Przypadek włamania do amerykańskich serwerów nie jest niczym nowym. Jedynie jego skala czyni je spektakularnym i pokazuje wielkość zagrożenia. Istnieje jednak duża szansa na wyeliminowanie takich zagrożeń. Warto zatem poznać i zastosować zalecenia oraz najlepsze praktyki, które zapewniają ograniczenie ryzyka związanego z udostępnianiem systemów pracownikom firm zewnętrznych.

Nie dopuścić obcych

Niejednokrotnie po wygaśnięciu umowy konta współpracowników nie są wyłączane ani usuwane z katalogów korporacyjnych, takich jak np. Active Directory. Równie często konta te przez długi czas pozostają przypisane do grup, dzięki którym współpracownicy mieli zapewniony dostęp do określonych zasobów. Jednak najważniejsze, że takie rozwiązania jak katalog Active Directory nie obejmują swoim mechanizmem zarządzania lokalnymi kontami znajdującymi się w systemach operacyjnych (root, administrator), bazach danych (sa, sys, sysdba) i urządzeniach sieciowych (cisco, admin). A to do nich mają dostęp współpracownicy zewnętrzni, często z wykorzystaniem tych samych reguł bezpieczeństwa, jakie stosowane są w przypadku pracowników wewnętrznych.

Tego typu konta powinny być zarządzane za pomocą rozwiązań klasy Privileged Password Management, takich jak oprogramowanie Dell TPAM. Umożliwia ono pełną kontrolę dostępu do kont tzw. superużytkowników oraz zapewnia ochronę i zarządzanie hasłami do tych, często współużytkowanych, kont. Dzięki rozwiązaniu Dell TPAM administrator zyskuje pełną kontrolę nad tym, kiedy współpracownicy korzystają z uprzywilejowanych kont, a po każdym użyciu hasła do takiego konta, może być ono zmienione na zupełnie nowe.

Zaletą tej metody zarządzania jest również zgromadzenie w jednym miejscu informacji o tym, kto, kiedy i dlaczego uzyskał dostęp do konta uprzywilejowanego. Warto zwrócić także uwagę, że wybrane rozwiązanie powinno zapewniać interfejs programistyczny API umożliwiający integrację mechanizmu zarządzania hasłami i ich repozytorium z systemami i aplikacjami wykorzystywanymi w przedsiębiorstwie.

Ograniczenie dostępu do systemów osobom trzecim

Kluczowe systemy komputerowe każdej firmy powinny być umieszczone w strefach, do których żaden pracownik – wewnętrzny czy zewnętrzny – nie ma bezpośredniego dostępu. Nawet jeżeli posiada hasła do kont istniejących w tych systemach, jego sesje powinny być nawiązywane pośrednio, za pomocą rozwiązań typu proxy, umożliwiających odseparowanie stacji roboczej od serwera. Daje to gwarancję, że do serwera nie przeniknie potencjalnie zainfekowany kod.

Typową praktyką stosowaną w celu zapewnienia bezpiecznego nawiązywania połączenia z chronionymi serwerami jest uruchamianie proxy w sieci VPN. W ten sposób serwery zostają całkowicie odizolowane, a dostęp do nich możliwy jest tylko z adresów IP przypisanych do systemu proxy, co zapewniają odpowiednio skonfigurowane reguły polityki bezpieczeństwa na zaporach ogniowych. Rozwiązanie proxy musi zapewniać wprowadzenie mechanizmów kontroli nawiązywania sesji (np. konieczności uzyskania akceptacji nawiązania połączenia przez wyznaczoną osobę), czasu trwania sesji oraz weryfikacji tożsamości osoby nawiązującej sesję.

Dell TPAM jest przykładem systemu, który łączy wszystkie wymienione cechy. Korzyścią płynącą z zastosowania tego rozwiązania jest wyeliminowanie ryzyka uruchomienia ze stacji złośliwego oprogramowania, które może zostać wykorzystane do uzyskania nieautoryzowanego dostępu do monitorowanych serwerów. TPAM zapewnia również funkcje zarządzania hasłami do kont, za pomocą których zestawiane są połączenia z rejestrowaniem sesji – po zamknięciu sesji hasło może być automatycznie zmieniane.

Bezpieczny TPAM

Oprogramowanie Dell TPAM zapewnia automatyzację, kontrolę, rejestrację i zabezpieczenie całego procesu przydzielania i udostępniania pracownikom oraz współpracownikom firmy poświadczeń koniecznych do wykonywania ich obowiązków. To sprawdzone w praktyce rozwiązanie, łatwe do zintegrowania z innymi systemami w środowisku klasy enterprise. Cechuje je maksymalny nacisk na kwestie bezpieczeństwa, bardzo krótki okres wdrożenia, bogate opcje konfiguracyjne oraz przystosowanie do pracy w rozproszonych centrach przetwarzania danych.

Jeżeli administratorzy w firmie klienta deklarują, że nie spotkali się z przypadkiem ataku za pomocą „skradzionego” konta, oznacza to tylko, że zarządzany przez nich mechanizm dostępu do kont uprzywilejowanych nie został jeszcze złamany. W klasycznej infrastrukturze nie wystarczy zastosowanie narzędzia, które tylko śledzi aktywność użytkowników korzystających z dostępu do kont. Konieczne jest posiadanie rozwiązania, które nie tylko rejestruje sesje, ale także aktywnie zarządza hasłami do kont uprzywilejowanych i eliminuje ryzyko wykorzystania ich do włamania. Niestety, każda firma powinna założyć, że jest stale narażona na atak i bez mechanizmów ochrony w każdej chwili może stać się jego ofiarą.

Dystrybutorem oprogramowania Dell Software jest wrocławska firma QuestDystrybucja. Jako oficjalny Partner Wsparcia Technicznego Dell Softwarei Value Added Distributor od ponad dziesięciu lat oferuje rozwiązania wspierające zarządzanie środowiskiem IT tego producenta. Quest Dystrybucja zajmuje się zarówno sprzedażą licencji i odnowy pomocy technicznej, jak też zapewnia wsparcie w zakresie implementacji i wykorzystania oferowanego oprogramowania. Inżynierowie dystrybutora wspierają partnerów w projektowaniu i wdrażaniu systemów zarządzania kontami uprzywilejowanymi (PAM) oraz tożsamością i dostępem (IAM). Mają wieloletnie praktyczne doświadczenie zebrane podczas pełnienia obowiązków architektów i analityków systemów oraz bezpośredniego udziału we wdrażaniu systemów zarządzania bezpieczeństwem dostępu do informacji oraz infrastruktury klucza publicznego (PKI).

Dodatkowe informacje:

 

Mariusz Przybyła,

konsultant IdM, Quest Dystrybucja,

m.przybyla@quest-pol.com.pl

Artykuł powstał we współpracy z firmami Dell Software i Quest Dystrybucja.

Artykuł Dell TPAM: w obronie administratorów i reputacji firmy pochodzi z serwisu CRN.