Компании в Сингапуре все чаще применяют подход с нулевым доверием к своей системе безопасности, но по-прежнему беспокоят чрезмерные привилегии, которыми пользуются сотрудники при доступе к корпоративным ИТ-ресурсам.
Этот момент был отмечен в недавнем опросе о нулевом доверии, проведенном BeyondTrust.
Опрос ИТ-руководителей в Сингапуре показал, что, хотя подавляющее большинство организаций указали, что они считают, что в их планах хорошо контролируются основы нулевого доверия, связанные с проверкой подлинности и привилегиями, 54 процента респондентов считают, что многие пользователи чрезмерно привилегий — создавая так называемый разрыв в привилегиях — чем то, что требуется им для их работы.
Разрыв в привилегиях относится к чрезмерному доступу пользователей к различным системам, ресурсам и приложениям сверх того, что требуется им для выполнения своих обязанностей.
Это может включать в себя права администратора для систем или возможность запускать такие инструменты, как Powershell, что часто используется вредоносными программами.
Чрезмерные привилегии противоречат основному принципу архитектуры нулевого доверия.
И вот почему: самый простой способ описать нулевое доверие состоит в том, что ничему в сетевой среде нельзя доверять, пока оно не будет проверено на соответствие списку известных значений. Проверка тоже не разовая. Это продолжается.
Другими словами, все пользователи, системы и процессы проверяются перед авторизацией любого действия, будь то вход в сеть, автоматизированный процесс или привилегированное действие или авторизация.
Нулевое доверие подчеркивает постоянную видимость того, кто чем занимается в сети компании. Это обеспечивает максимальный контроль над безопасностью и доступом к системам.
Философия нулевого доверия «никогда не доверяй, всегда проверяй» решает многие проблемы, с которыми сегодня сталкиваются организации, когда сотрудники, третьи стороны и ресурсы находятся за пределами традиционного сетевого периметра и, тем не менее, имеют доступ к системам и процессам.
В рамках нулевого доверия действует принцип наименьших привилегий — политика, которая требует, чтобы все удостоверения, регистрирующиеся в сети, имели минимальные права для выполнения своих обязанностей.
Этот подход к нулевому доверию может иметь преимущества в ограничении ущерба от нарушения безопасности, например, кражи учетных данных для входа, поскольку не позволяет злоумышленнику в конечном итоге получить возможность украсть данные или нанести вред сети.
Как происходят нарушения
А изучать Исследование, проведенное Forrester, показало, что привилегированные учетные данные были причиной примерно 80 процентов утечек данных. В этих случаях неправильно управляемые привилегии позволяют злоумышленникам проникать и перемещаться по сети компании.
Когда обычные пользователи имеют чрезмерные привилегии, злоумышленникам не нужно искать системного администратора. Они просто используют привилегии стандартной учетной записи пользователя, чтобы получить доступ к более конфиденциальным данным или получить контроль над системой.
В то время как традиционные подходы к управлению доступом пытаются защитить удостоверения с постоянными привилегиями, современные методологии атак, используемые хакерами, такие как социальная инженерия, фишинг и кейлоггеры, и это лишь некоторые из них, позволяют злоумышленникам легко получить контроль над этими удостоверениями и получить доступ.
Ввиду того, что исследование показало, что более 50% организаций считают, что их сотрудники имеют чрезмерный доступ к привилегиям, необходимо проделать дополнительную работу на пути к нулевому доверию для сингапурских организаций.
Это особенно актуально для 88% сингапурских ИТ-руководителей, которые говорят, что нулевой уровень доверия важен для стратегии кибербезопасности их организации, и для 97% руководителей государственного сектора.
Как работает атака с повышением привилегий
Атаки с повышением привилегий начинаются с того, что злоумышленники закрепляются в сети. Злоумышленник также может получить доступ, используя отсутствующие исправления безопасности, социальную инженерию или другие методы.
После успешного первоначального проникновения злоумышленники обычно осуществляют наблюдение и ждут подходящей возможности для продолжения своей миссии.
Атаки с повышением привилегий обычно бывают двух типов.
Один из них называется горизонтальным повышением привилегий, а другой — вертикальным повышением привилегий.
Горизонтальное повышение привилегий предполагает получение прав другой учетной записи — человека или компьютера — с аналогичными привилегиями.
Это действие называется «захват учетной записи» и обычно затрагивает учетные записи более низкого уровня, которые могут не иметь надлежащей защиты.
С каждой новой взломанной горизонтальной учетной записью злоумышленник расширяет свою сферу доступа с аналогичными привилегиями.
Вертикальное повышение привилегий, также известное как атака с повышением привилегий, включает в себя увеличение привилегий/привилегированного доступа сверх того, что уже есть у пользователя, приложения или других ресурсов.
Это влечет за собой переход от низкого уровня привилегированного доступа к более высокому уровню привилегированного доступа.
Достижение вертикального повышения привилегий может потребовать от злоумышленника выполнения ряда промежуточных шагов, чтобы обойти или отменить контроль привилегий, использовать недостатки в программном обеспечении, прошивке и ядре или получить привилегированные учетные данные для других приложений или самой операционной системы.
В 2022 году повышение привилегий было категорией уязвимости №1 среди всех уязвимостей Microsoft, согласно Отчет об уязвимостях Microsoft за 2022 г..
Растущие проблемы кибербезопасности, связанные с повышением привилегий, напрямую связаны с расширяющейся цифровой вселенной организации и рассредоточенным характером современной рабочей силы.
В то время как большинство организаций хорошо знакомы с риском кибербезопасности, который связан с преимуществами информационных технологий, ИТ-специалистам и командам по безопасности становится все труднее управлять современным ландшафтом угроз, поскольку они пытаются связать точки между привилегированными учетными записями, уязвимостями, эксплойтами и успешные данные и нарушения системы.
Этот барьер является важной причиной того, почему скомпрометированные привилегированные учетные данные являются таким доминирующим источником успешных атак, и почему 88 процентов ИТ-руководителей в Сингапуре считают, что доступ с нулевым доверием жизненно важен для стратегии кибербезопасности их организации.
Читать полную новость на сайте