Защищаем сервисные аккаунты без смены паролей

Взлом служебных аккаунтов — это одна из основных целей злоумышленников. Однако защита этих учетных записей от злоумышленного использования представляет сложную задачу для организаций.

Платформа безагентной двухфакторной аутентификации Silverfort обладает уникальными возможностями защиты служебных учетных записей домена Active Directory и позволяет забыть о назойливой необходимости часто менять пароли. В этой статье рассматривается, как обеспечить такую защиту

Что такое доменные служебные аккаунты и какие риски с ними связаны?

Кратко обозначим различия между двумя типами служебных учетных записей: доменные сервисные УЗ и локальные сервисные УЗ. Локальные служебные УЗ настраиваются и управляются на локальной машине для взаимодействия приложения с ОС, сетью и т. д. Этот тип УЗ относительно просто настроить и им легко управлять, потому что это локальный пользователь и пароли используются не часто, а значит, их смена не оказывает серьезного воздействия на уровень безопасности. Доменные служебные учетные записи — это совсем другая история. Они существуют на уровне домена, поэтому защита таких учетных записей и управление ими особенно сложны.

К примеру, одним из простых, и в то же время важных, требований является создание учетных записей с минимальным уровнем привилегий, который требуется для нормальной работы приложения. Однако в документации вендора обычно указаны только необходимые для этого настройки и ни слова о том, как ограничивать привилегии или как обеспечить безопасность учетной записи.

Определение минимальных привилегий вместе с планированием и осуществлением полноценной смены паролей, а также стратегии их ротации замедлят реализацию проектов на часы, дни или даже недели. Чтобы не задерживать установку приложения, эти учетные записи чаще всего создаются на скорую руку, и им назначаются излишние права доступа. При этом благие намерения обеспечить их защиту должным образом после завершения установки обычно не воплощаются в жизнь. Напротив, как только эти учетные записи добавляются в группу «Domain Administrators», о них забывают. Впоследствии из-за текучести кадров и отсутствия документации теряется понимание того, как назначались привилегии УЗ, в каких приложениях используются те или иные учетные записи, и что они вообще существует.

Еще одна сложность заключается в том, что доменные служебные УЗ часто требуют скоординированной смены пароля, которая должна происходить одновременно как на уровне домена, так и на уровне приложения. В противном случае можно столкнуться с непредусмотренными простоями в работе. Но и координировать эти операции не всегда легко. В некоторых случаях пароли записаны открытым текстом в конфигурации приложения или исходном коде. Следовательно, пароли могут быть использованы злоумышленниками, если не предпринять специальных мер по защите паролей на сервере приложений и в копиях исходного кода у разработчиков.

Первый шаг к успеху – увидеть свои служебные аккаунты

Не имея возможности точно определить, как используются служебные УЗ, или с какими приложениями они связаны, ИТ-менеджеры вполне обоснованно опасаются менять их пароли. Если зависимости служебной УЗ неизвестны, то даже простая смена пароля может привести к остановке работы критически важных бизнес-систем, поэтому в большинстве случаев рисковать действительно не стоит.

Для того, чтобы обезопасить служебные УЗ, необходимо четко понимать действия каждой из них, проводить аудит использования и выявлять зависимости, что само по себе непросто. Ситуация осложняется и тем, что нужно назначать минимальные привилегии, а также применять рекомендованные ИБ-сообществом лучшие практики обеспечения безопасности (например, смена паролей). В итоге, управление служебными УЗ становится серьезной головной болью для организаций.

Что, если использовать PAM-решения для ротации паролей?

На рынке представлены некоторые решения, предназначенных для автоматической смены паролей локальных и доменных пользователей. Однако для их использования необходимо внести в приложение изменения, а именно заменить все явно прописанные пароли в исходном коде или конфигурации новым кодом, который динамически извлекает текущий пароль из хранилища. Таким образом, внедрение этих решений все еще требует глубокого понимания каждой служебной УЗ в домене, а также приложения, которое от нее зависит.

Горькая правда: в большинстве организаций считается нормой никогда не менять пароли. Между тем время реализации атаки настоящих злоумышленников и пентестеров сокращается до нескольких часов или дней, поэтому даже многообещающая политика о смене паролей для служебных УЗ каждый 30 дней не может защитить их от взлома.

У современных организаций есть тысячи локальных и облачных приложений — все они необходимы для выполнения критически важных бизнес-процессов, и многие из них используют служебные УЗ доменного уровня. В большинстве из них применяются механизмы аутентификации на основе паролей с использованием таких протоколов, как Kerberos, NTLM, LDAP или SMB, которые бывает сложно защитить, к тому же, необходимо управлять паролями как в Active Directory, так и в самом приложении, зависимом от УЗ. Это стало всеобщей проблемой.

Решение Silverfort для безопасного использования служебных учетных записей

Компания Silverfort известна тем, что создала первую платформу многофакторной аутентификации (МФА), которая не требует агентов, прокси или расшифрования трафика аутентификации. Платформа позволяет применять МФА на ресурсах и интерфейсах, которые раньше нельзя было защитить, например, на общих папках, административных ресурсах, PowerShell-сессиях, редакторе Windows-реестра, ИТ-инфраструктуре (маршрутизаторы, аппаратные средства, гипервизоры и многое другое) — и все это без использования программных агентов или встроенных прокси.

Рисунок 1. Панель консоли управления Silverfort — Silverfort непрерывно отслеживает всю активность, связанную с аутентификацией

Безагентная платформа аутентификации Silverfort обеспечивает детальный мониторинг действий по аутентификации во всей организации как в локальной, так и в облачной среде. Анализируется каждое событие аутентификации: пользователи, которые вводят логин и пароль для входа на рабочие станции, сервера или приложения, а также все служебные УЗ, используемые для межмашинного взаимодействия. Механизм управления рисками на основе ИИ в платформе Silverfort анализирует весь аутентификационный трафик в реальном времени и автоматически выявляет модели поведения, аномалии и угрозы, а также оценивает риски по каждому пользователю, устройству, ресурсу и попытке аутентификации.

Автоматическое выявление служебных аккаунтов

Расширенный уровень мониторинга Silverfort делает возможным автоматическое обнаружение доменных служебных аккаунтов. Служебные УЗ имеют предсказуемые модели поведения, что позволяет Silverfort автоматически идентифицировать и классифицировать их. Механизм управления рисками на основе ИИ Silverfort легко обнаруживает повторяющиеся и предсказуемые действия, связанные с аутентификацией, которые человек может не распознать. Например, учетная запись, использующая NTLMv1 с одного IP-адреса, аутентифицируется через день ровно в 6:16 утра. Silverfort также позволяет распознать поведение, характерное для машинной аутентификации, среди хаотичных действий, которые совершает пользователь: когда человек привязывает приложение к своей личной учетной записи, Silverfort выявит ее двойное использование в качестве пользовательского и служебного аккаунта. Автоматическое обнаружение служебных УЗ показано на скриншоте консоли управления Silverfort ниже.

Рисунок 2. Silverfort автоматически выявляет служебные УЗ

Silverfort не только автоматически выявляет служебные УЗ и их расположение, но и показывает, какова их аутентификационная активность, какие приложения от них зависят, а также какие УЗ обладают привилегированными разрешениями или используются человеком. Благодаря такому комплексному мониторингу контроль за служебными УЗ становится проще, управление ими – эффективнее и безопаснее, а, значит, появляется реальная возможность проводить частую ротацию паролей.

Рисунок 3. Silverfort предоставляет подробную информацию об обнаруженных служебных учетных записях и их зависимостях

«Виртуальное ограждение» служебных учетных записей с помощью Silverfort

После того, как мы выявили профили служебных УЗ, и определили, где они используются, и какие именно службы задействованы, можно приступить к обеспечению их безопасного использования. В Silverfort существует три основных типа политик аутентификации: разрешить, запретить доступ или потребовать второй фактор. По очевидным причинам внедрение МФА для служебных УЗ не имеет особого смысла — в конце концов, за этими учетными записями не следит человек, который может ответить на запрос второго фактора. Тем не менее, политики «разрешить доступ» и «запретить доступ» можно использовать для создания «виртуального ограждения»‎ вокруг служебных УЗ. Политики не позволяют служебным УЗ выйти за рамки их предсказуемого поведения аутентификации, которое наблюдалось ранее, и любые попытки получить доступ вне этих рамок будут заблокированы. Даже если служебная УЗ имеет права доступа к другим компьютерам, она не сможет подключиться к ним, если они находятся за пределами виртуального ограждения Silverfort.

Эта простая стратегия значительно снижает риск того, что взломанные служебные УЗ будут использоваться злоумышленниками для латерального движения по сети.

Рисунок 4. Обеспечение безопасного использования служебных учетных записей

Заключение

Служебные учетные записи – это всеобщая головная боль. Руководители ИБ и ИТ-менеджеры могут потерять не только сон, но иногда и свою работу из-за нарушенных бизнес-процессов, возникших из-за захвата сервисных УЗ. До сих пор доступные способы решения этой проблемы требовали нереалистичный уровень знания о служебных УЗ, использующихся в компании. Чтобы обеспечить надлежащую защиту, перед внедрением некоторых из таких решений требовалось внести и сложные изменения в прикладные приложения.

Платформа Silverfort проста в развертывании и представляет высокую бизнес-ценность благодаря возможности мониторинга и применения политик безопасности без использования агентов. Ее продвинутый механизм на основе ИИ автоматически обнаруживает использование служебных учетных записей и может применять политики, которые снижают риски, связанные с управлением служебными УЗ, без изменения паролей или кода приложений.

Узнайте больше о платформе защиты учетных данных Silverfort

Закажите демонстрацию или тестирование Silverfort по этой ссылке.

Об авторе

Тайгер Оптикс является специализированным дистрибьютором решений по кибербезопасности. Компания основана в 2010 году в Российской Федерации и имеет представительства в Казахстане, Беларуси, Азербайджане и Узбекистане.

Мы помогаем партнерам и заказчикам повышать защищенность на всем протяжении корпоративной ИТ-инфраструктуры – от гибридного ЦОДа до конечных точек – рабочих станций и мобильных устройств.

Веб-сайт: https://www.tiger-optics.ru/