Поиск аномалий и предотвращение утечек: как сигнатурный анализ помогает обнаружить угрозы изнутри
Меня зовут Александр Щербаков и сегодня я расскажу, как системы Privileged Access Management помогают контролировать действия привилегированных пользователей (таких как системные администраторы, управленцы, девопсы и проч.) с помощью сигнатурного анализа. Привилегированные пользователи — в силу своих обязанностей — обладают расширенным доступом к инфраструктуре. Любые их ошибки, небрежность или недобросовестные действия могут нанести организации большой вред.
The Devil You Know Злоупотребление полномочиями, человеческий фактор, нарушение внутренних регламентов — все это причины, по которым компания рискует столкнуться с утечкой критичных данных и вмешательством в работу инфраструктуры. Например, в 2022 году сотрудник Yahoo, имея привилегированный доступ к данным компании, выкрал интеллектуальную собственность, чтобы передать конкурентам — более 500 тыс. файлов, в том числе с исходным кодом. Похожие инциденты в прошлом происходили и с российскими компаниями — в том числе с банками. Виновниками таких инцидентов могут быть и злоумышленники, получившие доступ к привилегированным учеткам. Кража логинов и паролей становится одним из распространённых методов атак. Мониторить активность привилегированных пользователей помогают решения класса PAM. С их помощью можно отслеживать, кто, когда и откуда заходил на учетную запись, вести логи и проводить аудит. В компаниях с PAM ИБ-инциденты происходят на 48% реже. Сокращать число инцидентов помогает анализ действий привилегированных пользователей на основе сигнатур.
Сигнатурный анализ Инфраструктура PAM анализирует процессы, происходящие в привилегированных сессиях, и представляет их в виде событий. Каждое событие описывается следующими свойствами: 1.Субъект действия — привилегированный пользователь, который произвел некоторую операцию, 2.Привилегированная учетная запись, от имени которой выполняется операция, 3.Ресурс — защищаемая система, на которой произошло событие, 4.Выполняемое либо выполненное действие, 5.Объект действия, 6.Привилегированная сессия, в ходе которой возникло событие, 7.Время события.
Как правило, более простые модели с меньшим количеством свойств (например, оперирующие исключительно командами, которые запускает пользователь) не позволяют нарисовать полную картину происходящего в рамках сессии. Следовательно, на них нельзя построить по-настоящему эффективный механизм контроля.