3 ydingi įpročiai, kenkiantys įmonės kibernetiniam saugumui

Publikuota: 2019-08-28
„Blue Bridge“ vyriausiasis sistemų inžinierius Kęstutis Meškonis.
„Blue Bridge“ vyriausiasis sistemų inžinierius Kęstutis Meškonis.

Vienas tiesiausių kelių jautrių duomenų link – IT infrastruktūra, į kurią kibernetiniams nusikaltėliams padeda „įsisukti“ pavogti kredencialai (slaptažodis, naudotojo vardas, PIN kodas, sesijos identifikatorius, sesijos bilietas ir kiti duomenys, padedantys identifikuoti naudotoją). Kartais patys to nežindomi, padedame kibernetiniams nusikaltėliams gauti šią informaciją ir prieiti prie svarbiausios įmonės informacijos.

Apmaudžiausia, jog šios problemos ištakos – ne eilinių darbuotojų neatsargumas, bet sisteminės svarbių paskyrų administravimo ydos, pastebi „Blue Bridge“ kibernetinio saugumo ekspertas Kęstutis Meškonis, pristatysiantis pranešimą apie pažangiausias grėsmes debesijos kompiuterijos paslaugoms jau trečią kartą organizuojamoje, didžiausioje debesų kompiuterijos konferencijoje Lietuvoje – „Bridge to Cloud 2019“ .

Atkreipti dėmesį į svarbių paskyrų saugumą

Kibernetinėms grėsmėms tampant vis įvairesnėmis, viena opiausių problemų, su kuria susiduria visos organizacijos – saugumo prioritetų nustatymas.

„Tarp šių prioritetų, remiantis ir pasauline, ir Lietuvos praktika, turėtų atsidurti privilegijuotų paskyrų administravimo problemos. Jų bendras vardiklis – per didelių teisių suteikimas naudotojams ir sistemoms“, – sako K. Meškonis.

„Kaip greičiau“ virsta „kaip pavojingiau“

Dauguma privilegijuotų paskyrų administravimo problemų kyla taupant laiką ir iš įpročio administruoti šias paskyras „kaip patogiau“.

„Taip atsiranda ir vienodi kredencialai, kuriuos administratoriai naudoja skirtingoms sistemoms ir mašinoms, ir privilegijuotų paskyrų slaptažodžių „rankinis“ kūrimas bei valdymas“, – vardina K. Meškonis.

Pašnekovas pastebi, kad tokia administravimo praktika lemia, kad privilegijuoti slaptažodžiai kartais nekeičiami 15 ar net daugiau metų.

Nesaugūs kredencialai – įsilaužimo metodų pagrindas

Apie administravimo principus „kaip greičiau“ ir „tikrai veiks“ puikiai žino kibernetiniai nusikaltėliai, patikina „Blue Bridge atstovas: „Pavyzdžiui, populiariausia „horizontolaus judėjimo“ įsilaužimo technika egzistuoja tik todėl, kad nenaudojami unikalūs slaptažodžiai“, – sako K. Meškonis, paaiškindamas, kad pagal šią metodiką, įsilaužėlis, naudodamasis vienais vogtais kredencialais, gali greitai ir nepastebimai judėti iš vienos sistemos į kitą, vogti kitus kredencialus, turinčius dar aukštesnes teises ir taip plėsti savo nelegalią sistemų prieigą. Taip galiausiai jis ne tik užvaldo visą IT infrastruktūrą, bet ir prieina prie svarbiausių duomenų.

Atidžiau peržvelgti privilegijuotų paskyrų sąrašą

Pirmoji užduotis norint tinkamai sustyguoti daugiausiai teisių turinčių paskyrų administravimą – nustatyti, kurios iš tokių paskyrų tikrai būtinos.

„Reikia įvertinti, ar visi naudotojai ir sistemos žino tiek, kiek joms būtina žinoti. Kitais žodžiais tariant, į privilegijuotų naudotojų sąrašą reikia pažvelgti kritiškai ir pašalinti nereikalingas paskyras bei atimti nereikalingas teises. Šiuo atveju, mažiau teisių visada yra saugiau“, – pasakoja K. Meškonis.

Pradėti nuo privilegijuotų naudotojų kontrolės

Įvertinus ir sumažinus bendrą privilegijuotų paskyrų skaičių, „Blue Bridge“ saugumo ekspertas rekomenduoja stebėti, kur jungiasi administratoriai, turintys plačias teises.

„Svarbiausia problema, kurios reikėtų išvengti – privilegijuotų administratorių prisijungimai į žemesnio saugumo lygio mašinas. Bloga praktika, kai su tais pačiais, aukščiausias teises turinčiais, kredencialais jungiamasi ir prie kompiuterinės darbo vietos (žemiausias saugumo lygmuo), ir prie „Windows“ serverio (vidutinis saugumo lygmuo), ir prie ypač svarbių „Windows“ domeno valdiklių funkcijas atliekančių serverių (aukščiausias saugumo lygmuo). Jeigu Jums tai pažįstama situacija, siūlau tokią praktiką kuo skubiau panaikinti“, – pataria K. Meškonis.

Pašnekovas pabrėžia, jog administratorių kredencialai turi būti prioretizuoti pagal skirtingų saugumo lygių mašinas, vieni nuo kitų izoliuoti ir apsaugoti. Taip pat svarbiausių kredencialų apsaugą sustiprina ir tokios priemonės kaip daugelio faktorių autenfikavimas, tinklo izoliavimas, kredencialų izoliavimas, privilegijuoto administravimo darbo vietos ir administravimo stotys.

Pasirūpinti, kad tam tikrose AD grupėse nebūtų „svečių“

Su kita dažniausia IT infrastruktūros administravimo klaida susiduria organizacijos, paskyrų ir slaptažodžių valdymui naudojančios „Active Directory“ (AD) katalogų tarnybos paslaugas.

„Paslaugų paskyros privilegijuotose AD grupėse – viena dažniausiai pasitaikančių saugumo problemų. Ją spręsti reikėtų nuo paslaugų paskyrų šalinimo iš privilegijuotų AD grupių“ – sako K. Meškonis ir siūlo pradėti šį šalinimą nuo svarbiausių Numatytųjų (angl. Default) grupių, tokių kaip „Domain Admins“, „Enterprise Admins“ ir „Administrators“.

„Taip pat gerai būtų pasirūpinti, kad jokių paskyrų nebeliktų ir integruotuose (angl. Build-in) grupėse „Account Operators“, „Backup Operators“, „Server Operators“ ir „Print Operators“, –  vardija K. Meškonis.

Dar kartą apie slaptažodžius

Vienos žymiausių pasaulyje interneto ir telekomunikacijų bendrovės „Verizon“ duomenys rodo, kad pernai net 81 proc. visų kibernetinių incidentų metu išnaudoti silpni arba pavogti slaptažodžiai. Tarp tokių slaptažodžių – ir priklausantys AD paskyroms.

„Problemų kelia ir AD paslaugų paskyrų, ir lokalių administratorių slaptažodžių valdymas. Šioje vietoje svarbu priminti, kad negalima pamiršti elementarių „higienos taisyklių“: privilegijuoti slaptažodžiai turi būti ilgesni nei 25 simbolių, neįsimenami, keičiami kas 2-6 mėnesius“, – sako K. Meškonis.

Kalbėdamas apie lokalių administratorių slaptažodžius, pašnekovas prideda dar vieną taisyklę – šie slaptažodžiai negali būti vienodi. „Deja, dažniausiai su tuo pačiu slaptažodžiu galima prisijungti prie kelių skirtingų mašinų: kompiuterinės darbo vietos, serverių ir AD domeno valdiklių serverių. Tokia situacija taip pat yra taisytina“, – sako kibernetinio saugumo ekspertas.

Sudėtingiausius slaptažodžius kuria mašinos

Efektyviausiai su privilegijuotų slaptažodžių kūrimu ir valdymu susijusias problemas padeda spręsti technologijos, įsitikinęs pašnekovas.

 „Privilegijuoti kredencialai, padedantys identifikuoti aplikaciją, sistemą, įrenginį arba administratorių, turi būti beveik neįsimenami ir sunkiai atkuriami, o geriausiai tokius slaptažodžius kuria mašinos, o ne žmonės.“, – akcentuoja K. Meškonis.

Vienas pažangiausių sprendimų automatiniam svarbiausių slaptažodžių valdymui – privilegijuotų naudotojų kontrolės (angl. Privileged access management (PAM)) sprendimai.

„Taip pat galima rinktis ir specializuotus sprendimus. Pavyzdžiui, AD paslaugų paskyrų slaptažodžių valdymui galima pasitelkti AD siūlomas priemones „Group/Managed Service Accounts“, o lokalių administratorių slaptažodžių valdymui „Windows“ sistemose – nemokamą „Microsoft“ LAPS įrankį, – sako K. Meškonis, pabrėždamas, kad bet kuris iš šių sprendimų padės geriau valdyti slaptažodžius, nei pavyzdžiui, žodynas. „Beje, „Blue Bridge“ statistika rodo, kad pernai 42 proc. „nulaužtų“ privilegijuotų slaptažodžių atspėjami būtent su žodynu“, – perspėja Kęstutis Meškonis.

Daugiau Kęstučio Meškonio ir kitų „Blue Bridge“ ekspertų bei kviestinių svečių įžvalgų apie saugumą ir debesų kompiuterijos paslaugas – konferencijoje „Bridge to Cloud 2019“, kuri įvyks spalio 8 d. Vilniuje. Daugiau informacijos renginio puslapyje >>

Gauk nemokamą VERSLO naujienlaiškį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:













Svarbiausios dienos naujienos trumpai:



 
Rašyti komentarą

Rašyti komentarą

Baigiasi 20 metų trukusi kodų kortelių era Premium 4

Didieji komerciniai bankai pradeda paskutinį perėjimo prie skaitmeninių identifikavimo priemonių etapą. Nuo...

Paslaugos
2019.08.28
Kaip ES reglamentuos veidų atpažinimo technologiją Premium 5

Briuselyje ieškoma būdų, kaip nustatyti veidų atpažinimo technologijos naudojimo ribas. Kitaip nei kai kurie...

Paslaugos
2019.08.28
3 ydingi įpročiai, kenkiantys įmonės kibernetiniam saugumui Verslo tribūna

Vienas tiesiausių kelių jautrių duomenų link – IT infrastruktūra, į kurią kibernetiniams nusikaltėliams...

Išmani Lietuva
2019.08.28
„70Ventures“ investavo 100.000 Eur į Danijos startuolį, žengiantį į Lietuvą Premium 1

Jauno verslo greitintuvas „70Ventures“ investavo 100.000 Eur ir į akceleravimo programą priėmė UAB...

Paslaugos
2019.08.27
Ekspertas: Lietuva – viena iš konkurencingiausių Europos šalių bendradarbystės erdvių rinkoje Verslo tribūna 1

Taksi įmonėms iššūkį metė „Uber“, „AirBnB“ atima vis didesnę viešbučių rinkos dalį, o biurų pasaulyje...

Išmani Lietuva
2019.08.26
Naujame IKEA išmaniųjų namų versle – ir Lietuvos bendrovių indėlis Premium 2

IKEA investuoja į išmaniųjų namų sistemas – bendrovė kuria naują „IKEA Home smart“ verslo padalinį. Lietuvos...

Pramonė
2019.08.25
„Vinted“ savo programinės įrangos valdymui kuria naują įmonę Premium 5

Lietuviška drabužių mainų ir prekybos UAB „Vinted“ informavo Registrų centrą, kad yra parengtos įmonės...

Paslaugos
2019.08.23
Pradėta „Swedbank“ ir SEB integracija: viename interneto banke jau galima matyti abiejų sąskaitas 36

Lietuvoje šiandien startuoja atviroji bankininkystė, tik gal kiek kitokiu pavidalu nei tikėjosi šios idėjos...

Paslaugos
2019.08.22
Atnaujintą „Smart FDI“ kvietimą lydi priekaištai dėl keičiamų sąlygų Premium 5

Ekonomikos ir inovacijų ministerija atnaujina ES priemonės „Smart FDI“ kvietimą – užsienio investuotojams...

Pramonė
2019.08.22
„Spartos“ fabrikas virs technologijų miesteliu: jau pasirašyta didžiausia nuomos sutartis šiemet Premium 30

1963 m. statytą buvusį „Spartos“ fabriką Vilniuje ketinama paversti technologijų miesteliu, kuriame įsikurtų...

Statyba ir NT
2019.08.22
Duomenų kopijavimo ir atstatymo sprendimai: tarp efektyvumo ir mados Verslo tribūna

Per pastaruosius 12 mėnesių net 200 proc. pasauliniu mastu išaugo kibernetinių atakų skaičius, kurių tikslas...

Išmani Lietuva
2019.08.22
Mokslininkai su kariškiais Baltijos jūroje išbando dronus ir naujas ryšio technologijos 1

Lietuvos kariuomenės Karinės jūrų pajėgos (KJP) ir Baltijos pažangių technologijų institutas (BPTI) Baltijos...

Paslaugos
2019.08.20
Iš NT pasuko į IT: kaip duomenų apsaugos reglamentas pakišo idėją verslui Premium 10

Darius Morkūnas, ilgametis nekilnojamojo turto (NT) brokeris ir poros įmonių savininkas, supratęs, kaip...

Paslaugos
2019.08.20
Žengtas pirmas žingsnis eSIM įteisinimo link 11

Susisiekimo ministerija imasi veiksmų, kad būtų užtikrinta galimybė Lietuvoje naudoti integruotus mobiliojo...

Paslaugos
2019.08.13
„NanoAvionika“ pritraukė 10 mln. Eur ir atidarė biurą bei gamyklą JAV Premium 7

Lietuvių kosmoso technologijų startuoliui „NanoAvionika“ 2019-ieji gali tapti lūžio metais. Bendrovė šiemet...

Paslaugos
2019.08.13
„Outokumpu“ finansų vadovė: turėjome daug padaryti, kad išlaikytume galvą virš vandens Premium

Nusistovėjusią tvarką griaunančių JAV prezidento Donaldo Trumpo sprendimų poveikį savo kailiu pajutusi...

Paslaugos
2019.08.09
„Lietuvos energijos“ Inovacijų centras plečia veiklą – rinkai atveria duomenis

Energetikos įmonių grupės „Lietuvos energijos“ Inovacijų centras pradeda skelbti atvirų duomenų rinkinius.

Pramonė
2019.08.09
21 amžiaus iššūkiai miestų planuotojams – ką sprendžia Vilnius Verslo tribūna 5

Ateityje vilniečiai gyvens tankiau, bet kokybiškiau, telksis arčiau centro ir mažiau laiko praleis kelionėse...

Išmani Lietuva
2019.08.08

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Sutinku Plačiau