При обнаружении компрометации учётной записи ключевой задачей является не восстановление доступа, а прекращение дальнейшего использования скомпрометированных полномочий. Любая задержка на этом этапе увеличивает вероятность lateral movement, закрепления и расширения зоны воздействия.
Lateral movement — это этап атаки, при котором злоумышленник, получив начальный доступ к одной системе в сети, перемещается между другими системами, расширяя область контроля без повторного взлома периметра.
Последовательность действий определяется уровнем привилегий учётной записи и тем, к какому Tier она относится.
Первым шагом является ограничение возможности аутентификации. Учётная запись блокируется или изолируется от использования, а активные сессии, если это возможно, принудительно завершаются. На этом этапе пароль может оставаться неизменным, поскольку сама возможность продолжать использовать учётку представляет больший риск, чем сохранение пароля.
После ограничения активности фиксируется текущее состояние: время обнаружения, последние входы, источники аутентификации, типы сессий и затронутые системы. Эти данные важны для понимания масштаба инцидента и предотвращения повторного использования тех же механизмов доступа.
Дальнейшие действия зависят от Tier-уровня учётной записи.
Если скомпрометирована учётная запись Tier 2, предполагается, что она использовалась в пользовательской среде. Проверяется доступ к АРМ, терминальным серверам и пользовательским сервисам. Основной риск на этом уровне — попытка продвижения к серверам Tier 1 через повторное использование учётных данных или сохранённые сессии. После анализа пароль меняется, дополнительные ограничения входа пересматриваются, а доступ восстанавливается только в рамках пользовательской зоны.
Компрометация учётной записи Tier 1 затрагивает серверную инфраструктуру. В этом случае оценивается, какие серверы и сервисы могли быть затронуты, использовалась ли учётка для административных операций и создавались ли новые объекты или учётные записи. Помимо смены пароля, проверяются сервисные зависимости, планировщики задач и конфигурации приложений. Доступ возвращается только после подтверждения, что учётка не использовалась для изменения прав или подготовки дальнейшего продвижения.
Компрометация учётной записи Tier 0 рассматривается как инцидент максимального уровня. Предполагается риск полного контроля над доменом. Действия включают немедленную изоляцию учётной записи, анализ входов на контроллеры домена, проверку изменений в группах, политиках и объектах каталога. В зависимости от результатов может потребоваться отзыв и пересоздание других привилегированных учётных записей и проверка целостности инфраструктуры аутентификации.
После выполнения мер реагирования учётные данные меняются, связанные пароли обновляются, а доступ восстанавливается в минимально необходимом объёме. Дополнительно пересматриваются ограничения входа и условия использования учётной записи, чтобы исключить повторение сценария компрометации.
Реагирование на компрометацию учётной записи в контексте Tier-модели позволяет соотнести действия с уровнем риска и избежать универсального подхода. Это снижает вероятность распространения инцидента и упрощает контроль над восстановлением доступа без потери управляемости инфраструктуры.
Добавить комментарий