Благодаря нашумевшему скандалу между компаниями Target и Ashley Madison, участились случаи, когда мы становимся свидетелями того, как сотрудничество со сторонними поставщиками услуг может принести вред “эластичной” среде — где устройства, услуги и приложения регулярно работают в интенсивном режиме, тем самым, предоставляя хакерам возможность проникать в сети предприятий. Вот пятерка распространенных угроз связанных с работой “чужих” поставщиков:
Угроза № 1 — Общие доступы. Это одна из самых опасных практик аутентификации, с которой, мы сталкиваемся в крупных организациях. Представьте себе уникальную услугу, которой не пользуются очень часто, но при этом требующую некоторых форм аутентификации учетных основ. Со временем, пользователи этого сервиса меняются, и для удобства используют одну учетную запись которую часто используют в будущем. Услуга в настоящее время доступна в разных местах, с разных устройств, и для разных целей. Это позволяет одному неграмотному пользователю (заполняя учетную запись на свой выбор) подвергнуть риску, эту службу и любую следующую, пользователей этого сервиса.
Общие организационные услуги, от баз данных до протоколов связи, могут стать главной мишенью, для стремящегося расширить его досягаемости и получить улучшенный доступ вдоль целевой сети, вредоносного пользователя. Непрерывный мониторинг поведения пользователей позволяет системным администраторам предотвратить такого рода злоупотребления услуг, путем применения индивидуального протокола аутентификации карты и сопоставления всех аномальных событий доступа пользователей. Будут ли общие учетные записи являться обычным явлением в вашей сети или нет, идентифицирующий в режиме, близком к реальному времени может стать одним признаком компромисса в Вашей корпоративной сети.
Угроза № 2 — Неравномерный доступ. Компании которые сотрудничают с партнерскими компаниями, должны понимать, что они совершают долгие и серьезные отношения. Управление и мониторинг доверенных аутсайдеров может привести к трудностям, при которых пытаются решить, был ли скомпрометирован аккаунт или нет. Непостоянные и частые изменения учетной записи и использования ресурсов в сочетании с незнанием ИТ-политики и правил, приводит к резкому скачку количества предупреждений и сигналов тревоги от направленных атак.
Доверие компании-партнера или важного содержания в сервисном центре должно начаться с полного усвоения потенциального использования конечного пользователя в компании. Это способствует совместному тренингу сотрудников, и плотно контролируя списки основных пользователей и предопределенные примеры использования. Все это поможет гарантировать, когда в нарушении учетных записей становятся подозреваемым в не целевом использовании, ваш собственный SOC будет использовать все возможности, чтобы понять и исправить проблему.
Угроза № 3 — Совместное Облако. Многие компании делают свои первые шаги развивая облачные решения на основе безопасности. В то время как регулирование использования облачных приложений получило наибольшее внимание, мы видим более сложные отношения, образующие между нашими традиционными средами и новостроек облака, образуя другие пространства. Заглядывая вперед, мы рекомендуем принятия протоколов аутентификации и меры, которые совершают более мелкозернистый контроль над этой развивающейся поверхностью атак. Понимание этой уязвимости, позволяет доверять посторонним доступ к сети, эти поверхности требуют уникального внимание от SOC.
Угроза № 4 — Общедоступное Интернет воздействие. Устройство которое подключено к сети Интернет и предоставляет удаленный доступ третей стороне ценит желанное время внешнего атакующего. Используя социальную инженерию и другие мошеннические методы, злоумышленник может получить доступ к Вашему общему сетевому компьютеру и разработать свой путь через сеть основанной на данном оборудовании.
Использование безопасных протоколов удаленного подключения и применения дополнительных параметров мониторинга данных рабочих мест, предотвратит возможность внешнего использования, несанкционированного доступа, и может предоставить ценную информацию, если посторонний пытается построить крепость внутри вашей территории.
Угроза № 5 — Близость к привилегиям. Привилегированную учетную запись обеспечивают оба мошенника, как внутренние так и посторонние вредоносные доступы на уровне, они нуждаются в надежных подходах индивидуальных ресурсов или имениях их собственных доступ — уровней. Именно поэтому привилегированные учетные записи должны храниться скрытно и от общих рабочих станций доступа, как те, которые предусмотрены для доверенных аутсайдеров.
Хотя это не всегда возможно из-за того, что большинство доступов уделяется посторонним лицам, которые приобретают услугу или навык, который требует какой-то повышенной привилегии, мы советуем формировать лидеров конкретных групп доступа к этим устройствам, чтобы обеспечить, так же, доменного — контроллера правилам, другие агенты могут помочь в выявлении аномалий в режиме реального времени.
