Услышал недавно два весьма забавных заблуждения.
Заблуждение первое, молодое и бестолковое. В беседе с одним молодым коллегой пытался выяснить, что же по его мнению является успешным результатом тестирования на проникновение. Конкретного ответа не получил, вернее получил несколько неконкретных. Все они сводились к идее "root the box", то есть получению привилегированных прав доступа к той или иной системе. Окей, говорю я, получил ты root, что дальше? В ответ изумленный взгляд и полное недоумение: как что дальше? Все! Разве этого мало?
Мало. Представьте себе совершенно неосведомленного в вопросах ИТ (а тем более ИБ) генерального директора крупной (или не очень) компании. Как вы думаете, какое на него произведет впечатление заявление о том, что вам удалось получить доступ к учетной записи доменного администратора? Да никакого. У него этих доменных админов хоть пруд пруди, одним больше, одним меньше... Теперь другая ситуация, вы сообщаете ему, что вам удалось получить доступ к БД заказчиков и поставщиков, ERP-модулю заработной платы и кадрового учета, историческому хранилищу информации об обработанных кредитных картах... Да хотя бы к его корпоративному почтовому ящику! Скорее всего, эффект будет совершенно противоположным. Во втором случае бизнес-риски, сопряженные с получением доступа (не всегда обязательно -- привилегированного), намного более очевидны. Именно поэтому критерием успешности теста на проникновение очень часто является получение доступа к бизнес критичным данным, а не просто получение доменного админа или root-а. Разумеется, административный аккаунт в этом деле не помешает, но он далеко не всегда необходим. Например, обладая доступом к ПК главного бухгалтера, о доменном админе обычно можно уже не беспокоиться.
Мнение второе, закоренелое и самоуверенное. Полная противоположность предыдущему: ну и что, что у хакера есть доменный администратор? Что с того? Все наши критичные данные находятся на супер-защищенных серверах под управлением UNIX, да еще и в базах данных под не менее защищенным (ха-ха) Oracle. Я не стал обсуждать отдельные аспекты безопасности компании Oracle, в этом конкретном случае это, вероятно, было бы бесполезно. Вместо этого я тонко намекнул, что доменный администратор может установить любое ПО на рабочую станцию UNIX-администратора или Oracle DBA. В том числе и keylogger или sniffer . В ответ оппонент с гордостью заявил, что на каждом компьютере в его компании установлен мега-крутой антивирус. После моего замечания о том, что доменный админ скорее всего обладает правами на изменение настроек этого антивируса, гордости немного поубавилось.
Вопрос не в том, нужен или не нужен злоумышленнику аккаунт с повышенными привилегиями для успешной компрометации системы. Вопрос в том, понимает ли бизнес и ИТ риски, сопряженные с использованием привилегированных учетных записей. В одном из предыдущих постов я излагал пример атаки, нацеленной на получение прав доменного администратора. На самом деле, это чисто теоретическое упражнение, потому что " root is just the beginning ". Получением административных прав взлом не заканчивается, он с него только начинается.
Пользуйтесь принципом наименьших достаточных привилегий. Наделяйте пользователей только теми правами, которые необходимы им для выполнения служебных обязанностей. Используйте также принцип обоснованной необходимостив предоставлении доступа к данным. Если сотрудник не использует определенные данные в своей работе, то и доступ к ним ему предоставлять не обязательно. Следуйте этим принципам, и тогда даже в случае успешной компрометации системы, действия злоумышленника будут локализованы и он вряд ли получит доступ к данным, к которым не имеет доступа взломанный им аккаунт.
