Поиск аномалий и предотвращение утечек: как сигнатурный анализ помогает обнаружить угрозы изнутри

Меня зовут Александр Щербаков и сегодня я расскажу, как системы Privileged Access Management помогают контролировать действия привилегированных пользователей (таких как системные администраторы, управленцы, девопсы и проч.) с помощью сигнатурного анализа. Привилегированные пользователи — в силу своих обязанностей — обладают расширенным доступом к инфраструктуре. Любые их ошибки, небрежность или недобросовестные действия могут нанести организации большой вред.
The Devil You Know
Злоупотребление полномочиями, человеческий фактор, нарушение внутренних регламентов — все это причины, по которым компания рискует столкнуться с утечкой критичных данных и вмешательством в работу инфраструктуры. Например, в 2022 году сотрудник Yahoo, имея привилегированный доступ к данным компании, выкрал интеллектуальную собственность, чтобы передать конкурентам — более 500 тыс. файлов, в том числе с исходным кодом. Похожие инциденты в прошлом происходили и с российскими компаниями — в том числе с банками.
Виновниками таких инцидентов могут быть и злоумышленники, получившие доступ к привилегированным учеткам. Кража логинов и паролей становится одним из распространённых методов атак. Мониторить активность привилегированных пользователей помогают решения класса PAM. С их помощью можно отслеживать, кто, когда и откуда заходил на учетную запись, вести логи и проводить аудит. В компаниях с PAM ИБ-инциденты происходят на 48% реже. Сокращать число инцидентов помогает анализ действий привилегированных пользователей на основе сигнатур.

Сигнатурный анализ
Инфраструктура PAM анализирует процессы, происходящие в привилегированных сессиях, и представляет их в виде событий. Каждое событие описывается следующими свойствами:
1.Субъект действия — привилегированный пользователь, который произвел некоторую операцию,
2.Привилегированная учетная запись, от имени которой выполняется операция,
3.Ресурс — защищаемая система, на которой произошло событие,
4.Выполняемое либо выполненное действие,
5.Объект действия,
6.Привилегированная сессия, в ходе которой возникло событие,
7.Время события.
  • Как правило, более простые модели с меньшим количеством свойств (например, оперирующие исключительно командами, которые запускает пользователь) не позволяют нарисовать полную картину происходящего в рамках сессии. Следовательно, на них нельзя построить по-настоящему эффективный механизм контроля.

Читайте продолжение на habr.ru

Другие новости

    Форма
    контакты
    Телефон
    E-mail
    129 085, г. Москва
    ул. Годовикова, д. 9, стр. 17
    Адрес
    Все права защищены © Avanpost 2024