1

Как не потерять ключи от

королевства

Антон Фридрих

– Technical Account manager at CyberArk NEE

2

Пример понятный всем

Какое самое первое

правило на файрволе?

3

Cyber Security and Privileged Access

Mandiant, M-Trends and APT1 Report

“…100% of data

breaches involved

stolen credentials.”

“APT intruders…prefer to

leverage privileged accounts

where possible, such as Domain

Administrators, service accounts

with Domain privileges, local

Administrator accounts, and

privileged user accounts.”

4

Шаг 3: Найден хэш

пароля пользователя

helpdesk, который

удаленно помогал 3 дня

назад

Шаг 1: Атакующий

использует фишинг

для определения

лоакльных

администраторов

Кража данных – как это связано с привилегиями

Шаг 2: Как только VIP

пользователь с

локальными

административными

привилегиями найден,

начинается атака PtH

5

Шаг 6: Генерируем Golden

Ticket

Шаг 4: Получаем доступ к

серверу

Продолжение…

Шаг 5: Повторяем гаши пока

не найдем хэш/тикет

доменного администратора

Используем доступ к:

• Критически важным данным

• Создаем собственные Kerberos

Tickets

Domain accounts

6

NETWORK INFRASTRUCTURE

VIRTUALIZATION

Программа защиты привилегированных

аккаунтов

OPERATING SYSTEM

DATABASE

APPLICATION Для каждого уровня:

Зачем необходим привилегированный доступ? Кому необходим привилегированный доступ? Какой способ используется для аутентификации? Требуется ли процесс согласования доступа? Как контролируем доступ сейчас?

7

Действуйте как будто вас уже взломали…

8

Во-первых, поймите текущую ситуацию

9

Threat Detection

16

СПАСИБО