В этой статье мы представим краткий обзор платформы Silverfort, первой (и в настоящее время единственной) унифицированной платформы защиты личных данных на рынке. Запатентованная технология Silverfort направлена на защиту организаций от атак на основе идентификационных данных путем интеграции с существующими решениями для управления идентификацией и доступом, такими как AD (Active Directory) и облачные сервисы, а также распространения безопасных средств контроля доступа, таких как аутентификация на основе рисков и MFA (многофакторная аутентификация), на все их ресурсы. Сюда входят локальные и облачные ресурсы, устаревшие системы, средства командной строки и учетные записи служб.
Недавний отчет Silverfort и Osterman Research показал, что 83% организаций по всему миру столкнулись с утечкой данных из-за скомпрометированных учетных данных. Многие организации признают, что они недостаточно защищены от атак на основе идентификационных данных, таких как боковое перемещение и программы-вымогатели. Такие ресурсы, как средства доступа к командной строке и устаревшие системы, которые широко используются, особенно сложно защитить.
Начало работы: использование информационной панели
Ниже приведен скриншот информационной панели Silverfort (рисунок 1). В целом, она имеет очень интуитивно понятный пользовательский интерфейс. Слева приведен список типов пользователей: привилегированные пользователи, стандартные пользователи и учетные записи служб, а также способы их доступа к ресурсам: через локальные и облачные каталоги (AD, Azure AD, Okta), серверы федерации (Ping, ADFS) и VPN-соединения (RADIUS). В правой части экрана отображается список различных типов ресурсов, к которым пользователи пытаются получить доступ. Попытки доступа обозначены светящимися точками.
На этом дисплее демонстрируется уникальное отличие платформы – на сегодняшний день это единственное решение, способное интегрироваться со всей инфраструктурой идентификации в гибридной среде. Благодаря этой интеграции различные локальные и облачные каталоги пересылают каждую попытку аутентификации и доступа в Silverfort для анализа и вынесения вердикта о том, разрешать доступ или запрещать. Таким образом достигается защита в режиме реального времени для любого пользователя и ресурса, в чем мы вскоре убедимся более подробно.
На панели мониторинга также отображаются совокупности ценных данных, связанных с идентификацией: количество попыток аутентификации по протоколам и каталогам, доля проверенных аутентификаций, количество успешно защищенных пользователей и учетных записей служб, а также распределение пользователей по уровням риска (средний, высокий, критический).
Платформа включает в себя различные модули, каждый из которых решает разные проблемы защиты идентификационных данных. Сейчас мы рассмотрим два из них: расширенный MFA и сервисную защиту учетных записей.
Защита ресурсов с помощью расширенного MFA
MFA зарекомендовала себя как один из наиболее эффективных способов защиты от атак на основе идентификационных данных. Однако обеспечить защиту MFA на всех сетевых активах довольно сложно.
MFA традиционно полагается на агентов и прокси-серверы, что означает, что некоторые компьютеры никогда не будут охвачены ею. Либо потому, что ваша сеть слишком велика, чтобы иметь прокси-серверы на каждом отдельном компьютере, либо потому, что не все компьютеры способны устанавливать агенты.
Хотите увидеть Silverfort в действии? Запишитесь на бесплатную демонстрацию с нашей командой экспертов уже сегодня!
Более того, инструменты доступа к командной строке, такие как PsExec, PowerShell и WMI, несмотря на широкое использование сетевыми администраторами, изначально не поддерживают MFA. Эти и другие предварительные проверки подлинности управляются AD, но протоколы проверки подлинности AD (Kerberos, NTLM) просто не были разработаны для MFA, и злоумышленники это знают. AD проверяет только совпадение имен пользователей и паролей, поэтому злоумышленники, использующие законные учетные данные (которые могут быть скомпрометированы, а могут и не быть), могут получить доступ к сети и запускать атаки с использованием боковых перемещений и программ-вымогателей без ведома AD. Главное преимущество Silverfort заключается в том, что она действительно может применять MFA ко всем этим устройствам, чего не могут другие решения.
На экране политики (рис. 2) вы можете просмотреть существующие политики или создать новые.
Рисунок 2: Экран политики
Создание новой политики кажется довольно интуитивным, как показано на рисунке 3. Нам нужно определить тип аутентификации, соответствующие протоколы, на каких пользователей, источники и адресаты распространяется политика, а также необходимые действия. То, что здесь происходит, на самом деле довольно просто, но удивительно умно. AD отправляет все запросы на аутентификацию и доступ в Silverfort. Для каждого запроса Silverfort анализирует свои риски и связанные с ними политики, чтобы определить, требуется ли MFA. В зависимости от вердикта пользователю предоставляется доступ, блокируется или запрашивается предоставление MFA. Другими словами, политика в основном обходит ограничения, присущие старым протоколам, и применяет к ним MFA.
Рисунок 3: Создание политики
Обнаружение и защита учетных записей служб
Учетные записи служб представляют собой критическую проблему безопасности из-за их высоких прав доступа и практически нулевой видимости. Более того, учетные записи служб - это не люди, поэтому MFA не подходит, как и смена пароля с помощью PAM, что может привести к сбою критически важных процессов в случае сбоя их логинов. Фактически, все организации имеют несколько учетных записей служб, иногда до 50% от общего числа пользователей, и многие из них остаются неконтролируемыми. Вот почему злоумышленникам так нравятся скомпрометированные учетные записи сервисов - они могут использовать их для незаметного перемещения и получить доступ к большому количеству компьютеров, оставаясь незамеченными.
На рисунке 4 показан экран учетных записей служб. Поскольку Silverfort получает все запросы на аутентификацию и доступ, он способен идентифицировать учетные записи служб путем анализа повторяющегося поведения компьютера.
Рисунок 4: Экран учетных записей служб
Похоже, что у нас есть 162 учетные записи в разделе "От машины к машине". Мы можем фильтровать их на основе множества параметров. Предсказуемость, например, измеряет повторный доступ к одному и тому же источнику или получателю. Отклонения от этого шаблона могут указывать на вредоносную активность.
На рисунке 5 мы можем увидеть дополнительную информацию об учетных записях наших служб, такую как источники, пункты назначения, индикаторы риска, уровни привилегий и использование.
Рисунок 5: Экран проверки учетной записи службы
Для каждой учетной записи службы политики создаются автоматически в зависимости от ее поведения. Все, что нам нужно сделать, это выбрать между "оповещением", "блокировкой" и "оповещением SIEM" и включить политику (рисунок 6).
Рисунок 6: Политики учетной записи сервиса
Заключительные соображения
Платформа Silverfort действительно достигает своей цели - унифицированной защиты идентификационных данных. Ее способность применять MFA практически к любому ресурсу (такому как инструменты командной строки, устаревшие приложения, файловые ресурсы общего доступа и многие другие) и создавать политики за считанные секунды не имеет аналогов. Чрезвычайно ценно иметь полный доступ ко всем учетным записям сервиса и, наконец, иметь возможность защитить их. В заключение, платформа Silverfort предлагает инновационные возможности защиты личных данных, которые с каждым днем становятся все более необходимыми.
