W sieci dużo mówi się na temat rozwiązań EDR chroniących punkty końcowe, XDR pozwalających wykrywać, analizować i reagować na zaawansowane zagrożenia czy dyrektywie NIS 2 mającej na celu podniesienie poziomu cyberbezpieczeństwa firm z kluczowych branż dla gospodarki i administracji na terenie całej Unii Europejskiej. Wciąż jednak zbyt mało mówi się o konieczności ochrony przed zagrożeniami tożsamości, bo co, jeśli cyberprzestępca zaloguje się poświadczeniami wykradzionymi naszemu pracownikowi? Czy będziemy w stanie go rozpoznać?
Aktualne zagrożenia tożsamości
Jak podaje CrowdStrike Global Threat Report, ponad 75% ataków w 2023 r. miało charakter bezpośredni i odbyło się bez użycia złośliwego oprogramowania, a 80% z nich bazowało właśnie na skradzionych poświadczeniach. Adwersarze widocznie odchodzą od ataków na oprogramowanie antywirusowe i zapory sieciowe na rzecz poszukiwania sposobów na przejęcie danych uwierzytelniających i tożsamości. Ich posiadanie pozwala cyberprzestępcom łatwo poruszać się po sieciach, eskalować uprawnienia i daje dostęp do krytycznych zasobów i danych organizacji.
Jak działają adwersarze?
Dane pozyskiwane są coraz częściej za pomocą phishingu i ataków socjotechnicznych. Pracownik nie musi już pobierać z sieci zainfekowanego pliku. Zamiast tego cyberprzestępcy, powołując się na firmę lub zaufane instytucje, wyłudzają dane telefonicznie, mailowo czy przez formularze, które na pierwszy rzut oka wyglądają całkowicie niegroźnie. Niezmiennie dochodzi też do wykorzystania prostych, typowych, starych lub domyślnych haseł oraz przechwyconych haseł używanych na wielu kontach lub współdzielonych przez wielu użytkowników. Atakowane są również konta administratorów, użytkowników usług i użytkowników uprzywilejowanych, a także źle skonfigurowane lub podatne na ataki kontenery korporacyjne czy banki danych. W raporcie CrowdStrike możemy przeczytać, że w ostatnim roku ilość aukcji dotyczących zakupu skradzionych poświadczeń w sieci Dark Web wzrosła aż o 147%.
Active Directory celem ataków
Powierzchnia ataku na tożsamość stale się powiększa. Obecnie wiele przedsiębiorstw posiada mnogą ilość katalogów tożsamości dla swoich środowisk lokalnych oraz chmurowych, często wykorzystując Microsoft Active Directory lokalnie, Entra i Okta AD w chmurze lub tworzy hybrydy lokalno-chmurowe.
Active Directory (AD) stanowi kluczową usługę w infrastrukturze IT wielu firm, pełniąc rolę fundamentu zarządzania tożsamościami oraz zasobami. Z uwagi na swoją strategiczną rolę, a także luki w infrastrukturze od początku swojego istnienia, staje się najczęstszym celem ataków. Jak podaje CrowdStrike w swoim raporcie, 50% organizacji doświadczyło ataków na AD w ostatnich dwóch latach, a aż 40% z nich zakończyło się sukcesem cyberprzestępców.
Zagrożenia dla łańcuchów dostaw
Na ataki narażone są także łańcuchy dostaw. Współpracując z partnerami biznesowymi czy dostawcami usług, często wymieniamy dane za pomocą integracji lub korzystając z systemów IT stron trzecich. Cyberprzestępcy starają się zidentyfikować partnerów z najsłabszym poziomem bezpieczeństwa i wykorzystują luki w ich systemach komunikacyjnych, by dostać się do zasobów firmy. Jak podaje CrowdStrike Threat Report, ponad 25% z tego typu ataków jest dokonywanych z niezarządzalnych hostów, takich jak komputery dostawców, nad którymi nie mamy pełnej kontroli, a które mogą łączyć się do naszej sieci. Zagrożonymi obszarami są także pracownicy zdalni oraz dostępy do zasobów chmurowych.
Skuteczne rozwiązania odpierające ataki
Aby czerpać z innowacji, potrzeba więc skutecznej ochrony, która poradzi sobie ze złożonością środowisk i nowoczesnymi technikami adwersarzy. Ważne jest, by redukować powierzchnię ataku, wcześnie je wykrywać, a także egzekwować zasady i ograniczać pojawiające się ataki. Rozwiązanie, którego potrzebujesz, powinno oferować trzy ważne możliwości, dzięki którym efektywnie zatrzymasz ataki oparte o tożsamość: pełną widoczność zdarzeń, ochronę przed atakami w czasie rzeczywistym oraz reakcję opartą na analizie ryzyka. Takim rozwiązaniem jest CrowdStrike Falcon® Identity Threat Protection, które wykrywa i zatrzymuje naruszenia tożsamości w czasie rzeczywistym w złożonym środowisku tożsamości hybrydowej, za pomocą pojedynczego sensora i ujednoliconego interfejsu zagrożeń z korelacją ataków w punktach końcowych, obciążeniach, tożsamości i danych.
Redukcja powierzchni ataku
Aby zredukować powierzchnię ataku, kluczowe jest posiadanie pełnego wglądu w użytkowników, konta, grupy, role i uprawnienia we wszystkich systemach przedsiębiorstwa, zarówno lokalnych, jak i chmurowych. Skanowanie katalogów tożsamości i banków danych pozwala zespołom SOC, na podstawie zdobytych w ten sposób informacji, podjąć właściwe działania, takie jak zastępowanie nieodpowiednich haseł czy eliminacja niepotrzebnych uprawnień. Zaawansowane rozwiązanie, takie jak CrowdStrike Falcon® Identity Threat Protection, pozwala dodatkowo uzyskać ujednolicony obraz wrażliwych punktów oraz skonsolidowane oceny ryzyka dla użytkowników w oparciu o ich konta i działania na wszystkich platformach organizacji. Dla wygody użytkownika, a przede wszystkim po to, by móc podjąć działania natychmiastowo, wszystkie dane zgromadzone są w jednym miejscu.
Wykrywanie ataków w czasie rzeczywistym
Kolejnym niezbędnym elementem ochrony przed zagrożeniami tożsamości jest wykrycie ataku, zanim wygeneruje on jakiekolwiek szkody. Rozwiązania bezpieczeństwa wykrywają podejrzane lub złośliwe działania, najczęściej wyodrębniając dane z wielu dzienników zdarzeń. Proces ten, niestety, bywa powolny i niekompletny, ponieważ wiele przydatnych danych nie zawsze jest rejestrowanych. Zaawansowane rozwiązanie, takie jak CrowdStrike Falcon® Identity Threat Protection, bezpośrednio przechwytuje żądania dostępu i wyniki uwierzytelniania i autoryzacji, wykorzystując czujniki w punktach końcowych i sieciach. Daje to możliwość pozyskiwania i korelowania danych w czasie zbliżonym do rzeczywistego i ostrzegania zespołów SOC na czas. Co istotne, rozwiązanie to pozwala monitorować żądania dostępu i odpowiedzi również dla punktów końcowych, które nie mają zainstalowanego agenta bezpieczeństwa.
Automatyzacja procesów egzekwowania zasad bezpieczeństwa
Poza wykrywaniem, istotne jest, by automatyzować procesy egzekwowania zasad bezpieczeństwa i procedury powstrzymywania ataków. Rozwiązaniem tego problemu może być integracja z produktami jednokrotnego logowania (SSO), platformami uwierzytelniania i innymi rozwiązaniami z zakresu bezpieczeństwa, umożliwiając blokowanie ataków zaraz po ich wykryciu, np. wyłączając konta, blokując komunikację zewnętrzną czy poddając systemy kwarantannie. CrowdStrike Falcon® Identity Threat Protection zapewnia narzędziom uwierzytelniającym dodatkowe dane wejściowe do wykorzystania w podejmowaniu decyzji uwierzytelniania opartego na ryzyku, oferując np. oceny ryzyka każdego użytkownika czy aktualne informacje o działaniach związanych z jego dostępem.
Zwiększanie świadomości pracowników
Niezwykle istotnym elementem tej walki z atakami tożsamości staje się edukacja pracowników oraz budowanie świadomości na temat najnowszych zagrożeń i technik stosowanych przez cyberprzestępców. Warto więc inwestować w ich regularne szkolenia, które pomogą w wykrywaniu prób phishingu i innych ataków socjotechnicznych.
Dlaczego to tak ważne?
Ochrona firmy przed atakami tożsamości jest kluczowa nie tylko dla zachowania ciągłości działalności biznesowej, ale również dla ochrony cennych zasobów, takich jak bazy danych klientów i własność intelektualna. Przerwy w funkcjonowaniu firmy spowodowane przez ataki mogą generować ogromne koszty związane z przywracaniem systemów do działania, utratą przychodów oraz reputacji. W przypadku kradzieży danych klientów firma może również stanąć w obliczu kosztownych procesów sądowych i kar za nieprzestrzeganie przepisów dotyczących ochrony danych. Co więcej, utrata własności intelektualnej, takiej jak patenty, tajemnice handlowe czy innowacyjne technologie, może pozbawić firmę przewagi konkurencyjnej, co w skrajnych przypadkach może prowadzić do jej upadku.
W obliczu rosnących zagrożeń ochrona tożsamości i poświadczeń staje się elementem, na który należy zwrócić szczególną uwagę. W miarę rozbudowy łańcucha dostaw, rozszerzenia pracy na wirtualne biura czy migracji aplikacji o krytycznym znaczeniu do chmury, zwiększamy produktywność organizacji, ale też oferujemy adwersarzom więcej możliwości przeprowadzenia ataków. Skuteczna ochrona przed atakami tożsamości jest więc inwestycją, która nie tylko chroni przed bezpośrednimi stratami, ale również zabezpiecza przyszłość i stabilność organizacji.
Współpraca z zaufanymi partnerami technologicznymi, takimi jak CrowdStrike, może znacząco wzmocnić bezpieczeństwo infrastruktury IT poprzez dostarczenie narzędzi do monitorowania i analizy zagrożeń w czasie rzeczywistym. Zachęcamy do kontaktu z Product Managerem rozwiązania CrowdStrike z ramienia polskiej dystrybucji iIT Distribution Polska – Bartoszem Galoch, by uzyskać bezpłatny przegląd ryzyka Active Directory i dowiedzieć się, jak ochronić swoją organizację przed atakami tożsamości.
Bartosz Galoch
CrowdStrike Product Manager,
iIT Distribution Polska
![sąd: 17.832,30 zł świadczenia (skumulowanego) nie trafi do mops [osoby niepełnosprawne]](https://cdn.statically.io/img/forsal.pl/data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw%3D%3D)