Банковское обозрение

Сфера финансовых интересов

02.03.2018 Аналитика
Самый SOC

О борьбе с инсайдерами в банках с помощью управления привилегированным доступом



Когда дело касается кибербезопасности, финансовые организации, как правило, быстро усваивают новые технологии, несмотря на то что многие из них все еще ограничены в действиях устаревшей инфраструктурой и приложениями. Компания IBM не так давно провела исследование, которое показало, что банки подвергаются взлому в среднем на 65% чаще, чем компании из любых других отраслей. В связи с постоянно растущим числом атак на банковскую инфраструктуру расследование инцидентов и быстрое, насколько это возможно, устранение последствий — серьезный вызов, с которым сталкиваются IT-отделы финансовых организаций.

Высокая вероятность атак на банки обу­словлена огромным количеством конфиденциальной информации, обладая которой, киберпреступники могут извлечь колоссальную прибыль. Финансовые организации, в свою очередь, должны соблюдать требования законодательства: отслеживать и регистрировать получение доступа к конфиденциальным данным, защищать финансовую информацию своих клиентов. Вот почему важно обеспечить защиту данных привилегированных аккаунтов пользователей, которые чаще всего становятся основной целью преступников.

Для международных финансовых организаций это серьезная задача, потому что они используют большие распределенные сети, управляемые сотнями системных администраторов. В таких условиях практически невозможно иметь достаточный штат сотрудников службы безопасности, чтобы контролировать абсолютно всех. Несмотря на то что доступ ко многим сервисам ограничивают паролями и распределением прав, хакеры могут проникнуть за периметр организации с помощью инструментов социальной инженерии — так сотрудники умышленно, а порой не зная об этом, становятся причиной утечки конфиденциальной информации. Это побуждает ИБ-специалистов обращать внимание на более продвинутые решения, которые позволят им отслеживать угрозы утечки внутренней информации и пользовательскую активность в режиме реального времени и быть в курсе того, что в настоящее время происходит в IT-системе.

Эффективная реакция на инцидент

Простой вопрос «Чьих рук это дело?» — один из самых важных, однако и один из самых сложных для ответа. Банки хотят определить причину инцидента и устранить его последствия настолько оперативно, насколько это возможно, для соблюдения требований законодательства. Зачастую это вовлекает отделы информационной безопасности в анализ тысяч строчек логов в процессе расследования, что весьма затратно с точки зрения времени и ресурсов. А когда инцидент включает в себя несанкционированный доступ к привилегированным аккаунтам, это превращается еще и в серьезное испытание.

Привилегированные пользователи, которые становятся инсайдерами, и хакеры, действующие извне, используя краденые данные учетных записей, могут легко скрыть следы совершенных ими изменений, скрытно удалить текстовые логи с серверов и следы своего присутствия, что значительно затрудняет выявление источника атаки. Это и есть одна из главных причин, по которым использование краденых привилегированных аккаунтов считается самым популярным методом взлома.

Высокая вероятность атак на банки обусловлена огромным количеством конфиденциальной информации, обладая которой, киберпреступники могут извлечь колоссальную прибыль

Как банки могут справиться с инцидентами, которые произошли по вине привилегированных аккаунтов

В первую очередь банки должны прописать правильные политики доступа, которые основаны на принципе наименьших привилегий. Это поможет на ранних стадиях определять потенциальные угрозы утечки инсайдерской информации.

Лучший способ ускорения реакции на происшествие — использовать решения по управлению привилегированным доступом (Privileged Access Management, или PAM). Они могут работать как точки централизованной аутентификации и контроля доступа к IT-среде, которые осуществляют контроль прав доступа, проверку и видеофиксацию действий пользователей для предупреждения взлома систем. А это, в свою очередь, ускоряет судебные расследования. Если увеличивать число ограничений и создавать дополнительную нагрузку для пользователей, то, вероятнее всего, вы столкнетесь с недовольством со стороны сотрудников и их попытками получения доступа самым легким способом, что создает брешь в периметре безопасности. Лучший выход — применить безагентную, незаметную технологию видеофиксации действий пользователей. Данные, собранные подобными мониторинговыми решениями, могут быть использованы для создания более детализированного профиля каждого привилегированного пользователя, который показывает базовое, то есть «нормальное» поведение. После чего при дальнейшем анализе действий привилегированных аккаунтов можно выявлять аномалии, сообщив об этом в службу безопасности, которая, в свою очередь, оперативно среагирует на потенциальную угрозу.

Преимущества безагентности и технологии прокси

Технология прозрачной видеофиксации действий пользователей работает по тому же принципу, что и веб-прокси. Когда браузер инициирует HTTP(S)-соединение с веб-сервером, веб-прокси начинает его контролировать, проверяет правила доступа, если данное соединение разрешено для пользователя, и инициирует новое соединение с сервером. Так клиент соединяется с прокси, прокси соединяется с сервером, но обе конечные точки думают, что соединены друг с другом напрямую. Решение по управлению привилегированными сессиями и мониторингу совершает аналогичные действия с основными поддерживаемыми протоколами удаленного администрирования. Технология действует как прокси между рабочей станцией привилегированного пользователя и защищаемым сервером. Переданные соединения и трафик проверяются на уровне приложения, отклоняя весь трафик, нарушающий протоколы. Это является эффективным инструментом, сдерживающим атаки.

Ослабление ограничений SIEM-систем при помощи инструментов PAM

SIEM-системы стали центральным элементом управления безопасностью компаний: они обрабатывают и сопоставляют преду­преждения, поступающие от различных систем мониторинга информационной безопасности. Однако инструменты SIEM могут быть ограничены в части выявления ранее не определенной угрозы, так как они полагаются только на текстовые системные логи и упускают контекстную информацию относительно действий привилегированных пользователей. Поскольку основная цель киберпреступников — взлом привилегированных аккаунтов, финансовые организации должны собирать комплексные данные по действиям привилегированных аккаунтов в приоритетном порядке, чтобы усовершенствовать процесс реагирования на происшествия.

Другая проблема заключается в том, что данные инструменты отслеживают только те угрозы, которые уже были обнаружены и попали под предварительно настроенные правила. Следовательно, если злоумышленник использует новый метод взлома, то SIEM-система будет не в состоянии обнаружить угрозу, поскольку не знает о ее существовании. Попытки привнести в SIEM как можно больше правил корреляций может привести к тому, что аналитика будет настолько перегружена предупреждениями системы безопасности, сгенерированными SIEM, что невозможно будет определить, какое именно предупреждение должно быть обработано в первую очередь. Даже если список предупреждений в итоге сократится и станет небольшим, время на принятие решения будет ограничено, поскольку вам еще предстоит понять, какое именно предупреждение ложное, а какое укажет на реальное происшествие.

Лучший способ ускорения реакции на происшествие — использовать решения по управлению привилегированным доступом

После взлома инструменты для управления привилегированными аккаунтами помогают повысить эффективность управления происшествием, добавляя источники информации, которые могут определить и проанализировать угрозы со стороны привилегированных пользователей. Оперативные расследования и быстрое, взвешенное принятие решений — испытание для компаний, оно требует анализа данных в режиме реального времени, чтобы пролить свет на подозрительное событие. В подобных ситуациях инструмент управления доступом может предоставить подбор предупреждений, основанных на рисках, быстрое их исследование и легко интерпретируемые доказательства. Кибератаки в сочетании с ужесточением требований регуляторов становятся новой реальностью для банков и финансовых организаций, банки должны быть лучше подготовлены при столкновении с проблемами для более быстрого их решения и устранения последствий. Без релевантных и достоверных записей данных индивидуальных пользовательских сессий этот процесс может затянуться на несколько лет.

Развертывая продвинутые решения по управлению привилегированным доступом, финансовые организации могут сравнивать и анализировать информацию о действиях привилегированных пользователей. Способность оперативно просмотреть и проанализировать записанные сессии работы сотрудников уменьшает стоимость и сроки расследований. Они также могут предоставлять быстро исследуемые, легко интерпретируемые записи об активности пользователей, чтобы аналитикам было легче найти основную причину утечки информации. В конце концов, PAM-инструменты могут предоставлять функционал быстрого возврата к первоначальному значению в специфических задачах — расследование инцидентов, связанных с привилегированными аккаунтами. Они могут быть органично интегрированы в SOC-среду, увеличивая эффективность процессов обеспечения безопасности.

Как происходит взлом привилегированного аккаунта

Обычно преступники воруют данные привилегированных аккаунтов, например системных администраторов, и действуют как легальные пользователи, чтобы получить потенциально безграничный доступ к конфиденциальной информации о клиентах и инфраструктуре, например к серверам или базам данных. Это позволяет красть данные в огромных масштабах, нарушать работу критически важной инфраструктуры и устанавливать зловреды для более длительного присутствия в системе или извлечения дополнительной прибыли от атаки. Так, атаки обычно могут разворачиваться в течение нескольких месяцев, что дает возможность нарушителям получить дополнительное время на разведку, расширение привилегий, а также сокрытие следов и кражу данных.



Читайте также

Сейчас на главной