Жизнь без кошмаров…
За последние несколько месяцев мир стал свидетелем раскрытия того, что национальные государства используют свой инвентарь эксплойтов нулевого дня — кода, который используют кибер-злоумышленники, чтобы воспользоваться преимуществами еще не известных дыр в безопасности программного обеспечения — чтобы получить контроль над высококлассными целями.
Одним из ключевых выводов этих эксплойтов является то, что некоторые привилегированные решения для управления идентификацией не смогли помешать злоумышленникам в национальных государствах получить привилегированный доступ.
Привилегированное управление идентификацией включает в себя выяснение того, кто имеет повышенные права для выполнения таких задач, как доступ к файлам, установка и запуск программ, а также изменение параметров конфигурации. Интересно, что у Target, JPMorgan и Home Depot было программное обеспечение для управления привилегиями от некоторых наших конкурентов, но они не смогли защитить эти организации из-за технологических недостатков или проблем с ИТ-процессами.
Действительно, есть некоторые уроки, извлеченные из опыта, когда дело касается отношения и практики организаций к привилегированному управлению идентификацией и безопасности их критически важных для бизнеса систем.
Не приноси нож на перестрелку
Распространенными проблемами среди всех этих недавних громких утечек данных являются отсутствие покрытия идентификации привилегий и медленная скорость процесса смягчения. Многие системы были взломаны, потому что компании либо не могли полностью развернуть свои приобретенные привилегированные решения для управления идентификацией, либо приобретенные решения были медленными и трудоемкими для развертывания. В любом случае злоумышленники смогли найти системы и идентификаторы, которые были пропущены, и смогли использовать это отсутствие покрытия в своих интересах.
Простой урок заключается в следующем. Если кибер-злоумышленники используют инструменты автоматического взлома — какими они являются — и вы пытаетесь управлять своими средами с помощью инструментов, для реализации которых требуется ручной труд, значит, вы уже проиграли войну.
Любой может быть целью нападающих государства
Те компании, которые считают, что они не подвержены атакам, потому что они не являются достойной целью, должны понимать, что все системы в большинстве диапазонов IP-адресов подвергаются атакам без жалости. Это правда, что определенные диапазоны пропускаются, потому что они помечены как «друзья» или «союзники» определенных злоумышленников или особенно хорошо известны как вызывающие нежелательные реакции против злоумышленников. Но, в противном случае, все ставки сняты.
И Россия, и Китай регулярно проводят кибератаки на западные страны, и эти атаки обходят их собственные территории и союзников. Эта ситуация хорошо понимается обеими сторонами в кибервойне. Вы можете увидеть отличную визуализацию этого сценария в режиме реального времени по адресу: http://map.ipviking.com/
Злоумышленники идут за слабые звенья и громкие отметки; и для тех, кто оба — им лучше быть готовыми.
Если это сломано, исправить это
Сопротивление неоднократно взломанных компаний заменять свои отказавшие продукты ручного управления привилегиями на автоматизированное и адаптивное решение для управления привилегиями, подобное тому, которое мы разрабатываем, — которое фактически разработано с учетом современных угроз безопасности, с которыми сталкивается большинство предприятий, — ошеломляет.
Как говорится, повторение одного и того же поведения и ожидание другого результата — это определение безумия. Такое безумное поведение является нарушением фидуциарной ответственности высшего руководства в этих компаниях.
Минимизировать потери безопасности
Киберзащита сегодня не сводится к прекращению вторжений. Речь идет о создании архитектур и процессов, которые минимизируют потери и ограничивают проникновение злоумышленников в сеть после того, как им удастся проникнуть в периметр с атаками нулевого дня и подобными эксплойтами. Это означает наличие полностью автоматизированной технологии безопасности, которая может работать в масштабе и на глубине без необходимости постоянного взаимодействия с человеком.
Использование атак «нулевого дня» и сложных фишинговых писем продвинутыми преступными хакерами и злоумышленниками нации гарантирует, что злоумышленники смогут закрепиться. С этой точки зрения злоумышленники будут искать учетные данные всех типов — включая пароли, хэши, билеты, ключи и сертификаты — что позволит им перейти от дорогой технологии нулевого дня к простому доступу на уровне одноранговых узлов. Получение контроля над учетными данными в системе позволит злоумышленнику добиться бокового перемещения от системы к системе.
Наша стратегия заключается в использовании технологии, которая масштабируется и работает автономно, чтобы нарушить стратегию злоумышленника на постоянной основе. Мы стремимся сократить срок действия учетных данных с месяцев до часов и не допускать людей к настройке этой технологии.
Станьте воином киберзащиты
Необходимы фундаментальные изменения в том, как мы управляем нашей ИТ-инфраструктурой. Это включает в себя обновление знаний в области безопасности и обязанностей каждого в цепочке высшего руководства.
Мы надеемся, что компании смогут извлечь уроки из ошибок тех организаций, которые были так явно и публично нарушены. Сейчас настало время, чтобы предприятия перестали хоронить головы в песке, надеясь, что они обеспечат ИТ-безопасность.
Некоторым советам директоров компаний следует отстранить их старшее руководство и заменить их лидерами, готовыми активизировать свою игру и выступать в роли воинов киберзащиты, не возвращая жертв без идей, кроме простого повторения неудачных стратегий.