Apple Facebook Google Microsoft badania bezpieczeństwo patronat DI prawa autorskie serwisy społecznościowe smartfony

Na czym polega analiza zachowań użytkownika uprzywilejowanego?

Marta Bujakiewicz 28-04-2017, 10:39

Elementem wspólnym dla większości najbardziej skomplikowanych cyberataków jest zdobycie przez atakującego danych uwierzytelniających do kont użytkowników uprzywilejowanych. Potwierdzają to wyniki ankiety przeprowadzonej podczas Thycotic’s Black Hat 2015, w której aż 45% hakerów wskazało konta uprzywilejowane jako ich „ulubiony” cel.

Kluczową częścią zarządzania bezpiecznym środowiskiem IT jest odpowiednie przechowywanie poświadczeń kont uprzywilejowanych i zabezpieczanie dostępu do systemów, z których korzystają użytkownicy uprzywilejowani.

Jest to niezwykle istotne, ponieważ uprzywilejowanymi użytkownikami są m.in. administratorzy sieci czy specjaliści zajmujący się bezpieczeństwem IT z uprawnieniami do wprowadzania zmian w całym środowisku IT firmy oraz z dostępem do poufnych informacji firmy, m.in.: danych personalnych pracowników, szczegółów wynagrodzeń czy danych finansowych.

Rozwiązania przeznaczone do zarządzania tymi użytkownikami, takie jak PIM (Privileged Identity Management – zarządzanie uprzywilejowanymi tożsamościami) czy PAM (Privileged Access Management – zarządzanie uprzywilejowanym dostępem) zasadniczo bazują na systemie zarządzania hasłami. Mogą one wprawdzie ograniczyć dostęp do sieci, ale nie uchronią organizacji przed niewłaściwym wykorzystaniem czy nadużyciem uprzywilejowanych kont.

 

SYSTEM ZARZĄDZANIA HASŁAMI NIE WYSTARCZY

W momencie logowania się użytkownika do systemu, jedynym sposobem odróżnienia przyjaciela od wroga jest pojedyncze uwierzytelnienie – czy to za pomocą hasła, uwierzytelnienia wieloczynnikowego, czy systemu zarządzania hasłami. Podstawowym problemem takiego rozwiązania jest to, że uwierzytelnienie odbywa się tylko razy na początku sesji.

Po wykonaniu autoryzacji, użytkownik konta uprzywilejowanego – lub atakujący – może zrobić cokolwiek. Jeśli atakujący dostał się do systemu, wykorzystując np. metodę tzw. phishingu, może przejąć kontrolę nad komputerem danego użytkownika, pozyskać hasła zapisane w pamięci podręcznej oraz zdobyć dostęp do interesujących go poświadczeń. Może także przemieszczać się z jednego urządzenia na drugie w poszukiwaniu uprzywilejowanego użytkownika.

W takiej sytuacji niewiele można zrobić, by przeszkodzić atakującym w kradzieży wrażliwych danych, tym bardziej że organizacje w momencie „rozpoznawania terenu” przez atakującego często nawet nie wiedzą, że do ich środowiska IT dostał się intruz.

 

CYFROWE ŚLADY UŻYTKOWNIKA UPRZYWILEJOWANEGO 

Uprzywilejowani użytkownicy korzystając z infrastruktury firmy zostawiają w całym systemie ślady swojej obecności. Ich działania pojawiają się w rejestrach zdarzeń, ścieżkach audytu i w wielu innych miejscach. Te ślady stanowią ogromną ilość cennych danych, które narzędzia PUBA (Privileged User Behavior Analytics), analizujące zachowanie użytkowników uprzywilejowanych, wykorzystują do budowania profili behawioralnych użytkownika.

Każdy uprzywilejowany użytkownik ma niepowtarzalny wzór zachowania, np. loguje się do systemu o stałych porach dnia i używa określonych poleceń. Pierwszym krokiem dla narzędzi PUBA – jest zebranie tych informacji. Dzięki skorelowaniu gromadzonych danych z różnymi algorytmami uczenia maszynowego można zbudować bazę tego, co jest "normalne" dla poszczególnych użytkowników. Następnie na podstawie takich "cyfrowych" śladów i za pomocą zaawansowanych algorytmów uczenia maszynowego, można stworzyć profil użytkownika, który staje się bazą do identyfikacji nietypowych aktywności, potencjalnie niebezpiecznych. Mogą do nich należeć np. niestandardowe godziny, kiedy użytkownik loguje się do sieci wewnętrznej firmy. Jeśli taka aktywność zostanie wykryta, zespół ds. bezpieczeństwa otrzymuje ostrzeżenie i może zapobiec naruszeniu danych przed jego wystąpieniem.

 

Autor: Marta Bujakiewicz i Balabit, producent Blindspotter.


Aktualności | Porady | Gościnnie | Katalog
Bukmacherzy | Sprawdź auto | Praca


Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.

              *              

Źródło: Balabit



Ostatnie artykuły:


fot. Samsung



fot. HONOR