Amenințările persistente avansate (APT) nu sunt noi. În urmă cu zece ani, în știri existau numeroase povești despre modul în care atacurile APT au fost folosite pentru a invada cu succes diferite companii, dar aceste atacuri nu s-au oprit. Grupurile bine organizate și uneori susținute de stat, continuă să profite de atacurile APT pentru a invada organizații din întreaga lume.
Noile cercetări efectuate de BlackBerry au constatat că cel puțin cinci grupuri APT chineze au fost implicate într-o campanie de lungă durată pentru a fura proprietatea intelectuală și alte date sensibile și că „accesul pe care aceste grupuri l-au dobândit în ultima perioadă ani le-ar putea permite să exploateze recenta creștere a telemuncii, din cauza pandemiei COVID-19.”
Pașii de atac sunt surprinzător de simpli:
• Obțineți acces și extindeți-vă. Pentru a accesa rețeaua, Grupurile APT vor exploata o vulnerabilitate din sistem pentru a fura acreditările necesare.
• Privilegiile ridicate. Odată ajunse în interior, Grupurile APT vor încerca să își mărească privilegiile, astfel încât să poată da comenzi și să aibă acces la orice resurse doresc.
• Investigați și deplasați-vă lateral. Grupurile APT rareori aterizează în locul exact în care se află datele pe care le caută, așa că vor investiga și se vor deplasa în rețea pentru a se apropia de obiectivul lor final.
• Creați haos. Odată ce grupurile APT au accesul de care au nevoie și au găsit exact ceea ce caută, atacatorii sunt liberi să facă ravagii (de exemplu, furt, întreruperi de afaceri etc.).
Deci, unde ajută Managementul Accesului Privilegiat (PAM) al Symantec să ajute la întreruperea acestei secvențe de atac?
Importanța PAM în apărarea împotriva APT
Deși nu există niciun glonț de argint în apărarea împotriva APT-urilor, există mai multe abordări și tehnologii, care atunci când sunt combinate ajută la reducerea atât a potențialului de învadare, cât și la atenuarea daunelor dacă ar avea loc. În mod tradițional, abordarea inițială a fost securizarea perimetrului folosind firewall-uri și sisteme de detectare a intruziunilor.
Aceste sisteme sunt încă critice și utilizate pe scară largă de multe organizații, dar pe măsură ce perimetrul se mută la „margine”, organizațiile trec la modelele Zero Trust. Cu toate acestea, indiferent cât de sigur îți faci perimetrul, trebuie să presupui că hackerii vor găsi o cale în interiorul apărărilor tale exterioare (nu le numesc „persistente” degeaba), și aici intervin tehnologiile PAM pentru a continua lupta.
Tehnologiile PAM implementează principiul Zero Trust și accesul cel mai puțin privilegiat prin acordarea accesului doar către anuimite conturi și acreditări.
Odată ce un hacker câștigă un punct de reper în rețea, următorul pas este extinderea și ridicarea privilegiilor lor până când pot avea acces la datele pe care le caută. De fapt, Forbes a constatat că aproape 74% dintre încălcările de date încep cu abuzuri privilegiate de acreditări. Instrumentele PAM formează apărarea de bază împotriva APT prin controlul accesului la acreditări și conturi privilegiate și monitorizarea utilizării acestora ca mijloc de detectare timpurie a comportamentelor neobișnuite sau riscante.
Tehnologiile PAM implementează principiul Zero Trust și cel mai puțin privilegiat prin acordarea doar a accesului bazat pe politici la aceste conturi și acreditări. De asemenea, urmăresc toate activitățile, atât pentru a contribui la asigurarea responsabilității, cât și pentru a ajuta la o anchetă privind încălcarea securității. În plus, articolul Dark Reading spunea, de asemenea, că, deși atacurile APT sunt „atacuri pe mai multe platforme” pe servere backend, „Linux [este] un punct de atac deosebit, deoarece sistemele Linux pentru întreprinderi nu sunt de regulă la fel de bine protejate ca alte infrastructuri”. Din nou, tehnologiile PAM pot interveni pentru a vă întări serverele cu misiune critică, în special mediul Linux.
Controale de acces cu granulație fină pentru serverele critice
Controalele de acces cu granulație fină, pe lângă faptul că sunt bune practici de securitate, sunt deosebit de utile în prevenirea și atenuarea daunelor cauzate de un APT. Odată ce atacatorii obțin privilegii administrative, aceștia instalează de obicei „rootkit-uri” din spate și încep să exporte date sensibile. Cu controale de acces adecvate, un atacator este limitat și poate fi împiedicat să acceseze fișiere sensibile, să execute comenzi rău intenționate, să instaleze programe, să oprească sau să pornească servicii sau să schimbe fișiere jurnal.
Pe un sistem în care sunt implementate controale fine, un atacator poate fi forțat să compromită mai multe conturi pentru a face ceea ce era posibil anterior cu un singur cont. În plus, implementarea controalelor de acces cu granulație fină poate reduce, de asemenea, riscul uneia dintre cele mai mari deficiențe de securitate dintr-o organizație: oamenii săi. Prin limitarea accesului la sisteme și date critice pentru angajații privilegiați, daunele care pot fi făcute de un atacator sunt diminuate.
Symantec Privileged Access Management
Symantec PAM este conceput pentru a preveni încălcările de securitate, protejând acreditările administrative sensibile, controlând accesul utilizatorilor privilegiați, aplicând în mod proactiv politicile de securitate, monitorizând și înregistrând activitatea utilizatorilor privilegiați în medii virtuale, cloud, hibride și fizice.
Symantec PAM este o componentă fundamentală pentru stabilirea Zero Trust, dar soluția oferă, de asemenea, mai multe capabilități critice care apără împotriva APT, inclusiv un seif de acreditări privilegiat, înregistrarea sesiunii și analiza amenințărilor pentru a gestiona și monitoriza accesul utilizatorilor la conturi și acreditări privilegiate.
Symantec PAM oferă, de asemenea, întărirea serverului pentru Windows, Unix și Linux prin intermediul agenților săi de control al serverului. Acești agenți sunt bazați pe nucleu și sunt instalați pe punctele finale țintă și pot controla atât comunicațiile de intrare, cât și cele de ieșire, restricționând pachetele după IP sursă, protocol și port TCP. Aceștia pot bloca exploatările de executare a codului și instalarea software-ului „backdoor” și pot permite monitorizarea integrității fișierelor pentru a detecta modificările aduse fișierelor cheie, cum ar fi cele realizate de „kiturile rădăcină”. În cele din urmă, agenții de control ai serverului pot fi configurați în așa fel încât niciun utilizator să nu fie autorizat să le închidă fără a avea acces fizic la sistem. Acest lucru ar împiedica un hacker extern să încerce să dezactiveze agenții.
Combinate, aceste capabilități abordează provocările provocate de atacurile APT, întrerupându-le capacitatea de a-și ridica în continuare privilegiile și de a compromite serverele critice ale misiunii. În plus, soluția noastră bazată pe dispozitive se instalează rapid și este ușor de utilizat și de întreținut. De asemenea, oferă performanțe de neegalat și scalabilitate de 10 ori comparativ cu principalii noștri concurenți; aceasta produce cel mai mic cost total de proprietate din industrie.
SolvIT Networks distribuie în România soluțiile de management al sistemului, securității și stocării ale companiei Symantec, care vin in ajutorul clienților.