S sistemom PAM lahko preprečite oz. omejite potek kraje podatkov
Kibernetski napadi s ciljem kraje vseh vrst osebnih podatkov so zadnjih nekaj let stalnica, njihov razvoj in intenzivnost pa sistemskim administratorjem pri preprečevanju in zgodnjem odkrivanju kraje podatkov povzročata precej težav. Strokovnjaki s področja kibernetske varnosti smo si enotni, da bo odločen napadalec vedno našel način, kako zaobiti varnostne sisteme in pridobiti željene podatke. Naša naloga je vzpostaviti takšen varnostni sistem, ki bo preprečil dostop večini »običajnih« napadalcev, hkrati pa otežil delo t.i. usmerjenim napadom/napadalcem ter omejil škodo, ki bi od morebitnem uspešnem napadu nastala.
Wallix je za leto 2019 analiziral tri izmed večjih napadov in podal opažanja o tem, kako bi se sistemi PAM (Privileged Account Management) lahko zoperstavili in napadalcem preprečili neomejeno gibanje po omrežju (t. i. bočno premikanje) in kraje podatkov.
Zaščita pred bočnim premikanjem in potekom kraje podatkov
V maju 2019 so v zavarovalniškem podjetju First American Financial odkrili 16 let staro varnostno pomanjkljivost njihove spletne aplikacije, ki je omogočala dostop do skoraj 900.000.000 občutljivih finančnih dokumentov (finančni prenosi, davčni podatki, slike za vozniška dovoljenja in vseh ostalih dokumentov vezanih na izdajo hipotek). Ranljivost je lahko izkoristil vsak, ki je imel dostop do veljavnega dokumenta, saj je s spremembo ID številke dokumenta v URL naslovu lahko dobil vpogled v dokumente druge osebe. Lahko bi rekli, da je izvedel fazo napada, ki ji pravimo bočno premikanje. V tem primeru bi podjetje moralo poskrbeti za ustrezno zaščito občutljivih podatkov. Vsak dokument bi moral biti zaščiten tako, da bi se za dostop do njega moral ne le ustrezno avtenticirati, ampak tudi izkazati pravico dostopa do njega. Že osnovni princip PAM zaščite s potrebo po zahtevi dostopa do dokumenta bi lahko preprečili bočne premike in s tem v celoti odpravili ranljivost aplikacije.
Napaka v konfiguraciji požarne pregrade podjetja Capital One je leta 2019 hekerjem omogočila dostop do baze nekriptiranih uporabniških imen in gesel, ki so jih izkorisitili za dostop/krajo občutljivih podatkov preko 100 milijonov Američanov. Če odmislimo napako na požarni pregradi, bi sistem PAM lahko pomagal na več načinov. Glede na osnovne naloge PAM-a, ki nadzor nad tem, kdo ima privilegiran dostop do česa, je zelo verjetno, da heker po uspešni pridobitvi dostopa do omrežja ne bi imel možnosti izvajanja bočnih premikov oz. preskoka na druge naprave, ker za to ne bi imel ustreznih pravic. Tudi če bi pridobil poverilnice s privilegiranimi pravicami, pa bi ga bilo mogoče zaustaviti na podlagi časa in IP naslova, iz katerega bi želel dostopati do podatkov. Ustrezno spreminjanje gesel računov ciljnih naprav/domenskih računov ob vsaki prijavi/odjavi (Password Manager modul) bi ponovno preprečilo možnost uporabe pridobljenih poverilnic za preskakovanje/prijavo na druge sisteme v omrežje. Podoben napad je doživel tudi inštitut Georgia Tech, načini, kako bi PAM lahko pomagal pa so praktično isti. V obdobju treh mesec so napadalci dostopali do ene glavnih podatkovnih baz omenjene organizacije in s tem pridobili dostop do podatkov o preko 1,3 milijona študentov/bivših študentov in zaposlenih.
Za varnost je potrebno poskrbeti celostno
V vseh treh omenjenih primerih in tudi ostalih primerih napadov je razvidno, da so načini napadalcev, kako priti v informacijski sistem organizacij različni, predvsem pa čedalje bolj domiselni in izpopolnjeni. Sam sistem PAM ni zadostna obramba, saj je za to potrebno poskrbeti celostno, na vseh nivojih (glede na OSI model), v osnovi pa predvsem v ustrezni nastavitvi požarnih pregrad in zaščiti oddaljenih dostopov v naročnikovo omrežje (glede na izkušnje se še vedno za dostop do omrežja prepogosto uporablja t. i. port-forwarding). Ustrezne rešitve na vseh nivojih, ki delujejo kot zaključena celota, so edini pravi način za zagotavljanje najvišjega nivoja informacijske varnosti.
Poleg sistema samega pa moramo posvečati pozornost tudi ozaveščanju uporabnikov o možnih nevarnostih, ki nanje pretijo na Internetu ter s tem zmanjšati tveganje t. i. človeškega faktorja.
Strinjam se, da zagotavljanje kibernetske obrambe ni lahka naloga, zato je priporočljivo, da povprašate za mnenje strokovnjake, ki vam podajo objektiven pogled in predlog najoptimalnejše rešitve.
Prispevek je pripravil Matevž Kuhelj.