СПОСОБ И СИСТЕМА ПРЕДОТВРАЩЕНИЯ КОМПРОМЕТАЦИИ ОБЪЕКТОВ СЕТЕВОЙ ИНФРАСТРУКТУРЫ В СЛУЖБЕ КАТАЛОГОВ FREEIPA Российский патент 2024 года по МПК G06F21/50 

ОБЛАСТЬ ТЕХНИКИ

[0001] Настоящее техническое решение относится к области обеспечения безопасности корпоративной сети, в частности, с помощью предотвращения получения несанкционированного доступа к объектам корпоративной сети, являющимися высокопривилегированными активами (англ. High Value Asset или HVA) в службе каталогов FreeIPA.

УРОВЕНЬ ТЕХНИКИ

[0002] Понятие HVA относится к объектам сети, которые хранят критичную информацию для полноценного функционирования сетевой инфраструктуры и компрометация которых, может привести к критическим или необратимым последствиям в ее работе. К примерам такого рода активов можно отнести:

- контроллеры домена;

- администраторов домена и группы пользователей или хостов, наделенные административными полномочиями;

- сервера баз данных, критических приложений и другие ключевые узлы -компрометация которых будет означать компрометацию ряда подчиненных объектов;

- хосты, на которых организовано выполнение задач по администрированию инфраструктуры, а также те хосты на которых есть активные сессии администраторов;

- сервисы, запущенные с высокими привилегиями (под учетными записями с административными привилегиями) на любом из хостов.

[0003] FreeIPA представляет собой открытое программное обеспечение с набором встроенных сервисов для реализации специализированной службы каталогов среды ОС Linux, позволяющей централизованно управлять аутентификацией пользователей, устанавливать необходимые уровни доступа различными способами - на уровне ролей, хостов, политик и других. Является аналогом ПО Microsoft Active Directory, используемому в ОС Windows.

[0004] Из-за огромного количества объектов, их списков и записей контроля доступа (ACL - Access control list и АСЕ - Access control entries), а также особенностей отслеживания изменения прав доступа в информационной сети, управления предоставлением доступа каждому из объектов, управлять такими разрешениями чрезвычайно трудно. Также возможность управления усложняется ввиду отсутствия графического представления объектов управления и связей между ними. Ошибка настройки списков и записей контроля доступа (ACL и АСЕ) представляет собой типовой недостаток настройки безопасности.

[0005] Находясь внутри корпоративной сети с узлами ОС Linux и имея минимальный доступ к службе каталогов контроллера домена, потенциальный злоумышленник будет анализировать предоставленные права доступа для поиска возможности по их расширению. Успешным расширением прав доступа будет является реализация сценария, при котором путем манипуляций с недостатками настройки безопасности внутри сети, потенциальный злоумышленник установит контроль над одним из высокопривилегированных активов.

[0006] Из уровня техники известно решение при формировании представления структуры сети в виде графа для последующего моделирования вектора атаки на узлы сети (US 20170032130 А1, 02.02.2017). Решение описывает систему событийного информирования и реагирования (SIEM), в которую передаются данные моделирования векторов атак, которые могут свидетельствовать об аномальной активности в сети. Формируется список рангов и критерий сложности доступа к тому или иному активу внутри сети, который может стать целью злоумышленников.

[0007] Недостатком известного решения является невозможность применения данного подхода в службе каталогов FreeIPA, исходя из необходимости формирования модели взаимоотношений между объектами и выделения HVA для контроля возможных атак на них.

СУЩНОСТЬ ИЗОБРЕТЕНИЯ

[0008] Решаемой технической проблемой в рамках заявленного решения является создание нового эффективного подхода для предотвращения компрометации объектов, позволяющих получить доступ к HVA в службе каталогов FreeIPA.

[0009] Техническим результатом является повышение эффективности защиты корпоративной сети от компрометации объектов и получения доступа к высокопривилегированным активам.

[0010] Заявленный технический результат достигается за счет способа предотвращения компрометации объектов сетевой инфраструктуры (ОСИ) в службе каталогов FreeIPA, выполняемый с помощью вычислительного устройства и содержащий этапы, на которых:

- получают данные из хранилища контроллера домена FreeIPA, характеризующие управляющие ОСИ и их атрибуты, предоставленные им права доступа, а также справочники связей между упомянутыми ОСИ;

- определяют высокопривилегированные объекты (HVA) FreeIPA на основании анализа предоставленных управляющим ОСИ прав доступа, анализа глубины уровня разрешений доступа ОСИ и количества связей с другими ОСИ, на которые может быть оказано влияние;

- определяют типы отношений ОСИ между собой на основании справочников связей;

- формируют граф на основе полученных данных, в котором связи и их тип являются ребрами графа, а ОСИ являются вершинами;

- выполняют моделирование пути атаки на HVA с помощью сформированного графа, на котором определяют по меньшей мере один подграф с ОСИ, при этом подграф содержит ОСИ, позволяющие получить управление над HVA, или связанными с ним ОСИ с помощью по меньшей мере одного из: передачи текущих прав доступа, изменения текущих прав доступа, добавления новых прав доступа, или использования текущих прав доступа;

- осуществляют мониторинг HVA в сетевой инфраструктуре на основании смоделированного пути атаки; и

- в случае определения изменения прав доступа ОСИ, выявленных на подграфе, в части расширения их привилегий и/или появления новых привилегий, осуществляют изолирование связей по меньшей мере одного выявленного ОСИ от других объектов и/или понижения его привилегий путем удаления прав.

[0011] В одном из частных примеров осуществления параметры доступа между ОСИ представляют собой по меньшей мере одно из: связи привилегий между ОСИ, на которые эти привилегии распространяются, разрешения между ОСИ.

[0012] В другом частном примере осуществления полномочия ОСИ представляют собой комбинацию атрибутов и прав доступа с ассоциированными привилегиями пользователя.

[0013] В другом частном примере осуществления привилегии комбинация атрибутов входит в состав привилегий.

[0014] В другом частном примере осуществления комбинация атрибутов входит в состав ролей и присваивается управляющему ОСИ.

[0015] В другом частном примере осуществления управляющие ОСИ представляют собой одно из: пользователи, группы пользователей, хосты, группы хостов, сервисы.

[0016] В другом частном примере осуществления права доступа включают в себя по меньшей мере одно из: одна или несколько ролей, одно или несколько полномочий, одна или несколько привилегий, комбинация атрибутов прав доступа из элемента контроля доступа (ACI), правила разграничения доступа на уровне хоста (НВАС), сетевые группы, или правила использования привилегированного доступа (SUDO).

[0017] В другом частном примере осуществления на выявленном подграфе дополнительно осуществляют мониторинг ошибок в конфигурации безопасности ОСИ на основании проверки предоставленных прав.

[0018] В другом частном примере осуществления информация о выявленных ОСИ на основе анализа пути атак передается во внешнюю систему контроля.

[0019] В другом частном примере осуществления осуществляют корректировку конфигурации привилегий доступа управляющих ОСИ

[0020] Заявленное решение также осуществляется с помощью системы для предотвращения компрометации объектов сетевой инфраструктуры (ОСИ) в службе каталогов FreeIPA, при этом система содержит по меньшей мере один процессор и память, хранящую машиночитаемые инструкции, которые при их выполнении процессором реализуют вышеуказанный способ.

КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ

[0021] Фиг. 1 иллюстрирует блок-схему выполнения заявленного способа.

[0022] Фиг. 2 иллюстрирует пример графа объектов FreeIPA.

[0023] Фиг. 3 иллюстрирует пример вычислительной системы.

ОСУЩЕСТВЛЕНИЕ ИЗОБРЕТЕНИЯ

[0024] На Фиг. 1 представлена блок-схема выполнения этапов заявленного способа (100) предотвращения компрометации объектов ОСИ в корпоративной сети, функционирующей на базе службы каталогов FreeIPA. На первом этапе (101) выполняется обращение к контроллеру домена FreeIPA для получения информации по объектам инфраструктуры.

[0025] Сбор объектов реализуется в автоматизированном режиме путем выполнения специализированных запросов LDAP к серверу каталогов FreeIPA или к FreeIPA API. Запросы выполняются специализированным коннектором (программным обеспечением) и включают в свой состав параметры, необходимые для подключения к серверу каталогов FreeIPA, а также наименование объекта, к которому осуществляется запрос в структуре и необходимые фильтры.

[0026] Ниже представлен пример вышеупомянутого запроса:

ldapsearch -х -Н ldap://dcfreeipa.cslab.lab:389 -х -D "cn=Directory Manager" -W -b "cn=permissions,cn=pbac,dc=cslab,dc=lab" -s one -a always -z 1000 -F "(&(objectClass=ldapSubEntry)(nsds5ReplConflict=l))" "hasSubordinates" "objectClass" "objectCategory" "ipaPermissionType" "ipaPermRight" "ipaPermDefaultAttr" "ipaPermlncludedAttr" "member".

[0027] На основании собираемой информации получают сведения об управляющих ОСИ и их атрибутах, предоставленных правах доступа, а также справочники связей между упомянутыми ОСИ. Информация об ОСИ может получаться в формате записей службы каталогов или их изменений в текстовой форме (LDIF формат) из каталога. Права доступа включают в себя по меньшей мере одно из: одна или несколько ролей, одно или несколько полномочий, одно или более привилегий, правила разграничения доступа на уровне хоста (НВАС), сетевые группы, или правила использования привилегированного доступа (SUDO).

[0028] Повторный сбор реализуется для выявления изменения объектов. Собранные данные размещаются в двух видах баз данных: в графовой и обычной базе данных, в зависимости от типов собранных объектов. В дальнейшем, запросы внутри системы реализуются к этим базам данных для обеспечения быстродействия.

[0029] Права доступа во FreeIPA представлены в разрезе Host-Based Access Control (права доступа хоста), Role-Based Access Control (ролевые права доступа) объектов и SUDO правил. НВАС определяет хосты, на которые у определенных учетных записей (УЗ) есть доступ, a RBAC определяет перечень допустимых операций через роли, привилегии и разрешения (permissions), SUDO правила определяют пользователей и команды, которые могут быть выполнены с максимальными привилегиями.

[0030] В составе RBAC каждая роль содержит набор привилегий, а соответствующие привилегии содержат набор разрешений - полномочия. Роли можно применять к пользователям, группам пользователей, хостам, группам хостов и службам. Полномочия состоят из объектов, фильтров и разрешений, в свою очередь образуя элемент контроля доступа (Access Control Item - ACI). ACI представляет собой минимальный набор настроек для конкретного действия. Примером такого действия является полномочия на изменения пользователей, полномочие на чтение паролей CIFS (Common Internet File System -Стандартная файловая система Интернета) службой, изменение пароля пользователя, полномочие на изменение групповых политик и другие.

[0031] Далее на этапе (102) выполняется определение высокопривилегированных объектов (HVA) FreeIPA. Из всех управляющих ОСИ, таких как пользователи, группы пользователей, хосты, группы хостов и сервисы происходит выделение ОСИ с высоким уровнем доступа путем анализа предоставленных им полномочий на уровне ACI, анализа глубины уровня доступа и количества связей с другими объектами, на которые может быть оказано влияние. Также, принадлежность к HVA активам может быть установлена на основании группы пользователей или хостов, в которую входит данный актив, в том случае, если данная группа обладает широкими полномочиями или функционалом по администрированию (изменение пользователей, добавление новых хостов, сброс пароля и так далее). В случае, если HVA активом обозначена группа пользователей или группа хостов, то все входящие в данную группу объекты получат соответствующую метку. Определение принадлежности управляющего объекта к HVA рассчитывается для всех объектов контроллера домена FreeIPA в автоматическом на основании обозначенных ранее параметров.

[0032] Например, в таблице 1 перечислен ряд ACI, которые могут являться индикатором назначения метки HVA.

[0033] На этапе (103) происходит определение типов отношений ОСИ. Это выполняется, в частности, на основании полученной информации из справочников связей. Примерами явных связей технически являются отношения между объектами member, memberof, memberUser, memberHost, а примерами неявных связей являются наличие разрешения на совершения каких-либо действий, основанных на предоставленных полномочиях - например, сброс пароля для всех пользователей, добавление пользователей с указанием их прав, чтение пароля техническим сервисом и другие.

[0034] После осуществления сбора и размещения данных в необходимых базах данных, техническое решение осуществляет внутреннюю настройку связей между данными по полям member, memberof, memberUser, memberHost. В LDAP структуре хранилища службы каталогов связи между объектами представлены не всегда в явном виде. Например, таблица со всеми полномочиями (permissions) будет содержать поле member, в котором будет указано в какие привилегии (privileges) они включены. Таблица привилегий (privileges) будет содержать поле memberof - для маппинга полномочий, а также поле member, которое определит в какие роли включены данные привилегии. По аналогии с предыдущими таблицами, таблица роли (roles) также содержит поле member для поискать входящих привилегий и поле memberof для того, чтобы определить каким управляющим объектам: пользователям (users), хостам (computers), группам пользователей или хостов, а также сервисам, предоставлена данная роль. Таким образом получается информация, характеризующая отношения между минимальным атомарным действием внутри контроллера - ACI и управляющими объектами, которые могут применять данное действие. Такие связи будут называться явными, так как их отношения можно отследить в явном виде. В случае, когда будет обнаружен ACI, который предоставляет расширенные права, например, изменение паролей технической учетной записи или всем пользователям, вне зависимости от членства в группе администраторы, связь между управляющим объектом, который имеет данный ACI и другими управляющими объектами, на который может воздействовать первый, будет неявная. При определении отношений отслеживаются следующие типы прав доступа: НВАС (host based access control - права доступа на уровне хостов), SUDO - привилегированный доступ для управляющих объектов, RBAC (role based access control - права доступа на уровне ролей), СА. Изменения прав доступа оцениваются по степени значимости и влияния на общий уровень защищенности домена FreeIPA, а также влияния на объекты с высоким уровнем доступа.

[0035] Далее на этапе (104) выполняется формирование графа (200, Фиг. 2) на основе полученных данных, в котором связи и их тип являются ребрами графа, а ОСИ являются вершинами. Построение графа происходит на основе определенных явных связей и неявных, на основе НВАС, RBAC и SUDO правил, устанавливающих отношения между ОСИ с точки зрения разграничения доступа.

[0036] Построение графа (200) выполняется на основании определенных наборов полномочий ACI и наборов критических фильтров внутри ACI, которые представляют возможности горизонтального или вертикального расширения привилегий (201), а также исходя из связей и присвоений данных ACI. В LDAP структуре хранилища службы каталогов связи между ОСИ представлены нетривиально. Связи, а именно возможность управлять одному объекту другими (АО) или вхождения одного объекта в другие (например, вхождения привилегий в роли) представлены в виде ребер графа, а сами ОСИ представлены как вершины. На графе (200) отмечены следующие элементы: роли (202), пользователи (203), группы (204), серверы (205).

[0037] Граф (200) строится в различных вариантах, в зависимости от запроса к базе данных. Например, это может быть запрос на построение графа с возможными путями атак от объектов с низким уровнем доступа (пользователи, группы пользователей, хосты, группы хостов или сервисы) до объектов с высоким уровнем доступа - высокопривилегированные активы (те же объекты, но с административными функциями).

[0038] На графе (200) представлен пример компрометации узла (206), например, его учетной записи. У данного узла (206) есть роль (302) с критичным ACI и соответствующей привилегией (301), что отмечено на подграфе (300). Данная роль (302) позволяет скомпрометировать сервер (303), который управляет сервером (304), который может получить доступ к HVA (210). Таким образом, скомпрометированная учетная запись на узле (206) может реализовать атаку и захватить HVA (210) с использованием привилегии на управление локальными администраторами для сервера (303).

[0039] Формирование подграфа (300) выполняется на этапе (105) для моделирования пути атак на HVA на основании графа (200). На полученном графе (200) определяется подграф с одним или более ОСИ, который позволяет получить управление над HVA, или содержит ОСИ, связанные с ОСИ, которые могут получить контроль над HVA, при этом связь позволяет осуществлять следующие действия: передача текущих прав доступа, изменение текущих прав доступа, добавление новых прав доступа, или использование текущих прав доступа. [0040] Другим примером является построение подграфа от условно скомпрометированного хоста до других узлов, к которым может получить доступ потенциальный злоумышленник. Граф обеспечивает визуальное представление и простоту анализа, позволяя прозрачно установить неявные ранее связи и/или выявить объекты, которые могут применять широкие полномочия без ограничений.

[0041] На основании сформированного подграфа выполняется последующий мониторинг сетевой инфраструктуры на этапе (106) в части анализа состояний HVA. Используя стандартные средства, администратор FreeIPA не может оперативно узнать кому из пользователей предоставлена комбинация двух и более конкретных атрибутов или фильтров в составе ACI. Например, комбинация атрибута "ipaPeraiDefaultAttribute: userpassword" и права "ipaPermRight: write", которая наделяет пользователя способностью изменять пароли для чужих учетных записей. Если администратору необходимо будет найти всех пользователей, которые обладают данной комбинацией, то ему понадобится проанализировать все возможные полномочия, узнать в каких привилегиях они используются, затем узнать в какие роли они включены и наконец, кому они предоставлены.

[0042] Техническое решение предоставляет возможность решить данную задачу одним запросом в графовую БД, формируя подграф (300) из большого графа (200), путем выделения конкретной области с необходимыми объектами и атрибутами. Реализация такого сценария также сопряжена с обнаружением возможности повышения привилегий. Если данный уровень доступа предоставлен обычному пользователю без ограничений, то пользователь может сменить пароль какому-либо администратору и расширить свои привилегии. Этот и ряд других кейсов разработаны в виде запросов и представлены в техническом решении для использования в мониторинге.

[0043] Выполняемый на этапе (107) мониторинг изменений привилегий узлов в сети позволяет оперативно выявлять возникающие угрозы кибербезопасности и, как следствие, предотвратить снижение общего уровня защищенности. Обнаружение расширенного доступа позволяет своевременно реагировать на возникающие риски, и устранять их до реализации - путем отзыва полномочий, корректировки пользователей или хостов, их групп или сервисов.

[0044] В ходе мониторинга отслеживаются изменения по всем ОСИ, в зависимости от их влияния на HVA, а также по всем HVA, для оперативного определения фактора компрометации HVA. Отслеживаются изменения НВАС, SUDO и RBAC прав (ACI), создание новых ACI с критичными наборами атрибутов, а также их присвоение управляющим объектам. Все изменения влияют на количество путей атак и уже смоделированные возможные атаки через повышения прав доступа. Техническое решение также рассчитывает общий уровень компрометации домена, основанный на количестве возможных путей атак, их длине (количестве ребер), и потенциально достижимых вершинах HVA.

[0045] Примерами изменений, которые отслеживаются по правам, являются: «предоставление неограниченного права на изменение пароля учетной записи или группы учетных записей, которая является администратором или включает администратора контроллера домена (группа)», «внезапное предоставление доступа на чтение атрибута пароля пользователя для учетных записей, не находящихся в группе администраторов» и другие вариации использования привилегий для горизонтального и вертикального продвижения внутри контроллера домена. Такие ситуации невозможно эффективно отслеживать через стандартные интерфейсы управления FreeIPA (командная строка CLI, и UI), а их реализация приводит к снижению общего уровня защищенности и более легкому продвижению внутри домена.

[0046] Среди изменений по правам также может быть следующее: создание нового объекта (например, создание нового полномочия ACI), изменение стандартного объекта (например, изменение стандартной роли RBAC), изменение отдельно созданного объекта (например, наполнение атрибутами созданный нестандартный (кастомный) объект управления доступом ACI - Access Control Item), включение в состав стандартного объекта нового объекта (например, расширение стандартной роли нестандартной привилегией), добавление фильтров и иных ограничений, а также другие изменения, выполненные вне зависимости от пути или инструмента их реализации.

[0047] Так как внутри ACI права представлены набором атрибутов, разрешений и ограничений к этим атрибутам, то именно из комбинации атрибутов, разрешений и ограничений к ним можно создавать нестандартные (кастомные) ACI или отслеживать изменения стандартных.

[0048] Например, в обозначенном ранее ACI «Изменение пароля пользователя» используются следующие параметры, приведенные в таблице 2.

[0049] Заявленное решение также способно отслеживать аномалии и отклонения от типового использования различных уровней доступа внутри домена FreeIPA. Аномалии могут быть представлены чрезмерным количеством аутентификаций на различных объектах, добавлением конкретному управляющему объекту SUDO правил или назначение ему большого количества хостов для управления через НВАС, также аномалией может быть большое количество запросов к контроллеру домена или запрос с конкретными параметрами для повышения привилегий или разведки (например, информации о других УЗ), отклонение от привычных маршрутов аутентификаций в рамках УЗ, использованием технических УЗ для аутентификации на продуктивных хостах, и рядом других активностей, свойственных для скомпрометированных учетных записей.

[0050] Для эффективной аналитики также могут быть использованы модели машинного обучения. Результатом такой обработки полномочий является пересмотр предоставленных прав учетным записям, блокировка неиспользуемых учетных записей и иной перечень активностей, направленных на снижение поверхности атаки.

[0051] Техническое решение предлагает пути снижения текущего уровня рисков прав полномочий, а также повышения общего уровня защищенности путем отзыва прав у учетных записей и тем самым разрыва связей.

[0052] Результатом контроля по факту выполнения этапа (107) является выявление ОСИ с измененными правами доступа в части расширения привилегий и/или появления новых привилегий для такого рода ОСИ. В этом случае выполняется изолирование связей для такого ОСИ от других объектов и/или понижения их привилегий путем удаления прав.

[0053] Может также выполняться автоматизированный отзыв НВАС, SUDO, RBAC и других прав (включая привилегии, роли и возможность доступа к хостам или изменению объектов) у учетной записи (пользователь, сервис или хост) или группы (группа хостов или группа пользователей), а также автоматизированная блокировка каких-либо учетных записей, (анализатор событий - подумать где он - сменили пароль). Также система способна изолировать сетевой доступ на конкретные хосты или группы хостов, которые управляются контроллером Домена.

[0054] Техническое решение анализирует ряд событий, которые необходимы для успешной отработки сценариев. Решение не заменяет функционал систем по выявлению и корреляции событий на основе логов, однако, может использовать данные для оценки использования предоставленных привилегий.

[0055] Дополнительно на основании сформированного графа (200) может осуществляться мониторинг ошибок в конфигурации безопасности ОСИ на основании проверки предоставленных прав. Проверка осуществляется по перечню известных недостатков настроек безопасности для контроллера домена FreeIPA, который расширяется в связи с появлением новых угроз кибербезопасности и, как следствие, программных исправлений (патчей) безопасности.

[0056] При идентификации нового вектора атаки на HVA информация о выявленных ОСИ, которые будут подлежать применению изменений привилегий для целей безопасности, может передаваться во внешние системы контроля, например, SIEM систему.

[0057] Также, может осуществляться корректировка конфигурации привилегий доступа управляющих ОСИ, например, с помощью настроек правил по автоматизированной корректировке привилегий.

[0058] На Фиг. 3 представлен общий вид вычислительной системы, реализованной на базе вычислительного устройства (400). В общем случае, вычислительное устройство (400) содержит объединенные общей шиной информационного обмена один или несколько процессоров (401), средства памяти, такие как ОЗУ (402) и ПЗУ (403), интерфейсы ввода/вывода (404), устройства ввода/вывода (405), и устройство для сетевого взаимодействия (406).

[0059] Процессор (401) (или несколько процессоров, многоядерный процессор) могут выбираться из ассортимента устройств, широко применяемых в текущее время, например, компаний Intel™, AMD™, Apple™, Samsung Exynos™, MediaTEK™, Qualcomm Snapdragon™ и т.п. Под процессором также необходимо учитывать графический процессор, например, GPU NVIDIA или ATI, который также является пригодным для полного или частичного выполнения способа (100). При этом, средством памяти может выступать доступный объем памяти графической карты или графического процессора.

[0060] ОЗУ (402) представляет собой оперативную память и предназначено для хранения исполняемых процессором (401) машиночитаемых инструкций для выполнение необходимых операций по логической обработке данных. ОЗУ (402), как правило, содержит исполняемые инструкции операционной системы и соответствующих программных компонент (приложения, программные модули и т.п.).

[0061] ПЗУ (403) представляет собой одно или более устройств постоянного хранения данных, например, жесткий диск (HDD), твердотельный накопитель данных (SSD), флэш-память (EEPROM, NAND и т.п.), оптические носители информации (CD-R/RW, DVD-R/RW, BlueRay Disc, MD) и др.

[0062] Для организации работы компонентов устройства (400) и организации работы внешних подключаемых устройств применяются различные виды интерфейсов В/В (404). Выбор соответствующих интерфейсов зависит от конкретного исполнения вычислительного устройства, которые могут представлять собой, не ограничиваясь: PCI, AGP, PS/2, IrDa, FireWire, LPT, COM, SATA, IDE, Lightning, USB (2.0, 3.0, 3.1, micro, mini, type C), TRS/Audio jack (2.5, 3.5, 6.35), HDMI, DVI, VGA, Display Port, RJ45, RS232 и т.п.[0063] Для обеспечения взаимодействия пользователя с вычислительным устройством (300) применяются различные средства (405) В/В информации, например, клавиатура, дисплей (монитор), сенсорный дисплей, тач-пад, джойстик, манипулятор мышь, световое перо, стилус, сенсорная панель, трекбол, динамики, микрофон, средства дополненной реальности, оптические сенсоры, планшет, световые индикаторы, проектор, камера, средства биометрической идентификации (сканер сетчатки глаза, сканер отпечатков пальцев, модуль распознавания голоса) и т.п.

[0064] Средство сетевого взаимодействия (406) обеспечивает передачу данных устройством (400) посредством внутренней или внешней вычислительной сети, например, Интранет, Интернет, ЛВС и т.п. В качестве одного или более средств (406) может использоваться, но не ограничиваться: Ethernet карта, GSM модем, GPRS модем, LTE модем, 5G модем, модуль спутниковой связи, NFC модуль, Bluetooth и/или BLE модуль, Wi-Fi модуль и др.

[0065] Дополнительно могут применяться также средства спутниковой навигации в составе устройства (300), например, GPS, ГЛОНАСС, BeiDou, Galileo.

[0066] Представленные материалы заявки раскрывают предпочтительные примеры реализации технического решения и не должны трактоваться как ограничивающие иные, частные примеры его воплощения, не выходящие за пределы испрашиваемой правовой охраны, которые являются очевидными для специалистов соответствующей области техники.

Изобретение относится к области обеспечения безопасности корпоративной сети. Техническим результатом является повышение эффективности защиты корпоративной сети от компрометации объектов и получения доступа к высокопривилегированным активам. Технический результат достигается за счет способа предотвращения компрометации объектов сетевой инфраструктуры (ОСИ) в службе каталогов FreeIPA, в котором: получают данные из хранилища контроллера домена FreeIPA, характеризующие управляющие ОСИ и их атрибуты, предоставленные им права доступа, а также справочники связей между упомянутыми ОСИ; определяют высокопривилегированные объекты (HVA) FreeIPA; определяют типы отношений ОСИ между собой; формируют граф на основе полученных данных; выполняют моделирование пути атаки на HVA с помощью сформированного графа, на котором определяют по меньшей мере один подграф с ОСИ, позволяющими получить управление над HVA, или связанными с ним ОСИ; осуществляют мониторинг HVA на основании смоделированного пути атаки; и в случае определения изменения прав доступа ОСИ, выявленных на подграфе, осуществляют изолирование связей по меньшей мере одного выявленного ОСИ от других объектов и/или понижение его привилегий путем удаления прав. 2 н. и 9 з.п. ф-лы, 3 ил., 2 табл.

1. Способ предотвращения компрометации объектов сетевой инфраструктуры (ОСИ) в службе каталогов FreeIPA, выполняемый с помощью вычислительного устройства и содержащий этапы, на которых:

- получают данные из хранилища контроллера домена FreeIPA, характеризующие управляющие ОСИ и их атрибуты, предоставленные им права доступа, а также справочники связей между упомянутыми ОСИ;

- определяют высокопривилегированные объекты (HVA) FreeIPA на основании анализа предоставленных управляющим ОСИ прав доступа, анализа глубины уровня разрешений доступа ОСИ и количества связей с другими ОСИ, на которые может быть оказано влияние;

- определяют типы отношений ОСИ между собой на основании справочников связей;

- формируют граф на основе полученных данных, в котором связи и их тип являются ребрами графа, а ОСИ являются вершинами;

- выполняют моделирование пути атаки на HVA с помощью сформированного графа, на котором определяют по меньшей мере один подграф с ОСИ, при этом подграф содержит ОСИ, позволяющие получить управление над HVA, или связанными с ним ОСИ с помощью по меньшей мере одного из: передачи текущих прав доступа, изменения текущих прав доступа, добавления новых прав доступа или использования текущих прав доступа;

- осуществляют мониторинг HVA в сетевой инфраструктуре на основании смоделированного пути атаки; и

- в случае определения изменения прав доступа ОСИ, выявленных на подграфе, в части расширения их привилегий и/или появления новых привилегий, осуществляют изолирование связей по меньшей мере одного выявленного ОСИ от других объектов и/или понижение его привилегий путем удаления прав.

2. Способ по п. 1, в котором параметры доступа между ОСИ представляют собой по меньшей мере одно из: связи привилегий между ОСИ, на которые эти привилегии распространяются, разрешения между ОСИ.

3. Способ по п. 1, в котором полномочия ОСИ представляют собой комбинацию атрибутов и прав доступа с ассоциированными привилегиями пользователя.

4. Способ по п. 3, в котором комбинация атрибутов входит в состав привилегий.

5. Способ по п. 3, в котором комбинация атрибутов входит в состав ролей и присваивается управляющему ОСИ.

6. Способ по п. 1, в котором управляющие ОСИ представляют собой одно из: пользователи, группы пользователей, хосты, группы хостов, сервисы.

7. Способ по п. 1, в котором права доступа включают в себя по меньшей мере одно из: одна или несколько ролей, одно или несколько полномочий, одна или несколько привилегий, комбинация атрибутов прав доступа из элемента контроля доступа (ACI), правила разграничения доступа на уровне хоста (НВАС), сетевые группы или правила использования привилегированного доступа (SUDO).

8. Способ по п. 1, в котором на выявленном подграфе дополнительно осуществляют мониторинг ошибок в конфигурации безопасности ОСИ на основании проверки предоставленных прав.

9. Способ по п. 1, в котором информация о выявленных ОСИ на основе анализа пути атак передается во внешнюю систему контроля.

10. Способ по п. 1, в котором осуществляют корректировку конфигурации привилегий доступа управляющих ОСИ.

11. Система для предотвращения компрометации объектов сетевой инфраструктуры (ОСИ) в службе каталогов FreeIPA, содержащая по меньшей мере один процессор и по меньшей мере одну память, связанную с процессором, содержащую машиночитаемые инструкции, которые при их выполнении процессором реализуют способ по любому из пп. 1-10.