Предотвращение использования украденных учетных данных

[Carder]

В этом документе объясняются риски, связанные с использованием украденных учетных данных, и способы их уменьшения.

Введение​

Информация организации часто уязвима для компрометации с использованием украденных учетных данных. Этот риск увеличивается, когда пользователи получают доступ к конфиденциальной информации и услугам через решения для удаленного доступа, включая виртуальные частные сети (VPN). В этом документе объясняются риски, связанные с использованием украденных учетных данных, и способы их уменьшения.

Злоумышленники могут выдавать себя за пользователя без их ведома.​

Украденные учетные данные могут использоваться злоумышленником для обхода мер безопасности, которые организация внедрила для защиты конфиденциальной информации и услуг. С этими законными учетными данными злоумышленник может выдать себя за пользователя без его ведома.
Имея законные учетные данные, злоумышленник может использовать решения удаленного доступа, чтобы замаскировать свои действия и избежать обнаружения. Отсутствие регулярного аудита журналов из решений для удаленного доступа увеличивает риск и степень компрометации.
Хотя многофакторная аутентификация обеспечивает дополнительный уровень безопасности, некоторые реализации более эффективны, чем другие. Многофакторная аутентификация, которая не была реализована или настроена должным образом, может привести к ложному чувству безопасности и сделать организацию уязвимой.

Стратегии смягчения последствий​

Основная восьмерка из стратегий смягчения инцидентов кибербезопасности должна быть реализована как минимум в сетях. Однако организациям, которые позволяют персоналу получать доступ к своей сети через решения для удаленного доступа, следует реализовать следующие дополнительные стратегии смягчения:

• Отключите поддержку паролей LanMan и кешированные учетные данные на рабочих станциях и серверах, чтобы злоумышленнику было сложнее взломать хэши паролей.
• Реализуйте сегментацию сети и сегрегацию по зонам безопасности для защиты конфиденциальной информации и критически важных служб, таких как ключевые бизнес-системы, аутентификация пользователей и информация о пользователях в каталоге. Организации должны назначать удаленным пользователям более низкий уровень надежности и ограничивать то, к чему они могут получить удаленный доступ в сети организации. Это включает запрет на прямой удаленный доступ для привилегированных учетных записей.
• Централизовать и синхронизировать регистрацию успешных и неудачных компьютерных событий и проводить регулярный анализ журналов. Журналы следует хранить не менее 18 месяцев. Анализ должен быть сосредоточен на сетевых администраторах, высшем руководстве и их персональном вспомогательном персонале, а также на доступе к сети через решения для удаленного доступа.
• Монитор для:
  • учетные данные удаленного доступа используются одновременно с двух разных IP-адресов
  • учетные данные удаленного доступа, используемые с IP-адреса, который географически привязан к стране, в которой пользователь физически не находится
  • учетные данные удаленного доступа, используемые с IP-адресов, которые находятся в разных странах, где время, прошедшее между доступом к VPN, недостаточно для того, чтобы пользователь мог путешествовать между странами
  • один IP-адрес пытается пройти аутентификацию как несколько разных пользователей
  • изменения свойств учетных записей пользователей, например, активация опций «пароль никогда не истекает», «включить обратимое шифрование пароля» или «без блокировки после X попыток ввода неверного пароля»
  • повторное включение ранее отключенных учетных записей пользователей или добавление новых учетных записей пользователей.