Niedoceniany element bezpieczeństwa.
Zmienia się środowisko pracy
Konsekwencje cyberprzestępczości są coraz bardziej kosztowne: dziewiąte, roczne badanie kosztów cyberprzestępczości firmy Accenture pokazało, że średni wpływ finansowy na firmę wzrósł globalnie o 1,4 mln USD do 13 mln USD w 2018 roku. Jeśli pierwsza połowa 2020 roku jest jakimś miernikiem tego co będzie się działo dalej w przyszłości to liczba ta będzie nadal rosnąć. Osoby atakujące będą wykorzystać pojawiające się możliwości, takie jak te związane ze zmieniającym się środowiskiem pracy, i będą atakować najsłabsze ogniwa organizacji.
Utrzymanie ciągłości biznesowej i odporności w obliczu tego dynamicznego krajobrazu zagrożeń zaczyna się od zrozumienia sposobu myślenia atakującego. Ich motywacje mogą się różnić - od zysków finansowych i szpiegostwa po zakłócenia działalności - ale cykl ataków pozostaje względnie stały.
Zwiększanie uprawnień
Zmotywowani napastnicy będą początkowo używać dość standardowych środków, aby zdobyć przyczółek w sieci, takich jak phishing czy wykorzystanie znanej luki w zabezpieczeniach oprogramowania. Ale kiedy już się przedostaną, możemy się spodziewać prób wykorzystania kont uprzywilejowanych, z możliwie szerokim dostępem administracyjnym. Tylko one pozwolą przeprowadzić rozpoznanie lub utrzymać trwały dostęp do zaatakowanej w sieci – a wszystko w celu przeprowadzenia dalszych ataków.
Mamy więcej kont uprzywilejowanych w swoich sieciach
Dlatego też uzyskanie uprzywilejowanego dostępu jest najwyższym priorytetem dla atakujących. Problem polega na tym, że szybka transformacja biznesowa spowodowana inwestycjami w technologie cyfrowe przyczyniła się do rozprzestrzeniania się uprzywilejowanych kont w środowiskach chmurowych i hybrydowych, otwierając jeszcze więcej potencjalnych punktów dostępu. Na przykład krytyczne procesy biznesowe, aplikacje i instancje w chmurze mają powiązane konta uprzywilejowane wymagane do ich utrzymania i pomocy w ich ochronie. Zabezpieczenie uprzywilejowanego dostępu pomaga zmniejszyć potencjalny zakres ataku.
Zatrzymać eskalację uprawnień
Badanie przeprowadzone przez Ponemon Institute w 2019 roku wykazało, że 60 procent naruszeń danych dotyczyło niezałatanych luk w zabezpieczeniach. Dla atakującego sama luka stanowi „otwarte drzwi”, pozwalające mu zdobyć początkowy punkt zaczepienia. Krytycznie ważną kwestią jest to, w jaki sposób atakujący mogą wykorzystać to początkowe wejście do eskalacji uprawnień.
Nowoczesny program do zarządzania dostępem uprzywilejowanym narzuca zasadę najniższych uprawnień, aby zapewnić użytkownikom dostęp tylko do wykonywania ich funkcji - i nic więcej. Pomaga to ograniczyć uprawnienia superużytkownika czy administratora, co dodatkowo zmniejsza zasięg ataku. Eskalując uprawnienia, osoby atakujące mogą bowiem skutecznie przenosić się z miejsca na miejsce, w tym ze środowisk lokalnych, do środowisk chmurowych i odwrotnie.
Spowolnić rozprzestrzenianie się oprogramowania ransomware
Chociaż ataki ransomware zwykle rozpoczynają się na punkcie końcowym (stacji roboczej), ich celem jest szyfrowanie plików, aplikacji lub systemów, tak aby osoby atakujące mogły przetrzymywać organizację jako zakładnika do czasu zapłacenia okupu. Jeden laptop nie przyniesie przestępcy „godziwej” (jeśli to dobre słowo) wypłaty, ale z pewnością włamanie do całej sieci już tak. Przeskok z end-pointa na urządzenia sieciowe (routery, serwery) jest więc krytycznym aspektem strategii ransomware. Rozsądne zarządzanie uprzywilejowanym dostępem może ograniczyć rozprzestrzenianie się ransomware i utrzymywać je w stanie pierwotnej infekcji. Badania CyberArk Labs, które przetestowały 2,5 miliona wariantów oprogramowania ransomware, wykazały, że usunięcie lokalnych praw administratora w połączeniu z kontrolą aplikacji na punktach końcowych skutecznie powstrzymało rozprzestrzenianie się oprogramowania wymuszającego okup.
Zapobieganie przejmowaniu kont
Rozwiązania do zarządzania dostępem uprzywilejowanym - zwłaszcza te, które obejmują kontrolę dostępu just in time - mogą radykalnie zmniejszyć powierzchnię ataku poprzez zabezpieczenie poświadczeń uwierzytelniania rozproszonych w różnych środowiskach. Podejście just-in-time pomaga zapewnić odpowiedni poziom dostępu do właściwych zasobów przez odpowiedni czas, eliminując stale aktywne konta, których tak pożądają atakujący.