy ha elhagyják a szervezetet. Mi történhet, ha nem megfelelő a privilegizált hozzáférések kezelése? Ha szívesen csemegéztek múltbeli elrettentő esetek között, akkor kattintsatok ide, mert egy korábbi írásunkban összeszedtünk néhány tanulságos „történetet” 2019-ből...

 

Már bevett szokás, hogy a kiberbűnözők kihasználják a rosszul védett privilegizált fiókokat. Az eredmény? Számos szervezet vált zsarolóvírus áldozatává, ami teljesen leállította az üzletmenetet és dollármilliókba került. A szolgáltatási fiókok azért is jelentenek kihívást, mert hagyományosan statikus jelszóval vannak beállítva, amely nem jár le és soha nem változik.

 

Ezért elengedhetetlen, hogy a privilegizált fiókok minden típusa kezelve, védve és biztosítva legyen. Vegyük hát sorra, hogy mi is számít privilegizált fióknak:

 

A Delinea (korábban Thycotic) néhány éve összeszedte a gyilkos hetest: A 7 védtelenül leghalálosabb privilegizált fiók

 

1. A „God mode”, azaz a domain admin fiókok

Úgy kell gondolnunk erre a típusú privilegizált fiókra, mint az "isten" fiókra, amely szinte mindent megtehet. Igen, a domain admin fiók teljeskörű hozzáféréssel rendelkezik az AD- hoz és annak irányításához.  Ez a csoport alapértelmezés szerint tagja a Rendszergazdák csoportnak minden tartományvezérlőn, minden tartományi munkaállomáson és minden tartományi tagkiszolgálón a tartományhoz való csatlakozáskor. Alapértelmezés szerint a Rendszergazda fiók tagja ennek a csoportnak. Mivel a domain admin teljes körű jogosultsággal rendelkezik a tartományban, mindig csak rendkívül óvatosan, teljes körű ellenőrzéssel és jóváhagyással adjunk hozzá ilyen felhasználókat.

 

Ezeket a fiókokat a lehető legnagyobb mértékben korlátozni kell; a hozzáférést és a használatot szigorúan "igény szerint" kell engedélyezni, további biztonsági ellenőrzésekkel a jogosulatlan használat megakadályozására.  Minden tevékenységet teljeskörűen auditálni és ellenőrizni kell. A támadók általában visszaélnek ezekkel a fiókokkal olyan technikákat használva, mint például a pass-the-hash, így ezek birtokában könnyen mozoghatnak a hálózaton.

 

2. A kihívást jelentő és félelmetes – domain service accountok

Ezek a fiókok több rendszert és alkalmazást hoznak össze, hogy azok kommunikálni tudjanak egymással, és hozzáférjenek a szükséges erőforrásokhoz, általában jelentések futtatásához, adatbázisokhoz való hozzáféréshez vagy API-k hívásához. Ezek a fiókok általában problémásak, különösen a jelszó megváltoztatásakor, ami szinte minden helyzetben megszakítja az alkalmazás(ok)at, amíg a fiókot nem szinkronizálják a környezetben. Ezek a kihívást jelentő és izzasztó pillanatok azt eredményezik, hogy a legtöbb szervezetnek van egy "ne nyúlj ahhoz a jelszóhoz" irányelve ezekre a fiókokra vonatkozóan, vagy részletes folyamatok vannak a kezelésükre vonatkozóan. A fiókokat jellemzően biztonsági mentési megoldásokhoz, analitikai megoldásokhoz, szoftverek telepítéséhez és a biztonsági javítások frissítéséhez használják. Nem mellesleg a kártékony behatolók egyik legkeresettebb hozzáférés-típusa.

 

3. Az elfelejtett lokális adminisztrátori fiókok

Néha elfelejtett privilegizált fióknak is nevezik - ez az, amelyet sok szervezet egyszerűen minden alkalmazottnak megad, és amelyet minden kiberbűnöző megcéloz, hogy bejusson az ajtón, lehetővé téve számukra, hogy felfedezzék és felmérjék a szervezet biztonságát és védelmét. Ezek a megosztott privilegizált fiókok a fő okozói annak, hogy az alkalmazottak túlzottan privilegizáltak.

 

Az alapértelmezett helyi rendszergazda fiók a rendszergazda felhasználói fiókja. Minden számítógépen van egy rendszergazdai fiók (SID S-1-5-domain-500, megjelenítési név: Administrator). A Rendszergazda fiók az első fiók, amely a telepítés során létrejön minden Windows Server operációs rendszer és a Windows kliens operációs rendszer esetében.

 

A Windows Server operációs rendszerek esetében a Rendszergazda fiók a felhasználó számára teljeskörű ellenőrzést biztosít a helyi kiszolgáló ellenőrzése alatt álló fájlok, könyvtárak, szolgáltatások és egyéb erőforrások felett. A Rendszergazda fiók helyi felhasználók létrehozására, valamint felhasználói jogok és hozzáférés-szabályozási engedélyek kiosztására használható. A Rendszergazda fiók arra is használható, hogy a felhasználói jogok és engedélyek egyszerű megváltoztatásával bármikor átvegye az irányítást a helyi erőforrások felett. Az alapértelmezett Rendszergazda fiók nem törölhető vagy zárolható, de átnevezhető vagy letiltható.

 

Valószínű, hogy vannak olyan kiváltságos fiókok a legtöbb cégben, amelyekről nem tud az sem, akinek kellene. A szervezet környezetének gyors átvizsgálása viszont menedzselhető a Delinea megfelelő Tool-jaival, hogy pontosan feltárhatóak legyenek a sebezhetőségek.

 

4. A segítség "vészhelyzeti accountok"

Ezek a hozzáférések általában alapértelmezetten le vannak tiltva, amíg egy kritikus incidens be nem következik, ekkor bizonyos felhasználóknak kiváltságos hozzáférésre van szükségük a rendszerek, szolgáltatások helyreállításához, vagy akár a biztonsági incidensekre való reagáláshoz. Ezeket csak vészhelyzetekben használják - általában "törd be az üveget" néven -, amikor a normál szolgáltatások nem állnak rendelkezésre. Például egy IT biztonsági incidens során ezeket a vészhelyzeti fiókokat a rendszerekhez való hozzáférésre használják a digitális törvényszéki vizsgálatok elvégzése és a naplóbizonyítékok szennyeződésének csökkentése érdekében. Arra is használhatók, hogy korlátozzák a kompromittált fiókok folyamatos visszaélését.

 

5. A rejtett és örökre szóló szolgáltatási accountok

A szolgáltatásfiókokat az operációs rendszerekben jellemzően alkalmazások futtatására vagy programok futtatására használják, vagy a rendszerfiókok (jelszó nélküli, magas privilégiumú fiókok), vagy egy adott felhasználói fiók keretében, amelyet általában kézzel vagy a szoftverek telepítése során hoznak létre. Unixon és Linuxon gyakran init vagy inetd néven ismertek, és programok indítására is alkalmasak. A szolgáltatásfiókok általában nem léphetnek be a rendszerekbe, azonban általában olyan jelszavakkal rendelkeznek, amelyek soha nem változnak, és ezek a fiókok nem járnak le. A fiókokkal gyakran visszaélnek a kiberbűnözők, akik megtalálják a módját, hogy feltörjék őket, így saját bináris programjaikat megnövelt jogosultságokkal futtathatják, lehetővé téve a támadó számára a távoli hozzáférést.

 

6. Az emelt jogosultságú alkalmazás accountok

Az alkalmazásfiókokat rutinszerűen használják annak biztosítására, hogy egy alkalmazás hozzáférjen a működéséhez szükséges erőforrásokhoz, például adatbázisokhoz, hálózathoz, automatizált feladatokhoz (például szoftverek telepítéséhez), automatikus frissítésekhez és a konfiguráció módosításának lehetőségéhez. Ezek a fiókok általában jelszavakat tárolnak a konfigurációs fájlokban, vagy néha helyi vagy szolgáltatási fiókokat használnak a szükséges hozzáférés megszerzéséhez. Az alkalmazásfiókokkal a kiberbűnözők könnyen visszaélhetnek az ismert sebezhetőségek használatával, amelyek lehetővé teszik számukra a távoli hozzáférést, a rendszer bináris programjainak módosítását, vagy a szabványos fiókok jogosultsági szintre emelését, hogy szabadon mozoghassanak a hálózaton. A legtöbb szervezet nem javítja megfelelően az alkalmazásokat, így a támadók túl gyakran visszaélhetnek ezekkel a sebezhetőségekkel.

 

7. A csendes, de halálos privilegizált adatfelhasználói fiókok

Ez valószínűleg a legveszélyesebb privilegizált hozzáférés mind közül.  Ez a fiók egy normál felhasználói fiók, de szenzitív, bizalmas adatokhoz van hozzáférése.  Gondoljunk csak az orvosra, aki hozzáfér a betegadatokhoz, vagy a könyvelőre, aki hozzáfér a pénzügyi kimutatásokhoz. Bár ezek a fiókok csak normál fiókok, mindennek az a kulcsa,hogy mihez férnek hozzá. A felhasználói fiókokat nem minden esetben úgy felügyelik vagy biztosítják, mint a privilegizált fiókokat, előfordul, hogy a security az alkalmazásra összpontosít, ahol az adatokat tárolják, de nem mindenre kiterjedő védelmet biztosít. A szervezeteknek adatra vonatkozó kockázatértékelést kell végezniük a privilegizált adatok felderítéséhez, és biztosítaniuk kell minden olyan normál fiókot, amely hozzáféréssel rendelkezik az érzékeny adatokhoz.

 

Ez a rövidnek nem mondható felsorolás, csak néhány a kiváltságos fiókok közül, amelyeket a szervezeteknek prioritásként kell kezelniük és biztosítaniuk, hogy csökkentsék a kompromittálhatóságot és a visszaélés kockázatát.

 

Még néhány kiváltságos account, csak felsorolás szinten: root accountok, biztonsági megoldások eléréséhez használt fiókok, Wi-Fi accountok, hardverfiókok, egyéb hálózati berendezések accountjai,stb.

 

Ha már elkönyveltük magunkban, hogy a felhasználó jelenti a legnagyobb biztonsági kockázatot és hallgatnánk a Delinea és a security expertek javaslatára, akkor érdemes végighallgatni és megszívlelni a korábbi security konferencián elhangzottakat is.

Összegezve a fenti információkat javasoljuk átgondolni, hogy pontosan hogyan érdemes hozzáfogni a privilegizált accountok feltérképezéséhez a saját szervezetünkeben. Ehhez a Delinea is számos, akár ingyenes tool-t nyújt.

Amennyiben a filter:max szakembereinek segítségét is igénybe vennétek ebben a témában, kérdeznétek, demo-znátok, akkor az alábbi gombra kattintva jelezzétek nekünk egy rövid üzenetben.