В этой статье мы поговорим о том, как бороться с злонамеренными действиями внутренних нарушителей, то есть лиц, имеющих право постоянного или разового доступа к информационной системе, или ее отдельным компонентам. Мы не будем подробно вдаваться в вопросы мотивации данных лиц, нас будет больше интересовать то, как обнаружить и нейтрализовать данные злонамеренные действия.

Итак, если вспомнить суровую теорию ИБ, то внутренние нарушители это прежде всего пользователи информационной системы, то есть те, кто имеет доступ к ресурсам ИТ систем на основании своих должностных обязанностей. У пользователей есть физический доступ на территорию организации или доступ по VPN, есть учетные записи в домене Active Directory и все необходимые права доступа. Внутренний пользователь может обладать необходимыми компетенциями для осуществления вредоносных действий.

Кроме внутренних пользователей нарушителями могут быть лица, привлекаемые для установки, наладки, монтажа, пусконаладочных и иных видов работ. эти лица также могут обладать необходимыми компетенциями. Примерами таких специалистов являются различные подрядчики, сторонние специалисты, привлекаемые по договору ГПХ или работники других офисов данной организации.  При этом доступы к ресурсам им могут предоставляться на время выполнения ими соответствующих работ.

И еще одна группа нарушителей это лица, обеспечивающие функционирование информационных систем или обслуживающие инфраструктуру организации. Эти специалисты могут и не обладать нужными компетенциями (уборщики, охранники и т. д.) и при этом у них как правило нет каких-либо прав в целевых ИТ системах организации.

Так или иначе, но все эти группы специалистов могут являться нарушителями, осуществлять какие-либо злонамеренные действия и нам необходимо быть готовыми к борьбе с этими действиями.

И сисадмин тоже...

В каждой, хоть сколько-нибудь серьезной сети должен быть системный администратор, то есть человек, обслуживающий сеть, компьютеры и серверы и решающий проблемы пользователей. Совершенно очевидно, что для того, чтобы выполнять все эти задачи данному специалисту требуются полные права на управление всеми ресурсами. То есть по сути, работоспособность всех ИТ ресурсов организации зависят от этого специалиста или группы специалистов. Между тем, возможны случаи, когда системные администраторы не совсем добросовестно относятся к своим обязанностям.

Тут можно привести множество примеров. Например, не совсем сознательный администратор может выгрузить к себе на носитель персональные данные клиентов и затем попытаться продать данные сведения в Даркнете.

Другой пример вредоносной активности, более распространенной за океаном. В одном небольшом американском городке сисадмина, отвечающего за работу систем управления ЖКХ, решили уволить. Обиженный специалист оставил в сети "логическую бомбу", которая по прошествии некоторого времени сменила пароли на все аккаунты систем управления. В результате был потерян доступ к системам жизнеобеспечения в этом городе.

Таким образом мы приходим к выводу, что за действиями админов тоже надо следить как минимум при работе с наиболее критичными системами.

Как можно навредить

Разобрав основные виды нарушителей, теперь посмотрим, как ущерб они могут нанести. Начнем с банального выноса информации. В силу своих должностных обязанностей многие сотрудники могут иметь доступ к персональным данным клиентов и партнеров компании. У нас периодически случаются утечки персональных данных, например утечки данных клиентов сотовых операторов или различных служб доставки.

Далее не слишком довольный жизнью сотрудник (или не слишком внимательный) может запустить вредоносный код с теми правами, которые у него есть. И здесь есть ряд моментов, на которые хотелось бы обратить внимание. Во-первых, даже если в вашей организации у пользователей нет прав локальных админов, а есть только обычный Domain User, то для многих видов вредоносов это не будет большой проблемой. Так многие трояны умеют прекрасно работать без административных прав.

Во-вторых, пользователь может запустить вредонос не специально, не имея злого умысла. Например, с помощью социальной инженерии наивного пользователя могут убедить злоумышленники в необходимости запуска того или иного файла. Классическая история – пользователю приходит письмо “о зарплате”, к которому приложен файл с запароленным архивом. Внутри файл Excel с макросами. В тексте письма говорится, что для просмотра сведений о зарплате необходимо ввести указанный пароль и в Excel включить макросы. Одолеваемый любопытством пользователь выполняет все эти действия и заражает свою машину вредоносом.  

Так что, не всегда внутренние нарушители преднамеренно запускают вредоносные файлы.

Еще одно довольно распространенное нарушение это отключение механизмов защиты на уровне своих полномочий. Здесь снова стоит отметить, что пользователь не всегда это делает из худших побуждений. Так пользователь может отключить «мешающий» антивирус, например, для того, чтобы установить какой-либо кряк.

Следующие два вида вредоносных активностей вряд ли получится осуществить без определенного умысла. Так процесс поднятия привилегий в той или иной степени предполагает эксплуатацию уязвимости либо в настройках ОС, либо в установленном ПО. А реализация атаки на  отказ в обслуживании это по определению эксплуатация вредоносного ПО.

Итак, мы разобрались с внутренними нарушителями и тем ущербом, который они могут нанести и  теперь самое время поговорить о том, с помощью каких средств мы можем защитить наши ресурсы от них.

Не PAM средства

Начнем с более стандартных средств защиты. В первую очередь это антивирус для защиты от вредоносного кода, запуска запрещенных приложений, контроля флешек и т.д. Для борьбы с проблемами, связанными с утечками данных традиционно используют решения DLP, но здесь уже возможны варианты, когда нарушитель  может посредством дополнительного ПО скрыть выносимые данные (запароленный архив, шифрованный контейнер, стеганография и т.д.). В таком случае нам могут потребоваться дополнительные средства для мониторинга выполняемых пользователями действий.

Угрозы отключения средств защиты конечно можно пытаться предотвращать с помощью механизмов, встроенных в эти средства. Так, например KES не позволяет выгрузить или деинсталлировать агента без ввода пароля (если это конечно настроено в политиках). Однако, если у пользователя есть права локального админа, есть неконтролируемый физический доступ к машине то он теоретически может отключить защитные механизмы, например, загрузившись диска или флешки.

Еще одним средством выявления подозрительных активностей являются EDR/UBA/UEBA и другие решения с различными маркетинговыми названиями, общий смысл которых сводится к мониторингу происходящего как на пользовательских узлах, так и в инфраструктуре в целом на предмет подозрительных активностей.

Собственно PAM

Еще одним средством защиты, которое может помочь безопасникам защититься от потенциально опасных действий как пользователей, так и администраторов и подрядчиков является использования решений класса Privileged Access Management.

Данный класс решений предназначен прежде всего для управления привилегированным пользователями по той причине, что именно эти пользователи (администраторы и подрядчики) могут нанести максимальный ущерб.

На чем основан принцип работы данных систем?  Данные системы встают посредником между пользователями (администраторами, подрядчиками и т.д.) и целевыми системами. То есть если пользователь подключается к RDP/SSH серверу, то сначала он устанавливает соединение с сервером PAM, который затем пробрасывает его далее к целевой системе по нужному протоколу.

По сути, PAM это единая точка входа и управления паролями привилегированных пользователей с возможностью прозрачной аутентификации на целевых устройствах (без необходимости ввода реквизитов доступа). То есть, пользователь может аутентифицироваться с помощью одного аккаунта и дальше ему не требуется знать, какие аккаунты заведены на целевых системах. Таким образом, мы можем снизить поверхность атаки.

Одна из основных функций PAM систем это мониторинг введённых команд для текстовых сессий, клавиатурного ввода, и запуска приложений. Результат такого мониторинга представляет собой видео файл, в который записывается весь сеанс пользователя. В случае использования SSH возможен анализ вводимых пользователем команд на наличие в черном списке. Для RDP также можно анализировать запускаемые окна с помощью анализа изображений (OCR).

PAM системы умеют работать с Active Directory и LDAP(s), а также взаимодействовать с брокером фермы RDP серверов Windows версии 2012 и выше. Имеется возможность интеграции с внешними системами посредством собственного API. При этом сам сервер PAM может быть представлен в виде Virtual Appliance или ПАК.

Основными игроками на российском рынке PAM решений можно назвать СКДПУ, Zecurion PAM, SafeInspect.

Не было не единого разрыва! ©

Важный момент, на который хотелось бы обратить внимание это сетевая топология при внедрении PAM систем. Внедряя данные решения в АСУ ТП я столкнулся с ситуацией, когда заказчик был категорически против установки PAM сервера в логический разрыв. То есть, когда пользователи никаким образом не могли подключиться к целевым системам в обход PAM сервера. В таком случае при отказе PAM сервера получалось, что без переконфигурирования списков доступа на FW пользователи никак не могли получить доступ к системам, что для промышленной сети, конечно, неприемлемо.

В качестве решения было предложено следующее: никаких ограничений на межсетевых экранах не вводилось, любой пользователь мог напрямую подключиться к целевой системе. НО, при подключении к любому из серверов в систему мониторинга SIEM приходит событие с информацией о том, с какого адреса (IP Source) было осуществлено подключение. Если это адрес сервера PAM, то подключение считается легальным, а если любой другой адрес источника, то создается инцидент, так как это подключение в обход. В таком случае PAM у нас не является точкой отказа и в случае его выхода из строя, доступ к целевым системам потерян не будет.

Заключение

В этой статье мы рассмотрели возможные проблемы с внутренними нарушителями и рассмотрели те решения, которые могут помочь в борьбе с данными проблемами.  

А завершить статью хочу приглашением на бесплатный вебинар, в рамках которого рассмотрим что такое пентест, как он проводится и из чего состоит, а также обсудим, какие задачи решает тестирование на проникновение и познакомимся с основными инструментами, которые используют при тестировании на проникновение.