NIE$TAKI$WILK$STRASZNY$JAK$GO$MALUJĄ.$ JAK$SKUTECZNIE$WDROŻYĆ$SYSTEM$PAS?

NIE$TAKI$WILK$STRASZNY$JAK$GO$MALUJĄ.$ JAK$SKUTECZNIE$WDROŻYĆ$SYSTEM$PAS? Bartosz)Kryński,)CISSP Presales)Team)Leader Poland,)Ukraine,)Baltics)and)Balkans 1

KONTA&UPRZYWILEJOWANE Klucze)do)Twojego)Królestwa 2

3

TOP$10$PROJEKTÓW$ BEZPIECZEŃSTWA No.$1:$Privileged$access$management No.$2:$CARTAFinspired$vulnerability$management No.$3:$Active$antiFphishing No.$4:$Application$control$on$server$workloads No.$5:$Microsegmentation and$flow$visibility No.$6:$Detection$and$response No.$7:$Cloud$security$posture$management No.$8:$Automated$security$scanning No.$9:$Cloud$access$security$broker No.$10:$SoftwareFdefined$perimeter

CYBERARK(LIDEREM(RYNKU(WEDŁUG(PIERWSZEGO(RAPORTU( GARTNER(MAGIC(QUADRANT (2018 Gartner,)Magic)Quadrant)for)Privileged)Access)Management,)Felix)Gaehtgens,)Dale)Gardner,)Justin)Taylor,)Abhyuday Data,)Michael)Kelley,)3)December)2018 This%graphic%was%published%by%Gartner,%Inc.%as%part%of%a%larger%research%document%and%should%be%evaluated%in%the%context%of%the%entire%document.%The%Gartner%document%is%available%upon%request%from%https://lp.cyberark.com/gartnerAmqApamAleader Gartner%does%not%endorse%any%vendor,%product%or%service%depicted%in%its%research%publications,%and%does%not%advise%technology users%to%select%only%those%vendors%with%the%highest%ratings%or%other%designation.%gartner%research%publications%consist%of%the%opinions%of%gartner s%research%organization%and%should%not%be%construed%as%statements%of%fact.%gartner% disclaims%all%warranties,%expressed%or%implied,%with%respect%to%this%research,%including%any%warranties%of%merchantability%or fitness%for%a%particular%purpose. 5

ROZWIĄZANIE*CYBERARK PRIVILEGED*ACCESS*SECURITY 6

CYBERARK PRIVILEGED.ACCESS.SECURITY.PROGRAM 7

WYELIMINOWANIE*NIEODWRACALNYCH*ATAKÓW*SIECIOWYCH Cel$intruza:$Osadzenie)się)w)organizacji)przez)wykonanie)ataku)trudnego)do)zidentyfikowania)i)na)tyle)groźnego)w)skutkach) iż)wymaga)rekonstrukcji)infrastruktury,)np.)ataki)przy)użyciu)protokołu)kerberos,)jak)golden)ticket Stan*Obecny Stan*pożądany W*jaki*sposób? Czym? Jednoskładnikowe uwierzytelnienie3 Administratorów3Domeny Wykrytych 70 skrótów haseł3 pozwalające3na3przeskok3do3 warstwy3tier03z3warstw3tier13 &2 Cały dostęp3do3warstw3tier03oraz3 Tier13izolowany,3wymagający3 MFA Brak3skótów do3ww.3warstw3z3 Tier30 Ataki3na3Kontroler Domeny3 wykrywane3i3blokowane Tworzenie3kont3Backdoor3w3 warstwie Tier03blokowane Dostęp3do3PAS tylko3 przez MFA Ochrona3Kontrolerów Domeny3i3innych3 zasobów3tier03i3tier13 przez3proxy3psm Ochrona3warstwy3 Tier03przez3moduły3 analityczne3oraz ograniczające3 uprawnienia CORE*PRIVILEGED ACCOUNT*SECURITY Enterprise Password3Vault Privileged33Threat Analytics Privileged3Session3 Manager Endpoint3Privilege Manager

9

KONTROLA(I(ZABEZPIECZENIE(KONT(INFRASTRUKTURY Cel$intruza:$Przejęcie)kluczowych)elementów)infrastruktury)przez)wbudowane)konta)systemowe,)następnie)wykorzystanie)ich) w)podobnych)systemach Stan(Obecny Stan(pożądany W(jaki(sposób? Czym? Większość systemów1posiada1 wbuowane1konta1 backdodor,1 często1wykorzystywane1przez1 użytkowników Serwery Windows:115/500 lokalnych1adminów1 w1centralnym1repozytorium Serwery1Unix:110/300 kont1root w1centralnym1repozytorium Cisco:10/1001kont1enable1 w1centralnym1repozytorium SQL1Server:110/80 sa1 w1centralnym1repozytorium Oracle:15/50 SYS1&1SYSTEM1 w1repozytorium Zablokowanie1realizacji przeskoków1w1środowisku1 pojedynczym1kontem Serwery Windows:1500/500 lokalnych1adminów1 w1centralnym1repozytorium Serwery1Unix:1300/300 kont1root w1centralnym1repozytorium Cisco:1100/100 kont1enable1 w1centralnym1repozytorium SQL1Server:180/801sa1 w1centralnym1repozytorium Oracle:150/50 SYS1&1SYSTEM1 w1repozytorium Wprowadzenie1do1 Repozytorium1Vault1 wszystkich1kont1 backdoor Automatyczna1rotacja1 poświadczeń1po1 każdym1użyciu CORE(PRIVILEGED ACCOUNT(SECURITY Enterprise Password1Vault Privileged11Threat Analytics Privileged1Session1 Manager

11

OGRANICZENIE*NIEAUTORYZOWANYCH*PRZESKOKÓW Cel$intruza$:$Poruszanie+się+po+organizacji+z+przejętej+stacji+poprzez+kradzież+poświadczeń+z+systemu+MS+Windows Stan*Obecny Stan*pożądany W*jaki*sposób? Czym? 700/4000 Stacji,Windows, posiada,uprawnienia, lokalnego,administratora Całkowite,usunięcie, uprawnień,lokalnego, administratora,dla,wszystkich, użytkowników Zastosowanie zasady, ograniczonych, uprawnień,w,module, EPM,na wszystkich, stacjach,ms,windows, w,celu,usunięcia, uprawnień,lokalnego, administratora,, blokowanie,kradzieży, poświadczeń,z,os Endpoint,Privilege Manager

13

OCHRONA'POŚWIADCZEŃ'APLIKACJI Cel$intruza$:$Cuzyskanie+dostępu+do+kont+wykorzystywanych+przez+narzędzia+firm+trzecich,+np.+skanery+podatności,+systemy+ zarządzania+środowiskiem,+rpa Stan'Obecny Stan'pożądany W'jaki'sposób? Czym? Rozwiązania*bezpieczeństwa*jak* skanery podatności*czy* narzędzia*do*inwentaryzacji* wymagają*kont* uprzywilejowanych 0/200 kont*modułów*skanujących* w*centralnym*repozytorium 0/100 kont*narzędzi* inwentaryzacji*w*centralnym* repozytorium 0/30 Kont*WebLogic/WebSphere/ Tomcat/JBoss wykorzystywanych* w*dostępie*do*baz*danych* w*centralnym*repozytorium 200/200 kont*modułów* skanujących*w*centralnym* repozytorium 100/100 kont*narzędzi* inwentaryzacji*w*centralnym* repozytorium 30/30 Kont* WebLogic/WebSphere/ Tomcat/JBoss wykorzystywanych* w*dostępie*do*baz*danych* w*centralnym*repozytorium Poświadczenia*powyższych kont*automatycznie* zmieniane*po*użyciu*przez* narzedzie Usunięcie* poświadczeń*ze* skanerów* podatności,* narzędzi* inwentaryzujących,rpa*i*innych* poprzez*moduł** Application*Access Manager Application* Access* Manager/Conjur

OCHRONA*KONT*APLIKACJI*ROZWIĄZANIEM*CYBERARK*AAM Type Aplikacje System Zasoby*środowiska Serwery aplikacyjne Serwery Mainframe SDK0dla0 Aplikacji Wiele0platform RPA Java,*.NET,* C/C++,*CLI Windows,* *nix,*zos,* Cloud PO: UserName*=*GetUserName() Password*=*GetPassword() Host*=*GetHost() ConnectDatabase(Host,0UserName,0Password) UserName*=* app Password*=* y7qef$1 Host*=* 10.10.3.56 ConnectDatabase(Host,0UserName,0Password) PRZED: Bazy*Danych Urządzenia* Sieciowe Aplikacje Systemy* Zabezpieczeń Aplikacje0firm0 zewnętrznych Gotowe*integracje* dzięki*programowi C3* alliance! Wyeliminowanie0ryzyka0kradzieży0danych0dostępowych0! Wiele0opcji0wdrożenia0dla0różnych0narzędzi0w0infrastrukturze Aplikacje* Web Infrastruktura* w*chmurze

16

17

WDROŻENIE)CENTRALNEJ)POLITYKI)OCHRONY)KONT)TECHNICZNYCH Środowiska+teleinformatyczne+są+złożone CISO+/+liderzy IT+muszą+mieć+wpływ+na+realizowaną+politykę+dostępu,+zarówno+przez+ludzi+jak+ i+maszyny+/+skrypty+/+aplikacje+w+każdym+środowisku Cel:)Egzekwowanie)polityki)dostępu)uprzywilejowanego)w)całej)infrastrukturze Infrastruktura)w)Centrum)Danych (*NIX,)Windows,)zOS) IaaS PaaS Narzędzia)DevOps Serwery)aplikacyjne,) własne)aplikacje Systemy) ochrony Zarządzanie) IT RPA

19

EFEKTYWNA)OCHRONA)KONT)UPRZYWILEJOWANYCH Stały-monitoring W pliku nie można odnaleźć części obrazu z identyfikatorem relacji rid7. Zablokowaniepoświadczeń Ochrona-hasełoraz-kluczy-SSH Izolacjai-kontrola-sesji Ochrona-przed- propagacją-malware,- kontrola-dostępu Wykrywanie-nadużyćoraz-incydentówbezpieczeństwa Ochrona-przed-kradzieżą-poświadczeń Blokowanie-podejrzanych-działań Ochrona-przed Network-HiKjacking 20

OD#CZEGO#ZACZĄĆ? 21

Discovery)and)Audit Darmowe)narzędzie)analityczne) pokazujące)skalę)problemu)kont)w: Systemach)MS)/)Unix WebSphere,)WebLogic,)IIS)hosts Dystrybucji)kluczy)SSH Kontekście)lateral)movement Infrastrytury)AWS(Użytkowników) IAM)Users,)Kluczy)dostępowych, par)kluczy)ec2) Ansible Bazach)MS Interaktywne)mapy)graficzne)dla: Golden)Ticket Pass)The)Hash Relacji)zaufania)SSH 22

DZIĘKUJĘ bartosz.krynski@cyberark.com 23