Каким образом пользователи получают доступ к различным ИТ-ресурсам компании? Как правило, при помощи своего уникального "цифрового удостоверения", которое представляет собой имя пользователя и пароль. Используя эти учётные данные, пользователь выполняет вход на свою рабочую станцию, работает с корпоративными документами, ведёт деловую переписку по электронной почте. В идеале никто, кроме самого пользователя - работника компании - не должен иметь прав на работу с корпоративными ресурсами. Однако в реальной жизни всё обстоит несколько иначе.
Увы, но даже в крупных компаниях IT-персонал может легкомысленно относиться к безопасности учётных данных пользователей, устанавливая ослабленную политику паролей в компании. Грамотные ИТ-специалисты знают, что политика паролей во многом определяет базовый уровень безопасности при доступе к ресурсам ИТ-инфраструктуры и включает в себя такие параметры, как минимальная и максимальная длина пароля, его сложность, длительность хранения и частота его обновления. Проектировать политику паролей с учётом этих параметров необходимо ещё на этапе внедрения Единой Базовой ИТ-инфраструктуры. Что происходит в случае, когда политика паролей не определена, либо настроена неверно?
Короткие и простые пароли.
Один из самых простых способов получения злоумышленниками доступа к ИТ-системам предприятия – это получение пароля пользователя. Как это можно сделать? Наиболее распространённый способ - простой перебор паролей по заранее составленному словарю либо с применением специальных аппаратных средств. Современные графические ускорители от AMD и nVidia способы подбирать пароли со скоростью несколько десятков и даже сотен тысяч вариантов в секунду! Следовательно, если ваши пользователи используют пароли с малым числом символов, то подобрать такой пароль злоумышленникам не составит труда. Работа по взлому значительно упрощается, если пользователи в компании используют в качестве паролей не случайные наборы символов, а так называемые пароли-паттерны. К ним можно отнести имена членов семьи, номера телефонов, даты рождения и так далее.
Исследование компании TrustWave, в частности, показывает, что средняя длина пароля у пользователя равна 7-8 символам, в 20% случаев пользователи используют в качестве пароля имена детей, а в 17% - домашних питомцев. Учитывая, что число подобных слов математически весьма ограничено, то на их полный перебор потребуется совсем мало времени. Казалось бы, что для усиления надежности паролей необходимо сделать их сложными - использовать комбинацию из заглавных и строчных символов, цифр и специальных знаков. Однако и в таком случае 38% пользователей ухитряются обойти политику паролей и используют в качестве пароля очевидные слова, такие как Password1 и Welcome1. С точки зрения ИТ-безопасности, злоумышленник, подобрав пароль, становится неотличим от обычного пользователя компании. В этом заключается основная трудность при выявлении такого пользователя в ходе аудита ИТ-безопасности.
Отсутствие обновления паролей.
Крупные аналитические компании (PasswordResearch, CSID и т.д.) регулярно проводят исследования, позволяющие оценить частоту смены пароля пользователями в течение года. Статистика в данном отношении неутешительна – 44% пользователей меняют пароль всего лишь раз в год, а 8% не меняют его вовсе. То есть, в 44% случаев, если злоумышленникам при помощи специального ПО, либо методами социальной инженерии удастся получить пароль даже к одной рабочей станции, то в течение целого года они смогут получать доступ к критичным бизнес-данным, электронной переписке, документам и файлам компании и даже использовать сеть компании для осуществления кибер-атак.
Человеческий фактор.
Не будем забывать о нём. Даже в случаях, когда компания использует стойкую политику паролей, безопасность учётных данных разбивается о беспечность самих сотрудников компании. Пароли записываются на случайных листочках бумаги, которые затем хранятся непосредственно на рабочем столе или приклеиваются к монитору. Некоторые работники передают пароли устно по телефону своим коллегам, либо пересылают в текстовом виде посредством СМС сообщений. Подобные пароли могут быть легко перехвачены злоумышленниками. Примером может служить громкая история, произошедшая в 2011 году, когда из-за ошибки компаний "Мегафон" и "Яндекс" тысячи учётных записей и паролей пользователей стали доступны любому желающему. В подобной ситуации любой посторонний человек может, используя данный пароль, получать доступ к важной корпоративной информации, используя её затем в своих собственных, далеко не всегда благородных, целях.
Усилить безопасность ИТ-инфраструктуры, одновременно избавив её от проблемы "слабых" паролей, можно при помощи Системы контроля доступа и предотвращения утечек конфиденциальной информации.