09
Источники угроз, связанных с айдентити (ITE)
Под источниками угроз, связанных с айдентити (Identity Threat Exposures, ITE), понимают слабые места в контуре защиты организаций, которые подвергают информационную среду соответствующим угрозам, таким как кража учетных данных, эскалация привилегий или латеральное перемещение
ITE могут возникать из-за неправильной конфигурации, или при использовании устаревшей инфраструктуры айдентити, или даже из-за встроенных функциональных возможностей.
Злоумышленники используют подобные источники угроз, чтобы осуществлять кражу учетных данных, эскалацию привилегий и латеральное перемещение. Более того, поскольку учетные записи пользователей в службе каталога повсеместно синхронизируются с облачным сервисом федерации, такой неявный источник риска может дать хакерам и прямой доступ к вашей среде Software as a Service (SaaS).
Злоумышленники используют подобные источники угроз, чтобы осуществлять кражу учетных данных, эскалацию привилегий и латеральное перемещение. Более того, поскольку учетные записи пользователей в службе каталога повсеместно синхронизируются с облачным сервисом федерации, такой неявный источник риска может дать хакерам и прямой доступ к вашей среде Software as a Service (SaaS).
01
Какие существуют типы угроз, связанных с айдентити?
Мы выделяем четыре группы угроз — в зависимости от вредоносных действий, которые они позволяют совершать атакующим:
- Источники рисков для паролей — угрозы, позволяющие злоумышленникам получить доступ к незашифрованному паролю от учетной записи пользователя.
- Средства эскалации привилегий — угрозы, позволяющие злоумышленникам повысить любые привилегии доступа, которые у них уже есть.
- Средства латерального перемещения — угрозы, позволяющие злоумышленникам использовать скомпрометированные учетные записи, чтобы незаметно выполнять латеральное перемещение.
- Средства уклонения от мер защиты — угрозы, снижающие эффективность средств мониторинга и защиты пользовательских учетных записей.
02
Как защититься от угроз ITE?
- Знать, откуда исходят угрозы, и по возможности устранять риски, связанные с несанкционированным доступом
Сформируйте четкое представление обо всех угрозах в инфраструктуре организации,связанных с айдентити (ITE). Если вы синхронизируете пользовательские учетные записи в службе каталога с облачными сервисами федерации, то обеспечьте ее работу на основе лучших практик по защите айдентити и исключите создание большого количества неактивных пользователей.
- Сдерживать и отслеживать существующие риски
Если какие-то угрозы, связанные с айдентити (ITE), неустранимы (в их числе сервисные учетные записи или использование протокола проверки подлинности NTLM, то уделите особое внимание тому, чтобы в подразделении по безопасности был налажен тщательный мониторинг соответствующих учетных записей на предмет любых признаков компрометации.
- Принимать упреждающие меры
Чтобы защищать учетные записи пользователей от характерных угроз (ITE), по возможности применяйте правила сегментации айдентити или политики многофакторной аутентификации (MFA). Реализуйте такие политики доступа в отношении сервисных учетных записей, которые позволят не допускать сервисы куда-либо, кроме заранее определенных ресурсов.
- Объединять усилия подразделений, отвечающих за айдентити и безопасность
Ответственность за защиту айдентити распределяется между подразделениями, отвечающими за айдентити, и командами специалистов по безопасности. Знания последних позволяют им определять, какие угрозы (ITE) требуют первоочередного внимания, а первые могут принимать соответствующие меры для устранения недостатков. Это обеспечит эффективный подход к комплексной защите айдентити.