Angesichts der Tatsache, dass Expedia wie eine hauptsächlich Windows-Umgebung klang, verließ es sich wahrscheinlich stark auf lokale Admin-Anmeldeinformationen, dass die IT-Administration auf Endpunkte zugreifen würde, wenn sie Arbeiten erledigen müssen. Daher ist zusätzliche Arbeit erforderlich, um sicherzustellen, dass nicht alle ein einziges lokales Administratorkennwort verwenden. Während dieses Risiko durch die Netzwerkzugriffssteuerung, die die Remoteverwaltung auf eine Bastion-Umgebung beschränkt, ziemlich gemildert werden könnte, bietet uns die umfassende Verteidigung kürzere Reaktionsbemühungen bei Vorfällen. Sysadmins, Ingenieure und Helpdesks müssen große Arbeitsvolumina erledigen, und sie verfügen in der Regel über erhebliche Zugriffsebenen. Dies ist manchmal ein freigegebener Domänenadministrator, administratores Kennwort usw. Ohne zu implementierungsspezifisch zu werden, stoßen alle großen Systemgruppen auf dieses Problem der Autorisierungs-Kriech- und Identitätsverwaltung. Als Director muss Ihre IT-Entwicklung nicht extrem technisch sein. Sie können Einführungskurse in der ITIL Foundation durchführen, um Ihre IT-Services zu verbessern und besser zu verwalten, insbesondere wenn Ihr Unternehmen das ITIL-Framework bereits übernommen hat. Diese Last des Offboardings landet oft vollständig bei HR, einem traditionell nicht-technischen Team. Manchmal müssen sie Hardware, Kontozugriff und Interviews in Tabellen selbst verwalten. Es ist wichtig für ein Sicherheitsteam zu erkennen, dass ein HR-Team zwar einige der Anforderungen für ein sauberes Offboarding teilen kann, sich jedoch nicht über alle Nuancen des Informationszugriffs im Klaren ist und es möglicherweise nicht so behandelt, wie es Ihr Team tun würde.

Planen, lenken oder koordinieren Sie einen oder mehrere Verwaltungsdienste einer Organisation, z. B. Datensätze und Informationsverwaltung, E-Mail-Verteilung, Anlagenplanung und -wartung, Sicherungsvorgänge und andere Office-Supportdienste. Dieser Insider hatte die technische Erlaubnis, die “Passwörter”-Datei anzuzeigen, unabhängig davon, ob er autorisiert war oder nicht. Dies deutet auch darauf hin, dass, wenn dieser Insider stattdessen von einer APT-Gruppe kompromittiert wurde, der Widersacher möglicherweise über ein gleichwertiges Mittel verfügte, um in dieses Dienstkonto einzusteigen und sich seitlich in Mitarbeiterkonten und Endpunkte zu bewegen. Leerstandsnummer: RAPS/1/2020/INFOTEC/02 Veröffentlichungsdatum: 18. Juni 2020 Bewerbungsfrist (Mitternacht Genfer Zeit): 20. Juli 2020 Mitarbeiter mit mindestens fünf Jahren ununterbrochenem Dienst beim Amt werden aufgefordert, sich zu bewerben. Ich würde sagen, das ist aus gutem Grund. Die meisten Angriffsgruppen zielen auf Ihre niedrigste hängende Frucht ab: das Verhalten Ihres Mitarbeiters auf dem Endpunkt.

Dies schmälert jedoch, dass sie weiter vorgelagert auf Risiken schaut, auf die andere Bedrohungen abzielen, und Risiken, die Ihre Verwaltungstools zusätzlich zur Bedrohung durch einen aus der Ferne kompromittierten Endpunkt tatsächlich einführen könnten. … enthält erhöhte Anmeldeinformationen, die einem IT-Verwaltungsdienstkonto zugeordnet sind. Beachten Sie, dass sich die Branche der Organisation auf den Auftrag selbst auswirkt. Bildung, Regierung, Non-Profit und Gesundheitswesen zusammen machen fast ein Drittel der Direktoren für Technologiepositionen bundesweit aus. Kleinere Prozentsätze fließen in Finanz-, Geschäfts- und Softwaredienstleistungen. Insider-Bedrohungen, die technisch versiert sind, sind noch schwieriger zu bewältigen, während Insider mit Administratorrechten am schwierigsten sind. Expedia es war ein Trifecta: Ein technischer Insider mit Admin-Privileg. Die Berechtigungen für das Expedia-Supportteam hätten dadurch abgeglichen werden können, dass lokale Administratoranmeldeinformationen von LAPS verwaltet werden müssen, was bei der randomisierten und eindeutigen Pro-Endpunkt-Anmeldeinformationenbeimisierung des lokalen Endpunktverwaltungszugriffs sowie bei einem netten Überwachungspfad von Verwaltungsmitarbeitern, die Zugriff auf bestimmte Endpunkte anfordern, hilfreich wäre. Es würde also ein Protokoll existieren wie: InsiderEmployee, der Zugriff auf CFOLaptop-Anmeldeinformationen anfordert und CFOLaptop von InsiderEmployeeIP oder ähnlichem authentifiziert.

Ein administrativer Insider ist oft weit über das hinaus privilegiert, was ein zufälliger Endpunktkompromiss bringen würde, und wird nicht durch Abschwächungen wie eine MFA-Eingabeaufforderung oder jegliche Notwendigkeit, ihre Umgebung zu verstehen, verlangsamt.