PAM-системы, изначально предназначенные для контроля привилегированных пользователей, играют важную роль в расследовании атак через скомпрометированные учетные записи, особенно подрядчиков. В 2024 году 8% успешных атак начались именно через них. В качестве примера рассмотрена атака группировки Obstinate Mogwai, использующей скомпрометированные учетные данные и легитимные инструменты для проникновения в системы.
В ходе инцидента, описанного в статье, PAM-система Solar SafeInspect зафиксировала действия злоумышленников в ночное время, просматривающих конфиденциальные документы. Установлено, что злоумышленники, используя легитимный доступ, внимательно изучали документы, вероятно, делая снимки экрана. PAM-система обнаружила нетипичные действия, хотя и не прервала сеанс, так как злоумышленники не выходили за рамки прав учетной записи. Однако это позволило расследовать инцидент и выявить кражу данных.
Системы PAM также предоставляют инструменты для блокировки подозрительной активности: ограничение запуска приложений, отслеживание команд, контроль буфера обмена, а также интеграция с другими системами безопасности. Возможна настройка политик, которые позволяют прервать сеанс при запуске нетипичных процессов. Функциональность PAM позволяет обнаруживать цепочки событий: нетипичные входы в систему, последующие авторизации на серверах и попытки выгрузки данных. Маппинг учетных записей позволяет повысить безопасность, скрывая пароли от пользователей, а режим «маршрутизатор» скрывает факт контроля со стороны PAM, препятствуя обходу защиты. Кроме того, функция «Четыре глаза» требует ручного подтверждения доступа к критически важным серверам.
Несмотря на наличие PAM-системы, в описанном инциденте злоумышленники, действуя от имени легального пользователя, смогли получить доступ к конфиденциальной информации. Это подчеркивает важность не только контроля доступа, но и анализа поведения пользователей. Выявление нетипичной активности остается ключевым фактором защиты. Уязвимости подрядчиков и скомпрометированные учетные записи составляют значительную часть угроз, что требует комплексного подхода к безопасности.
Изображение носит иллюстративный характер
В ходе инцидента, описанного в статье, PAM-система Solar SafeInspect зафиксировала действия злоумышленников в ночное время, просматривающих конфиденциальные документы. Установлено, что злоумышленники, используя легитимный доступ, внимательно изучали документы, вероятно, делая снимки экрана. PAM-система обнаружила нетипичные действия, хотя и не прервала сеанс, так как злоумышленники не выходили за рамки прав учетной записи. Однако это позволило расследовать инцидент и выявить кражу данных.
Системы PAM также предоставляют инструменты для блокировки подозрительной активности: ограничение запуска приложений, отслеживание команд, контроль буфера обмена, а также интеграция с другими системами безопасности. Возможна настройка политик, которые позволяют прервать сеанс при запуске нетипичных процессов. Функциональность PAM позволяет обнаруживать цепочки событий: нетипичные входы в систему, последующие авторизации на серверах и попытки выгрузки данных. Маппинг учетных записей позволяет повысить безопасность, скрывая пароли от пользователей, а режим «маршрутизатор» скрывает факт контроля со стороны PAM, препятствуя обходу защиты. Кроме того, функция «Четыре глаза» требует ручного подтверждения доступа к критически важным серверам.
Несмотря на наличие PAM-системы, в описанном инциденте злоумышленники, действуя от имени легального пользователя, смогли получить доступ к конфиденциальной информации. Это подчеркивает важность не только контроля доступа, но и анализа поведения пользователей. Выявление нетипичной активности остается ключевым фактором защиты. Уязвимости подрядчиков и скомпрометированные учетные записи составляют значительную часть угроз, что требует комплексного подхода к безопасности.