Útmutató magas jogosultságú fiókok védelmére
A Google Cloud részletes útmutatóként szolgál arra, hogy a magas jogosultságú fiókok — legyenek azok emberi vagy nem-emberi (például szolgáltatás- és API‐fiókok) — milyen központi célpontjai a támadóknak.
A modern IT-környezetek egyre bonyolultabbak a felhőre való átállás, a DevOps/CI-CD modellek és a szolgáltatás-számla‐kultúra miatt. Ez a komplexitás növeli a támadási felületet: több az identitás, több a privilege-útvonal, könnyebb a hamisított hozzáférés. A jelentés szerint 2024-ben a lopott hitelesítő adatok már a második leggyakoribb kezdeti belépési tényezőként szerepeltek (16 %-kal), megelőzve sok hagyományos phishing típust.
A dokumentum három pillérre épül: megelőzés, észlelés és válaszadás. A megelőzés részeként részletesen bemutatja a privilegizált fiókok definiálását — nemcsak a klasszikus domain-adminokat, hanem fejlesztőket, API-kulcsokat, szolgáltatásfiókokat és más nem-emberi identitásokat is, amelyek gyakran lenézett, de igen veszélyes belépési kapuk.
A Google kiemeli a tiering modell szükségességét, azaz a rendszerek és fiókok osztályozását például T0, T1, T2 szintek szerint, ahol a T0 a legkritikusabb (pl. domain controller, felhő alapú identitásszolgáltató, kulcskezelő rendszer). A zero standing privilege – nincs állandó admini jog – koncepció is fontos, csak időlegesen, jóváhagyással, csak annyi jog, amennyi kell és csak annyit, amennyi szükséges.
Az észlelésnél ajánlott viselkedés-analitika, speciális hunt-lekérdezések, magas felbontású naplózás (Who/What/When/Where/Why/How) és automatizált válaszok alkalmazása – különösen akkor, ha privilegizált fiókok sérültek. A válaszadás részeként pedig azonnali izoláció, titkos kulcsok, jelszavak és tokenek cseréje, rendszeres forgatás, visszaállítási tervek is szerepelnek.
Mivel egy sikeres támadás a privilegizált fiók révén azonnal nagy látószögű hozzáférést ad a támadónak, a jó perimeter-védelem önmagában nem elég, az identitás- és hozzáférés-kezelés válik elsődleges frontvonal-védelmi elemmé. A cikk arra hív fel, hogy szervezeteknek olyan programot kell üzemeltetniük, amely folyamatosan fejlődik — nem egy egyszeri projekt –, és amely a privilegizált útvonalakat, eszközöket, fiókokat rendszerszinten kezeli.
