2 подписчика
#хакнутыефакты
Как РАМ-система защищает сессии привилегированных пользователей от атак повторного воспроизведения (replay attack)?
Немного вводных: при replay attack злоумышленник перехватывает данные, которые отправляются по защищенному соединению. Например, сотрудник отправляет директору запрос на бюджетирование проекта. Злоумышленник перехватывает это сообщение и отправляет его повторно. У директора нет веских причин усомниться в подлинности запроса. В результате бюджет на проект может отправится на счет злоумышленника.
В PAM-системе реализовано несколько механизмов защиты:
🔸 Разрешение по времени, то есть по истечении определенного периода пользователь больше не сможет подключиться.
🔸 Дополнительные интеграции со сторонними системами, которые помогут администратору увидеть, что пользователь пытается повторно подключиться.
🔸 Специальные политики, которые будут ограничивать ряд действий сотрудника на целевом ресурсе.
Например, изначально подключившись, пользователь видит, что он использует привилегированную учетную запись и будет думать о том, что при следующем подключении сможет передать файл и запустить его. В рамках подключения мы можем использовать дополнительные политики, которые смогут ограничить функционал пользователя. Буфер обмена тоже можно заблокировать для передачи.
🔸 Текстовое логирование действий, т.е. текстовый лог будет дополнительно отправляться администратору для просмотра действий и попыток в воспроизведении каких-либо атак пользователям. Это позволяет администратору своевременно отреагировать и запретить пользователю доступ или заблокировать его. При блокировке у него закроются все сессии и доступ ко всем ресурсам.
Подробнее о РАМ-системах рассказал Антон Смолков в выпуске подкаста "Хакеры против компаний: как защитить бизнес от современных киберугроз?"
1 минута
20 ноября