Сотрудники Агентства национальной безопасности совместно использовали учетные данные с Эдвардом Сноуденом, позволив ему записям доступа, которые он не был разрешен видеть.Эдвард Сноуден, бывший подрядчик с Агентством национальной безопасности, убедил до двух дюжин сотрудников NSA расставаться с их паролями, говоря, что ему были нужны учетные данные для выполнения его работы, согласно отчету 8 ноября Агентства Рейтер, цитирующего федеральных следователей без имени.
Если бы заявления являются истиной, это было бы серьезное нарушение методов безопасности, но тот, который слишком распространен в предприятиях каждого описания. Больше чем половина компаний позволяет совместное использование пароля среди утвержденных пользователей, согласно отчету, опубликованному в мае CyberArk, фирмой безопасности, которая специализирует на защите и управлении учетные записи привилегированных пользователей.Все же совместное использование пароля с другими может позволить олицетворение, проведя расследование инцидентов безопасности кошмар, сказал Джон Уоррелл, директор по маркетингу для CyberArk, eWEEK.«Одна из констант безопасности была то, что Вы не совместно используете учетные данные», сказал он. «Причина состоит в том, что все управление доступом основывается на идентификационных данных, поэтому если учетные данные являются неправильными, идентификационные данные являются неправильными, и управление доступом бесполезно, и поскольку Сноуден показал, результат может иметь катастрофические последствия».
Сноуден, бывший сотрудник подрядчика NSA Буза Аллена Гамильтона, пропустил документы, запускающиеся в июне на массовых операциях сбора данных и контроля спецслужб США и его союзников. Он в настоящее время находится в России, будучи предоставленным «временное» убежище российским правительством в августе.Независимо от того мнение о Сноудене, инцидент демонстрирует, почему компании, которые хотят укрепить их компании против инсайдеров жулика, должны привести в исполнение политики, запрещающие совместное использование удостоверений пользователя. Привилегированные учетные записи нужно более близко охранять, потому что атакующий с доступом к привилегированным учетным данным может нанести намного больше ущерба, по данным CyberArk.
В среднем компании имеют между тремя и четырьмя привилегированными учетными записями для каждого сотрудника, данные CyberArk показывает.Когда атакующий в состоянии получить доступ привилегированной учетной записи, они, может казаться, инсайдер, предоставляя им возможность нанести намного больше ущерба и доступа намного более уязвимая информация, чем нормальный. В некоторых самых серьезных недавних нападениях, таких как нарушение безопасности RSA и цифровое нападение на Saudi Aramco, например, атакующий использовал учетные данные сотрудника для расширения их начального компромисса сети жертвы.
Mandiant фирмы по реагированию на инциденты нашел, что сложные атакующие, известные как усовершенствованные постоянные угрозы (APTS), делают приоритетом получить законные учетные данные в сети жертвы.«Как только у злоумышленника APT есть точка опоры в сети и ряде законных учетных данных, просто для злоумышленника переместить необнаруженную сеть», заявил Мандиэнт в ее отчете о APT1, опубликованном в феврале. «Эти действия трудно обнаружить, потому что законные системные администраторы также используют эти методы для выполнения действий вокруг сети».
Компании должны реализовать проактивные управления, чтобы удостовериться, что каждые учетные данные только используются единственным сотрудником, контролируйте доступ ко всем критическим ресурсам и используйте анализ для обнаружения любых нарушений, сказал Worrell CyberArk.«Комбинация превентивной защиты с непрерывным контролем в реальном времени и возможность обнаружения, действительно, что необходимо для защиты этих учетных записей», сказал он.