Новости: Атака на корпоративную сеть через «заброшенный» аккаунт администратора домена
 
05.02.2021

Атака на корпоративную сеть через «заброшенный» аккаунт администратора домена

Атака на корпоративную сеть через «заброшенный» аккаунт администратора домена Атака на корпоративную сеть через «заброшенный» аккаунт администратора домена

Крупные утечки данных и успешные атаки вымогательского ПО могут быть результатом брешей не только в информационном периметре, но и быть вызваны уязвимостями в различных ИТ процессах в компании. Так, при отсутствии своевременного контроля за учетными записями, возникает риск их неправомерного использования.

На днях были обнародованы данные об атаке, произошедшей в начале этого года с одним из крупных клиентов фирмы Sophos. Первой точкой входа злоумышленников была уязвимость в ПО удаленной работы Citrix Storefront, дальнейшее продвижение по сети им обеспечили вредоносные инструменты Mimikatz и Cobalt Strike. А вот закрепиться и эскалировать привилегии до административных позволил заброшенный аккаунт администратора домена, хозяин которого, к несчастью, умер за несколько месяцев до атаки. Аккаунт выполнял некие сервисные функции в дополнение к непосредственным функциям администратора, и не был своевременно удален или корректно изменен.

Высокие привилегии в системе позволили злоумышленникам выкачать массу конфиденциальных данных и после чего запустить шифровальщик Netfilim – именно на этом этапе злоумышленники были наконец обнаружены и устранены. Но негативные последствия атаки для компании уже очевидны.

Совмещенные аккаунты (сервис + работа физического лица) с высокими привилегиями, вовремя не удаленные аккаунты, или не измененные права при изменении рабочего статуса сотрудника – все эти формы уязвимостей процессов управления учетными записями не редкость во многих доменных структурах. При этом они влекут за собой высокие ИБ риски умышленного и неумышленного злоупотребления полномочиями как от внутренних сотрудников, так и от хакеров. Не меньшие риски ведет наделение сотрудников ошибочными или конфликтующими правами в системах.

Системы класса IAG (Identity & Access Governance) позволяют не только управлять процессом предоставления прав и корректности идентификации субъектов, но и производить аудит и переаттестацию уже выделенных прав и учетных записей, обнаруживать несогласованные полномочия, превентивно выявлять несогласованные комбинации прав и оценивать риски для выделяемых сотруднику доступов.

Эксперты ГК Ангара рекомендуют следующие решения по управлению правами и привилегиями учетных записей:

  • Семейство решений One Identity компании Quest – полноценный IAG и PAM функционал с поддержкой облачных сред, в том числе в режиме сервиса.

  • 1IDM – российская платформа управления учетными записями и правами доступа пользователей.

По всем вопросам о системах IDM и IAG вы можете обратиться к менеджерам ГК Ангара по e-mail info@angaratech.ru или телефону 8-495-269-26-06.

Другие новости

Присоединиться к #AngaraTeam!