Notes

Dyman Associates Risk Management articles på overvåking IT-avdelingen å stoppe målrettede angrep

IT-administratorer er i en unik posisjon i organisasjonen der sofistikerte hackere er altfor klar til å dra nytte av

Har du noen gang vurdert din IT-gruppe skal organisasjonens svakeste leddet? Det er ikke noe som krysser hodet av de fleste tech beslutningstakere, men med målrettet angripere stadig fokusere sin innsats på privilegium regnskapet, bør det være. Det kan være den største sikkerhet blindsonen du har.

Med det i tankene er her noen enkle trinn det og sikkerhet sjefer kan ta for å minimere risikoen for vellykket målrettede angrep.

Dårlige vaner

Hver publisert målrettede angrep drepe kjeden du noensinne vil se vil inneholde enten "heve rettigheter" eller "få root-tilgang". Det er en viktig fase av noen APT-tross alt, lagrer ingen mest sensitive informasjonen på servere som har tilgang til resepsjonisten.

Problemet er at IT-administratorer ikke er immune mot den samme dårlige passord ledelse trekk som resten av ansatte, så de også kan utsette organisasjonen for unødvendig risiko.

Se etter bevis passord ikke blir oppdatert regelmessig eller legitimasjon som brukes på tvers av organisasjonen. En liste over 15 beste unnskyldninger for ikke endre passord inkludert edelstener som "knapt noen bruker systemet uansett" og "det er bare brukt av en tjenestekonto". Hvis disse brukes til å rettferdiggjøre feil passord ledelsen og tilsynet er allerede heie ut dårlig praksis.

Hvis organisasjoner tillater administratorer å velge sitt eget passord, deretter styrke disse legitimasjonene er avhengige personer seg. Men ofte er det ingen corporate regler krever admin passord å være lengre og mer komplekse enn standard ansatt passord.

Så med mindre de er generert av maskinen, er det en god sjanse for at de vil være relativt enkel å dekode. Risikoen er økt Hvis administratorer bruker samme passord på deres personlige mot Internett-kontoer. Hvis bare ett av disse nettstedene er hacket og passord utsatt kan da bedriftens kronjuvelene være utsatt.

Nettsteder som LinkedIn og Facebook gir en mengde informasjon om personer og sine roller på arbeid. Det er bare et relativt lite skritt for bestemt kriminelle for å se hvis noen nylig stjålet legitimasjon match opp til en IT-admin, for eksempel.

Å redusere risikoen for eksponering

Et annet spørsmål organisasjoner bør spørre er om deres IT-ansatte bruker sine kontoer med nettverket nivå administratorrettigheter for deres daglige plikter. Hvis de gjør, har de bare massively økt organisasjonens angrepsområde, fordi IT admin regnskapet har vanligvis langt færre restriksjoner på dem om ting som e-postvedlegg, hvilke webområder de kan besøke og flyttbare medier. Disse egenskapene kan alle gjøre målrettede angrep lettere å begå samtidig usett.

Faktisk er det ikke uvanlig for IT-personell å gi seg mindre restriktiv retningslinjer for "å få gjort jobben" mer effektivt, eller bruke sine admin rettigheter for å øke privilegier på normal kontoer og deretter bruke bare en konto for begge. En god måte å redusere risikoen for at dette skjer er å operere, og mer viktigere, håndheve en dobbel Kontopolicy, der én konto brukes av IT-ansatte er reservert for normal bruk, og den andre for strengt interne IT.

Ansvar

En siste området å fokusere din revisjon på er begrepet ansvarlighet. Er organisasjonen avhengig av bruken av generiske delte kontoer som "root" eller "admin" å gjennomføre ulike det administrative oppgaver? Så de vil være helt untraceable, som betyr at den ansatte pleier å være mer utsatt for deling legitimasjon med kolleger på anledning.

Bli kvitt disse anonyme delte kontoer og tilpasse dem, fjernes denne fristelsen. Eller enda bedre, koble det brukerkontoer til en individuell HR data, som betyr overlevere passord vil også gi mottakeren tilgang til deres kollegas lønn og annen informasjon.

Organisasjoner må synlighet, sporbarhet og ansvarlighet rett ned management kjeden-det er den eneste sjansen de har av fange legitime tilkoblinger og fra det rote ut dårlige. Mange av disse trinnene kan oppnås med godt kontrollert, strenge manuelle prosesser, selv om de er tidkrevende, dyrt og repeterende. Et annet punkt å vurdere er at selv etter alt dette forsøk det vil fortsatt være en sjanse at IT-administratorer vil endre passord manuelt, innføre risiko igjen.

Best sjanse til å lykkes i å redusere risikoen for privilegert kontomisbruk og målrettede angrep er via et automatisert system skjult for brukeren, som tilfeldig utvikler sterke passord. Tross alt, hvis IT-teamet ikke vet hva passordene er i utgangspunktet, kan ikke de dele eller endre dem.