6 često zapostavljenih ranjivih tačaka IT bezbednosti
Obratite pažnju na privilegovane naloge, jer mnoge ranjivosti sistema potiču od njih.
Privilegovani nalozi, odnosno nalozi korisnika koji imaju pristup podacima ili delovima sistema koji su od velikog značaja za vašu firmu, imaju velika ovlašćenja i trebalo bi da budu dodeljeni zaposlenima od poverenja, koji shvataju odgovornost koju ova privilegija nosi. Osim toga, takvi korisnici moraju da budu pod nadozorom i kontrolom, možda čak i više nego obični korisnici. Evo na šta treba obratiti pažnju da privilegovani nalozi ne bi postali glavna ranjivost vašeg IT sistema.
1. Prekomerne privilegije
Mnoge organizacije imaju ležerne bezbednosne polise zbog kojih se dozvoljavaju prekomerne privilegije. Ove privilegije se nalaze u Active Directory nalozima, a mnogi korisnici imaju privilegije (privilegovane naloge) koje im nisu potrebne za obavljanje posla. Privilegovani nalozi se moraju pažjivo dodeljivati. IT timovi moraju redovno proveravati postojeće privilegovane naloge i uklanjati one koji ne bi trebalo da imaju privilegije.
2. Slabe lozinke
Slabe lozinke su jedan od najčešćih razloga zbog kog dolazi do krađe kredencijala. Kada haker jednom dobije pristup računaru u mreži, veoma je lako da dođe do hasheva lozinki korisnika koji koriste računar. Takođe, do njih može doći presretanjem saobraćaja. Ako je lozinka slaba i ako se ne menja često, hakeri mogu da provale hash lozinke bez pravljenja incidenta u mreži i tako dolaze do lozinke. Treba redovno proveravati da li privilegovani nalozi imaju slabe lozinke. Izbegavajte korišćenje istih (uobičajenih) lozinki na više mesta. Takođe, trebalo bi promeniti default lozinke.
3. Lozinka nikad ne ističe
Druga loša praksa vezana za lozinke je da se konfigurišu servisni i privilegovani nalozi sa opcijom „Lozinka nikada ne ističe“ (eng. Password Never Expires). Lozinke za privilegovane naloge bi trebalo redovno menjati. Ručna zamena lozinke u tačno utvrđenim vremenskim intervalima kratkoročno može biti prihvatljiva, ali dugoročno nije dobro rešenje jer organizacija raste.
4. Neaktivni privilegovani nalozi
Pratite privilegovane naloge koji nisu bili aktivni duže vremena. Postoji mnogo razloga zašto postoje neaktivni nalozi. Jedan od njih je taj što administratori prave servisne naloge, a onda prelaze u drugi tim ili napuštaju posao i tako ovi nalozi ostaju bez nadzora. IT timovi bi trebalo da prate, pregledaju i uklanjaju neaktivne naloge, osim ako ne postoji jako dobar razlog da ih ostave.
5. Endpointi privilegovanih korisnika koji nisu pod kontrolom
Mnoge kompanije dozvoljavaju zaposlenima da koriste svoje uređaje (npr. lični telefon) za obavljanje poslova i zato nastaje problem upravljanja tim uređajima u mreži. IT timovi moraju da vode računa o takvim uređajima, naročito kada su u pitanju privilegovani korisnici.
6. Zajednički privilegovani nalozi
Privilegovani nalozi se ne smeju deliti. Deljenje ovih naloga ne samo da povećava bezbednosne rizike već otežava utvrđivanje odgovornosti u slučaju da nešto krene po zlu. Kada postoje ovakvi nalozi, alati za analizu ponašanja korisnika (UEBA) mogu imati problem da razumeju ponašanje i da precizno utvrde gde se incident dogodio.
Best practice za kontrolu privilegovanih korisnika
- Prinicip najmanjih privilegija: Postavite samo one dozovle za korisnički nalog koje su od suštinskog značaja za tog korisnika.
- "God mode": Zaključajte naloge superkorisnika (superuser) i koristite ih samo ako je apsolutno neophodno.
- Personalizovani nalozi: Pobrinite se da privilegovani korisnici budu lično odgovorni čak i ako se loguju kao superkorisnik.
- Ograničite broj sistema za svaki privilegovani nalog: Pobrinite se da sistem administratori mogu samo da pristupe sistemima koji su im neophodni za rad.
- Centralna infrastruktura za nadgledanje korisnika: Log management ili SIEM ne sakupljaju sve neophodne informacije. Implementirajte nezavistan alat koji izvlači informacije potrebne za reviziju direktno iz komunikacije klijenta i servera (na primer Shell Controll Box)
- Jaka autentifikacija i autorizacija: Zaštitite nalog superkorisnika strogim metodama za proveru identiteta.
- Kontrolišite daljinski pristup: Kontrolišite ko ima pristup čemu i kada na osnovu protokola koji koristite.
- Sprečite maliciozne aktivnosti: Nadgledajte saobraćaj daljinskog povezivanja u realnom vremenu, i preduzmite neophodne mere ako se neki obrazac pojavi u komandnoj liniji ili na ekranu.