Contact us in messengers or by phone.

whatsapp telegram viber phone email
+79214188555

Why dangerous privileged users

НСК-СБ

Staff member
Private access level
Full members of NP "MOD"
Joined
Jul 14, 2011
Messages
3,170
Reaction score
2,158
Points
613
Location
Новосибирск
Why dangerous privileged users
May 4, 2018

Financial and personal data of companies and their customers cost a lot of money. Therefore, they are a tidbit for attackers. Significant resources are spent to protect themselves from them, however, the organization’s employees themselves pose a much greater and real danger.

Insider threats are difficult to eliminate and even harder to detect. Therefore, companies have no choice but to prevent the threat from their employees. Especially those who work daily with “sensitive” information and system configuration files.

And of course, the most dangerous insiders are employees who own privileged accounts. Such accounts not only give them legitimate access to “sensitive” information, but also provide complete control over the system, which creates optimal conditions for malicious acts.

Despite significant investments in cybersecurity, far from all organizations spend the necessary money to solve this problem and allocate specialists. At the same time, monitoring and access control for privileged users is the most necessary component of any reliable information security system. And in order for the process to work correctly, many companies need to change their approach, according to which the situation is paid attention only after "everything has already happened." You need to start earlier by actively introducing modern methods and solutions now.

An American technical specialist and special agent, Edward Snowden, in early June 2013 handed the NSA secret information to The Guardian and The Washington Post newspapers. While working as a system administrator at the NSA in Hawaii, Snowden convinced 20 to 25 colleagues to provide him with their usernames and passwords, explaining that he needed it to work. According to a Pentagon report, Snowden stole 1.7 million secret files.

WHAT IS A PREFERRED ACCOUNT

To understand how to control privileged users, you need to know what a privileged account is and how to identify it. The term itself is used to describe any account that provides unlimited access to the system, change its settings, view secret data, etc.

The company must identify each privileged account used. The easiest way to classify privileged accounts is by the area that they allow you to control:

● Domains - types of privileged accounts that provide access to all workstations and servers in a specific domain. Accounts of this type provide the highest level of control over the system, for example, the ability to manage each system and manage administrator accounts for each system in the domain.

● Local — privileged account types that provide administrative access to a single server or workstation. They provide complete control over the system and are often used by IT professionals to perform system maintenance.

● Application accounts — privileged account types that provide administrative access to applications. They can be used to access and manage databases, perform configuration and maintenance. These accounts provide control over all data within the application and can be easily used to steal confidential information.

Privileged accounts can be created to achieve the following goals:

● Personal — Accounts that provide administrative privileges to one specific employee. These accounts are often created for managers or database operators who work with confidential information, such as financial or personnel data.

● Administrative - These are standard administrative accounts created automatically for each system. They are usually handled by IT or security personnel.

● Service - These accounts are designed to allow applications to communicate over the network in a more secure manner.

● Emergency - these accounts are used in case of problems requiring increased access.

Typical users of privileged accounts are system administrators, network engineers, database administrators, data center operators, top management, security personnel, etc. They directly work with critical data and infrastructure and usually enjoy a high level of trust from the company. However, this level of access and trust is exactly what makes them potentially dangerous for the company.

System administrator Michael Thomas in December 2011 deleted “backups”, a network notification system, disabled access to VPNs, erased internal wiki pages and clickmotive external technical support contacts. After these manipulations, he left the keys in the office, a laptop, a “badge” with a letter of resignation and left. Although the court found him guilty of “intentional sabotage without permission on a secure computer,” the lawyer said in the trial that his client was authorized - this was dictated by his labor responsibilities. All sysadmins regularly perform actions on setting up corporate mail, a VPN network, deleting "backups".

WHAT IS THE DANGER

The increased access level allows such users to perform a wide variety of malicious actions - from misuse of data to complete destruction of the system. They can steal any confidential and financial information of the company and the client - sell it or simply put it on the Internet. Privileged accounts can also be used to modify or delete data, which opens up opportunities for fraud. Users with a high degree of access can use such accounts to install backdoor or exploits, which gives them full access to the system. Disloyal employees can even break the entire system by changing critical parameter settings.

However, what makes privileged accounts dangerous is not even the degree of access, but rather how easy it is for their owners to take malicious actions and how difficult it is to detect them.

Thanks to legitimate access to sensitive data and system settings, malicious actions by privileged users are often indistinguishable from everyday activities. They can easily cover their tracks, and even if they are caught, they can simply say that they made a mistake. Thus, criminal acts can remain undetected for a very long time, which will only increase losses.

It is also worth noting that malicious behavior is not the only danger that such accounts pose. With extended access levels, errors and unintentional actions become just as costly for a company as intentional attacks. Simply emailing confidential data to the wrong person can result in millions of losses.

Another big issue is the security of such accounts. If criminals manage to get a privileged account, they will gain access to the entire system.

At the end of 2014, a representative of Sony Pictures Entertainment said that an anonymous cyber group, the Guardians of Peace, had direct access to the company's network. According to investigators, the attack was carried out using a stolen system administrator account. A privileged login and password provided unlimited access to employee records, unreleased films, intellectual property, electronic messages and other confidential data.

HOW TO REQUEST

Privileged users are a unique security issue that most tools cannot handle in practice.

Ultimately, effective security in this situation boils down to effective user management, control and monitoring. Use reliable people and the right control tools.

● Ensure that all privileged users in your organization are aware that there are no users with an unnecessarily high privilege level. It is necessary to regulate the procedures for creating and closing such accounts.

● Monitor who, when and for what purpose had access to a privileged account. Password management, various forms of multi-level authentication and access control are excellent ways to manage privileged access, which allows you to carefully protect privileged accounts from unauthorized access and accurately identify everyone who uses such accounts.

● Recording user actions is the best way to prevent insider threats and an effective detection tool in case an insider attack has occurred. Professional DLP solutions for user monitoring, such as our SecureTower development, are able to provide the necessary transparency of each privileged session, as well as immediately respond to any incidents.

In 2017, Falcongaze conducted a survey among users of its SecureTower product. It followed that 80% had prevented leaks of information of commercial value; and 11% indicated that attempts to extract such data were made more than 10 times.
All insider threats, whether connected or not with privileged users, require a complex multi-level approach to effectively solve these problems. This is the only way to protect company confidential data from all sides and enhance information security.

Source: Privileged user control. Why are they dangerous? - Falcongaze
 
Original message
Чем опасны привилегированные пользователи
4 Мая, 2018

Финансовые и персональные данные компаний и их клиентов стоят больших денег. Поэтому они представляют лакомый кусок для злоумышленников. Чтобы защититься от них тратятся значительные ресурсы, однако гораздо большую и реальную опасность представляют сами сотрудники организации.

Инсайдерские угрозы сложно устранить, и еще труднее обнаружить. Поэтому у компаний не остается другого выбора, как упредить угрозу со стороны своих работников. Особенно тех, кто ежедневно работает с «чувствительной» информацией и файлами конфигурации системы.

И естественно, что наиболее опасными инсайдерами становятся сотрудники, которые владеют привилегированными учетными записями. Такие учетные записи не только дают им законный доступ к “чувствительной” информации, но и предоставляют полный контроль над системой, что создает оптимальные условия для совершения вредоносных действий.

Несмотря на значительные инвестиции в кибербезопасность, далеко не все организации тратят на решение этой проблемы необходимые деньги и выделяют специалистов. В то же время мониторинг и контроль доступа привилегированных пользователей – самая необходимая составляющая любой надежной системы информационной безопасности. И для того, чтобы процесс происходил правильно, многим компаниям необходимо изменить свой подход, согласно которому на ситуацию обращают внимание только после того как «все уже случилось». Начинать нужно раньше, активно внедряя современные методы и решения уже сейчас.

Американский технический специалист и спецагент, Эдвард Сноуден в начале июня 2013 года передал газетам The Guardian и The Washington Post секретную информацию АНБ. Во время работы системным администратором на базе АНБ на Гавайях Сноуден убедил от 20 до 25 коллег предоставить ему свои логины и пароли, пояснив, что это необходимо ему для работы. По данным доклада Пентагона, Сноуден похитил 1,7 млн секретных файлов.

ЧТО ТАКОЕ ПРИВИЛЕГИРОВАННАЯ УЧЕТНАЯ ЗАПИСЬ

Чтобы понять, как контролировать привилегированных пользователей, необходимо знать, что такое привилегированная учетная запись и как ее идентифицировать. Сам термин используется для описания любой учетной записи, предоставляющей неограниченный доступ к системе, изменению ее параметров, просмотру секретных данных и т. д.

В компании необходимо идентифицировать каждый используемый привилегированный аккаунт. Самый простой способ классификации привилегированных учетных записей – по области, которую они позволяют контролировать:

● Доменные - типы привилегированных учетных записей, предоставляющие доступ ко всем рабочим станциям и серверам в определенном домене. Учетные записи этого типа обеспечивают наивысший уровень контроля над системой, например, возможность управлять каждой системой и управлять учетными записями администратора для каждой системы в домене.

● Локальные - типы привилегированных учетных записей предоставляющие административный доступ к одному серверу или рабочей станции. Они обеспечивают полный контроль над системой и часто используются ИТ-специалистами для проведения технического обслуживания системы.

● Учетные записи приложений - типы привилегированных учетных записей предоставляющие административный доступ к приложениям. Они могут использоваться для доступа и управления базами данных, выполнения настройки и обслуживания. Эти учетные записи обеспечивают контроль над всеми данными внутри приложения и могут быть легко использованы для кражи конфиденциальной информации.

Привилегированные учетные записи могут создаваться для достижения следующих целей:

● Личные - учетные записи, предоставляющие административные привилегии одному конкретному сотруднику. Эти учетные записи часто создаются для менеджеров или операторов баз данных, которые работают с конфиденциальной информацией, такой как финансовые или кадровые данные.

● Административные - это стандартные административные учетные записи, созданные автоматически для каждой системы. Обычно они обрабатываются ИТ-специалистами или сотрудниками службы безопасности.

● Служебные - эти учетные записи созданы, чтобы приложения могли взаимодействовать через сеть более безопасным образом.

● Аварийные - эти учетные записи используются на случай возникновения проблем, требующих повышения уровня доступа.

Типичными пользователями привилегированных учетных записей являются системные администраторы, сетевые инженеры, администраторы баз данных, операторы центров обработки данных, высшее руководство, сотрудники службы безопасности и т. д. Они непосредственно работают с критическими данными и инфраструктурой и обычно пользуются высоким уровнем доверия со стороны компании. Однако этот уровень доступа и доверия является именно тем, что делает их потенциально опасными для компании.

Cистемный администратор Майкл Томас в декабре 2011 года удалил «бэкапы», систему уведомления о проблемах сети, отключил доступ к VPN, стер внутренние wiki-страницы и контакты внешней техподдержки компании ClickMotive. После этих манипуляций он оставил в офисе ключи, ноутбук, «бэйдж» с заявлением на увольнение и ушел. И хотя суд признал его виновным в «умышленном вредительстве без разрешения на защищенном компьютере», в судебном процессе адвокат заявлял, что его подзащитный был авторизован — это продиктовано его трудовыми обязанностями. Действия по настройке корпоративной почты, VPN-сети, удаление «бэкапов» все сисадмины выполняют регулярно.

В ЧЕМ ОПАСНОСТЬ

Повышенный уровень доступа позволяет таким пользователям выполнять самые разнообразные вредоносные действия - от неправильного использования данных до полного разрушения системы. Они могут украсть любую конфиденциальную и финансовую информацию компании и клиента – продать ее или просто выложить в Интернет. Привилегированные учетные записи также могут использоваться для изменения или удаления данных, что открывает возможности для мошенничества. Пользователи с высокой степенью доступа могут использовать такие учетные записи для установки backdoor или эксплойтов, что дает им полный доступ к системе. Нелояльные сотрудники могут даже сломать всю систему, изменив критические настойки параметров.

Однако то, что делает привилегированные учетные записи опасными, - это даже не степень доступа, а скорее то, как легко их владельцам совершить вредоносные действия и как трудно их обнаружить.

Благодаря легитимному доступу к конфиденциальным данным и системным настройкам вредоносные действия привилегированных пользователей часто неотличимы от повседневной деятельности. Они легко могут заметать свои следы, и даже если их поймают, то могут просто заявить, что допустили ошибку. Таким образом, преступные действия могут оставаться необнаруженными в течение очень долгого времени, что только увеличит убытки.

Также стоит отметить, что вредоносное поведение - не единственная опасность, которую представляют такие учетных записях. С расширенным уровня доступа ошибки и непреднамеренные действия становятся столь же дорогостоящими для компании, как и преднамеренные атаки. Простая отправка по электронной почте конфиденциальных данных не тому человеку может привести к миллионам убытков.

Еще одна большая проблема - безопасность таких учетных записей. Если преступникам удастся заполучить привилегированную учетную запись, они получат доступ ко всей системе.

В конце 2014 года представитель Sony Pictures Entertainment заявил, что анонимная кибер-группировка Guardians of Peace (Защитники Мира) получила прямой доступ к сети компании. По словам следователей, атака была выполнена с помощью украденной учетной записи системного администратора. Привилегированные логин и пароль предоставили неограниченный доступ к записям сотрудников, невыпущенным фильмам, интеллектуальной собственности, электронным сообщениям и другим конфиденциальным данным.

КАК СПРАВИТЬСЯ

Привилегированные пользователи представляют собой уникальную проблему для безопасности, с которой большинство инструментов на практике не могут справиться.

В конечном счете, эффективная безопасность в этой ситуации сводится к эффективному управлению пользователями, контролю и мониторингу. Необходимо использовать надежных людей и правильные инструменты контроля.

● Убедиться, что все привилегированные пользователи в организации учтены, что отсутствуют пользователи с излишне высоким уровнем привилегий. Необходимо регламентировать процедуры создания и закрытия таких учетных записей.

● Контролировать кто, когда и с какой целью имел доступ к привилегированной учетной записи. Управление паролями, различные формы многоуровневой аутентификации и контроля доступа - отличные способы управления привилегированным доступом, которые позволяют тщательно защищать привилегированные учетные записи от несанкционированного доступа и точно определять всех, кто использует такие учетные записи.

● Записывать действий пользователя - лучший способ предотвратить инсайдерские угрозы и эффективный инструмент обнаружения в случае, если инсайдерская атака произошла. Профессиональные DLP решения для мониторинга пользователей, такие как наша разработка SecureTower, способны обеспечить необходимую прозрачность каждого привилегированного сеанса, а также незамедлительно среагировать на любые инциденты.

В 2017 г. компания Falcongaze провела опрос среди пользователей своего продукта SecureTower. Из него следовало, что у 80% были предотвращены утечки информации, предоставляющий коммерческую ценность; а 11% указали, что попытки извлечь подобные данные совершались более 10 раз.
Все инсайдерские угрозы, как связанные, так и нет с привилегированными пользователями, требуют сложного многоуровневого подхода для эффективного решения этих проблем. Только таким образом можно со всех сторон защитить конфиденциальные данные компании и усилить информационную безопасность.

Источник: Контроль привилегированных пользователей. Чем они опасны? - Falcongaze