Na czym polega analiza zachowań użytkownika uprzywilejowanego?

Elementem wspólnym dla większości najbardziej skomplikowanych cyberataków jest zdobycie przez atakującego danych uwierzytelniających do kont użytkowników uprzywilejowanych. Potwierdzają to wyniki ankiety przeprowadzonej podczas Thycotic’s Black Hat 2015, w której aż 45% hakerów wskazało konta uprzywilejowane jako ich „ulubiony” cel.

Kluczową częścią zarządzania bezpiecznym środowiskiem IT jest odpowiednie przechowywanie poświadczeń kont uprzywilejowanych i zabezpieczanie dostępu do systemów, z których korzystają użytkownicy uprzywilejowani.

Jest to niezwykle istotne, ponieważ uprzywilejowanymi użytkownikami są m.in. administratorzy sieci czy specjaliści zajmujący się bezpieczeństwem IT z uprawnieniami do wprowadzania zmian w całym środowisku IT firmy oraz z dostępem do poufnych informacji firmy, m.in.: danych personalnych pracowników, szczegółów wynagrodzeń czy danych finansowych.

Rozwiązania przeznaczone do zarządzania tymi użytkownikami, takie jak PIM (Privileged Identity Management – zarządzanie uprzywilejowanymi tożsamościami) czy PAM (Privileged Access Management – zarządzanie uprzywilejowanym dostępem) zasadniczo bazują na systemie zarządzania hasłami. Mogą one wprawdzie ograniczyć dostęp do sieci, ale nie uchronią organizacji przed niewłaściwym wykorzystaniem czy nadużyciem uprzywilejowanych kont.   

SYSTEM ZARZĄDZANIA HASŁAMI NIE WYSTARCZY

W momencie logowania się użytkownika do systemu, jedynym sposobem odróżnienia przyjaciela od wroga jest pojedyncze uwierzytelnienie – czy to za pomocą hasła, uwierzytelnienia wieloczynnikowego, czy systemu zarządzania hasłami. Podstawowym problemem takiego rozwiązania jest to, że uwierzytelnienie odbywa się tylko razy na początku sesji.

Po wykonaniu autoryzacji, użytkownik konta uprzywilejowanego – lub atakujący – może zrobić cokolwiek. Jeśli atakujący dostał się do systemu, wykorzystując np. metodę tzw. phishingu, może przejąć kontrolę nad komputerem danego użytkownika, pozyskać hasła zapisane w pamięci podręcznej oraz zdobyć dostęp do interesujących go poświadczeń. Może także przemieszczać się z jednego urządzenia na drugie w poszukiwaniu uprzywilejowanego użytkownika.

W takiej sytuacji niewiele można zrobić, by przeszkodzić atakującym w kradzieży wrażliwych danych, tym bardziej że organizacje w momencie „rozpoznawania terenu” przez atakującego często nawet nie wiedzą, że do ich środowiska IT dostał się intruz.

CYFROWE ŚLADY UŻYTKOWNIKA UPRZYWILEJOWANEGO

Uprzywilejowani użytkownicy korzystając z infrastruktury firmy zostawiają w całym systemie ślady swojej obecności. Ich działania pojawiają się w rejestrach zdarzeń, ścieżkach audytu i w wielu innych miejscach. Te ślady stanowią ogromną ilość cennych danych, które narzędzia PUBA (Privileged User Behavior Analytics), analizujące zachowanie użytkowników uprzywilejowanych, wykorzystują do budowania profili behawioralnych użytkownika.

Każdy uprzywilejowany użytkownik ma niepowtarzalny wzór zachowania, np. loguje się do systemu o stałych porach dnia i używa określonych poleceń. Pierwszym krokiem dla narzędzi PUBA – jest zebranie tych informacji. Dzięki skorelowaniu gromadzonych danych z różnymi algorytmami uczenia maszynowego można zbudować bazę tego, co jest "normalne" dla poszczególnych użytkowników.

Takie „cyfrowe” ślady  użytkowników z wysokimi uprawnieniami dostępu gromadzi Blindspotter firmy Balabit. Następnie na ich podstawie i za pomocą zaawansowanych algorytmów uczenia maszynowego, tworzy profil użytkownika, który staje się bazą do identyfikacji nietypowych aktywności, potencjalnie niebezpiecznych. Należą do nich np. niestandardowe godziny, kiedy użytkownik loguje się do sieci wewnętrznej firmy. Jeśli taka aktywność zostanie wykryta, zespół ds. bezpieczeństwa otrzymuje ostrzeżenie i może zapobiec naruszeniu danych przed jego wystąpieniem.

Blindspotter umożliwia zatem weryfikację w czasie rzeczywistym tego, czy osoba korzystająca z konta uprzywilejowanego jest faktycznie do tego uprawniona.

Rozwiązanie Balabitu do analizy zachowań użytkowników uprzywilejowanych jest częścią platformy Contextual Security Intelligence (CSI) – systemu bezpieczeństwa, który zwiększa wydajność i przejrzystość procesów bezpieczeństwa. Platforma obejmuje niezawodny system i aplikację do zarządzania rejestrami zdarzeń (Log Management) z kontekstowym, świadomym przetwarzaniem danych, monitoring uprzywilejowanych użytkowników (Privileged User Monitoring), tworzenie ich profili oraz analizę zachowań i ocenę ryzyka (User Behavior Analytics).