3 ydingi įpročiai, kenkiantys įmonės kibernetiniam saugumui

Publikuota: 2019-08-28
„Blue Bridge“ vyriausiasis sistemų inžinierius Kęstutis Meškonis.
„Blue Bridge“ vyriausiasis sistemų inžinierius Kęstutis Meškonis.

Vienas tiesiausių kelių jautrių duomenų link – IT infrastruktūra, į kurią kibernetiniams nusikaltėliams padeda „įsisukti“ pavogti kredencialai (slaptažodis, naudotojo vardas, PIN kodas, sesijos identifikatorius, sesijos bilietas ir kiti duomenys, padedantys identifikuoti naudotoją). Kartais patys to nežindomi, padedame kibernetiniams nusikaltėliams gauti šią informaciją ir prieiti prie svarbiausios įmonės informacijos.

Apmaudžiausia, jog šios problemos ištakos – ne eilinių darbuotojų neatsargumas, bet sisteminės svarbių paskyrų administravimo ydos, pastebi „Blue Bridge“ kibernetinio saugumo ekspertas Kęstutis Meškonis, pristatysiantis pranešimą apie pažangiausias grėsmes debesijos kompiuterijos paslaugoms jau trečią kartą organizuojamoje, didžiausioje debesų kompiuterijos konferencijoje Lietuvoje – „Bridge to Cloud 2019“ .

Atkreipti dėmesį į svarbių paskyrų saugumą

Kibernetinėms grėsmėms tampant vis įvairesnėmis, viena opiausių problemų, su kuria susiduria visos organizacijos – saugumo prioritetų nustatymas.

„Tarp šių prioritetų, remiantis ir pasauline, ir Lietuvos praktika, turėtų atsidurti privilegijuotų paskyrų administravimo problemos. Jų bendras vardiklis – per didelių teisių suteikimas naudotojams ir sistemoms“, – sako K. Meškonis.

„Kaip greičiau“ virsta „kaip pavojingiau“

Dauguma privilegijuotų paskyrų administravimo problemų kyla taupant laiką ir iš įpročio administruoti šias paskyras „kaip patogiau“.

„Taip atsiranda ir vienodi kredencialai, kuriuos administratoriai naudoja skirtingoms sistemoms ir mašinoms, ir privilegijuotų paskyrų slaptažodžių „rankinis“ kūrimas bei valdymas“, – vardina K. Meškonis.

Pašnekovas pastebi, kad tokia administravimo praktika lemia, kad privilegijuoti slaptažodžiai kartais nekeičiami 15 ar net daugiau metų.

Nesaugūs kredencialai – įsilaužimo metodų pagrindas

Apie administravimo principus „kaip greičiau“ ir „tikrai veiks“ puikiai žino kibernetiniai nusikaltėliai, patikina „Blue Bridge atstovas: „Pavyzdžiui, populiariausia „horizontolaus judėjimo“ įsilaužimo technika egzistuoja tik todėl, kad nenaudojami unikalūs slaptažodžiai“, – sako K. Meškonis, paaiškindamas, kad pagal šią metodiką, įsilaužėlis, naudodamasis vienais vogtais kredencialais, gali greitai ir nepastebimai judėti iš vienos sistemos į kitą, vogti kitus kredencialus, turinčius dar aukštesnes teises ir taip plėsti savo nelegalią sistemų prieigą. Taip galiausiai jis ne tik užvaldo visą IT infrastruktūrą, bet ir prieina prie svarbiausių duomenų.

Atidžiau peržvelgti privilegijuotų paskyrų sąrašą

Pirmoji užduotis norint tinkamai sustyguoti daugiausiai teisių turinčių paskyrų administravimą – nustatyti, kurios iš tokių paskyrų tikrai būtinos.

„Reikia įvertinti, ar visi naudotojai ir sistemos žino tiek, kiek joms būtina žinoti. Kitais žodžiais tariant, į privilegijuotų naudotojų sąrašą reikia pažvelgti kritiškai ir pašalinti nereikalingas paskyras bei atimti nereikalingas teises. Šiuo atveju, mažiau teisių visada yra saugiau“, – pasakoja K. Meškonis.

Pradėti nuo privilegijuotų naudotojų kontrolės

Įvertinus ir sumažinus bendrą privilegijuotų paskyrų skaičių, „Blue Bridge“ saugumo ekspertas rekomenduoja stebėti, kur jungiasi administratoriai, turintys plačias teises.

„Svarbiausia problema, kurios reikėtų išvengti – privilegijuotų administratorių prisijungimai į žemesnio saugumo lygio mašinas. Bloga praktika, kai su tais pačiais, aukščiausias teises turinčiais, kredencialais jungiamasi ir prie kompiuterinės darbo vietos (žemiausias saugumo lygmuo), ir prie „Windows“ serverio (vidutinis saugumo lygmuo), ir prie ypač svarbių „Windows“ domeno valdiklių funkcijas atliekančių serverių (aukščiausias saugumo lygmuo). Jeigu Jums tai pažįstama situacija, siūlau tokią praktiką kuo skubiau panaikinti“, – pataria K. Meškonis.

Pašnekovas pabrėžia, jog administratorių kredencialai turi būti prioretizuoti pagal skirtingų saugumo lygių mašinas, vieni nuo kitų izoliuoti ir apsaugoti. Taip pat svarbiausių kredencialų apsaugą sustiprina ir tokios priemonės kaip daugelio faktorių autenfikavimas, tinklo izoliavimas, kredencialų izoliavimas, privilegijuoto administravimo darbo vietos ir administravimo stotys.

Pasirūpinti, kad tam tikrose AD grupėse nebūtų „svečių“

Su kita dažniausia IT infrastruktūros administravimo klaida susiduria organizacijos, paskyrų ir slaptažodžių valdymui naudojančios „Active Directory“ (AD) katalogų tarnybos paslaugas.

„Paslaugų paskyros privilegijuotose AD grupėse – viena dažniausiai pasitaikančių saugumo problemų. Ją spręsti reikėtų nuo paslaugų paskyrų šalinimo iš privilegijuotų AD grupių“ – sako K. Meškonis ir siūlo pradėti šį šalinimą nuo svarbiausių Numatytųjų (angl. Default) grupių, tokių kaip „Domain Admins“, „Enterprise Admins“ ir „Administrators“.

„Taip pat gerai būtų pasirūpinti, kad jokių paskyrų nebeliktų ir integruotuose (angl. Build-in) grupėse „Account Operators“, „Backup Operators“, „Server Operators“ ir „Print Operators“, –  vardija K. Meškonis.

Dar kartą apie slaptažodžius

Vienos žymiausių pasaulyje interneto ir telekomunikacijų bendrovės „Verizon“ duomenys rodo, kad pernai net 81 proc. visų kibernetinių incidentų metu išnaudoti silpni arba pavogti slaptažodžiai. Tarp tokių slaptažodžių – ir priklausantys AD paskyroms.

„Problemų kelia ir AD paslaugų paskyrų, ir lokalių administratorių slaptažodžių valdymas. Šioje vietoje svarbu priminti, kad negalima pamiršti elementarių „higienos taisyklių“: privilegijuoti slaptažodžiai turi būti ilgesni nei 25 simbolių, neįsimenami, keičiami kas 2-6 mėnesius“, – sako K. Meškonis.

Kalbėdamas apie lokalių administratorių slaptažodžius, pašnekovas prideda dar vieną taisyklę – šie slaptažodžiai negali būti vienodi. „Deja, dažniausiai su tuo pačiu slaptažodžiu galima prisijungti prie kelių skirtingų mašinų: kompiuterinės darbo vietos, serverių ir AD domeno valdiklių serverių. Tokia situacija taip pat yra taisytina“, – sako kibernetinio saugumo ekspertas.

Sudėtingiausius slaptažodžius kuria mašinos

Efektyviausiai su privilegijuotų slaptažodžių kūrimu ir valdymu susijusias problemas padeda spręsti technologijos, įsitikinęs pašnekovas.

 „Privilegijuoti kredencialai, padedantys identifikuoti aplikaciją, sistemą, įrenginį arba administratorių, turi būti beveik neįsimenami ir sunkiai atkuriami, o geriausiai tokius slaptažodžius kuria mašinos, o ne žmonės.“, – akcentuoja K. Meškonis.

Vienas pažangiausių sprendimų automatiniam svarbiausių slaptažodžių valdymui – privilegijuotų naudotojų kontrolės (angl. Privileged access management (PAM)) sprendimai.

„Taip pat galima rinktis ir specializuotus sprendimus. Pavyzdžiui, AD paslaugų paskyrų slaptažodžių valdymui galima pasitelkti AD siūlomas priemones „Group/Managed Service Accounts“, o lokalių administratorių slaptažodžių valdymui „Windows“ sistemose – nemokamą „Microsoft“ LAPS įrankį, – sako K. Meškonis, pabrėždamas, kad bet kuris iš šių sprendimų padės geriau valdyti slaptažodžius, nei pavyzdžiui, žodynas. „Beje, „Blue Bridge“ statistika rodo, kad pernai 42 proc. „nulaužtų“ privilegijuotų slaptažodžių atspėjami būtent su žodynu“, – perspėja Kęstutis Meškonis.

Daugiau Kęstučio Meškonio ir kitų „Blue Bridge“ ekspertų bei kviestinių svečių įžvalgų apie saugumą ir debesų kompiuterijos paslaugas – konferencijoje „Bridge to Cloud 2019“, kuri įvyks spalio 8 d. Vilniuje. Daugiau informacijos renginio puslapyje >>

Gauk nemokamą VERSLO naujienlaiškį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:













Svarbiausios dienos naujienos trumpai:



 
Rašyti komentarą 0
Seimas parlamentarams iš „Telios“ nupirko 180 „prekybos terminalų“ Premium 3

Beveik tris Seimo kadencijas atlaikiusius posėdžių salės „IBM ThinkPad X60“ kompiuterius „Telia“, kuri...

Paslaugos
05:45
„Agaras“ gamybos atliekas paverčia šiluma ir elektra Verslo tribūna

Pasaulyje vykstant diskusijoms dėl klimato kaitos ir aplinkos tausojimo UAB „Agaras“, siekdama mažinti įmonės...

Išmani Lietuva
2019.11.21
Biurų darbuotojus sportuoti skatinantis „OnePass“ pritraukė 160.000 Eur investiciją 1

Viena narystė – visi sporto klubai. Tokią idėją siekiantis įgyvendinti startuolis „OnePass“ (UAB „Sporto...

Paslaugos
2019.11.21
Lietuvos lazerių įmonės žengia gilyn į pramonės sektorių Premium 2

Pastarosiomis dienomis kelios Lietuvos lazerių bendrovės pranešė apie bebaigiamus pramoninių inovacijų...

Technologijos
2019.11.21
Kuo nustebins „Fintech Inn 2019“? Verslo tribūna 3

Lapkričio 27–28 d. Vilniuje ketvirtus metus iš eilės vyks didžiausia Šiaurės Europos ir Baltijos šalyse...

Išmani Lietuva
2019.11.21
Vilniaus universitete bus dėstoma kibernetinė sauga

Vilniaus universitetas (VU), bendradarbiaudamas su Izraelio kibernetinio saugumo bendrove „Check Point“,...

Paslaugos
2019.11.20
Apžvalga: Lietuvos startuolių ekosistema auga sparčiau už latvių ir estų

Tarp 3 Baltijos šalių Lietuvoje rizikos kapitalo investicijų augimas yra didžiausias – Estiją lenkiame 47%, o...

Paslaugos
2019.11.20
Į kokias „Office 365“ programas pataria atkreipti dėmesį IT sprendimų kūrėjai? Verslo tribūna

Dalis aplikacijų, įeinančių į „Microsoft Office 365“ paslaugas, gerai pažįstamos iš klasikinės darbo vietos...

Išmani Lietuva
2019.11.20
„Proptech“ startuolis iš „70Ventures“ pritraukė 300.000 Eur investiciją  2

Lietuvoje įkurtas nekilnojamojo turto technologijų (angl. property technology, proptech) startuolis „uNTu“...

Statyba ir NT
2019.11.19
„Debesys“ ir valstybė: JEDI kontrakto patirtis Verslo tribūna

Prieš metus, pirmą kartą rašydamas apie jau tuomet garsiai aptarinėjamus JAV Gynybos departamento (Pentagono)...

Išmani Lietuva
2019.11.18
Klasteriai: nuo nacionalinio link tarptautinio bendradarbiavimo Verslo tribūna

Šiuo metu Lietuvoje veikia daugiau kaip 50 klasterių, o  Europos klasterių analizės sekretoriatas (ESCA)...

Išmani Lietuva
2019.11.15
Papildytosios realybės akiniai grįžta, bet tik į verslo sektorių Premium

Kartu su pirma „Google Glass“ versija prieš keletą metų vos nenumirusi papildytosios realybės akinių...

Technologijos
2019.11.14
Brolių Steponavičių spektroskopų gamybos „Sprana“ pritraukė 0,6 mln. investiciją Premium

Rizikos kapitalo fondas „Iron Wolf Capital“ investavo 570.000 Eur į brolių Mindaugo ir Raimundo Steponavičių...

Technologijos
2019.11.14
„Altechna R&D“ vairą iš Alfredo Šlekio perima Martynas Mažeika

Lazerių bendrovė „Altechna R&D“, veikianti su prekės ženklu „Workshop of Photonics“, turi naują vadovą.

Paslaugos
2019.11.11
Aviacijos technologijų išradimai sudomino ir kariuomenę, ir verslą

Vilniaus Gedimino technikos universiteto (VGTU) Antano Gustaičio aviacijos instituto (AGAI) mokslininkai,...

Technologijos
2019.11.11
„Baltic Amadeus“ trijų ketvirčių rezultatai žada rekordines metų pajamas 1

Per tris šių metų ketvirčius IT sprendimų bendrovės „Baltic Amadeus“ pajamos perkopė 8 mln. Eur ir buvo 80%...

Paslaugos
2019.11.11
„SAI Global“ atidaro Kompetencijų centrą Vilniuje

Tarptautinė integruotus rizikos valdymo sprendimus ir turto valdymo paslaugas teikianti kompanija „SAI...

Paslaugos
2019.11.11
Dr. G. Buračas: dirbtinio intelekto nereikia bijoti  Premium

Daktaras Giedrius Buračas gyvena ir dirba Jungtinėse Valstijose. Jis vadovauja JAV gynybos departamento...

Verslo klasė
2019.11.10
Moterys „fintech“ labirintuose: iššūkiai ir perspektyvos Verslo tribūna

Finansinių technologijų sektorius – pasaulyje sparčiai auganti verslo niša, kasmet pritraukianti gausias...

Išmani Lietuva
2019.11.07
„HumansApp“ keičia pavadinimą į „Qoorio“ 5

Žinių dalijimosi programėlė „HumansApp“ tampa „Qoorio“. Šiemet pritraukę 540.000 Eur investiciją produkto...

Paslaugos
2019.11.04

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Sutinku Plačiau