– Zakres działania PAM obejmuje osoby, które mają dostęp do najbardziej wrażliwych, krytycznych systemów. Z jednej strony są to administratorzy, z drugiej zaś mogą to być dostawcy szeroko rozumianego outsourcingu IT. Systemy tej klasy pozwalają między innymi na śledzenie wprowadzonych zmian, a także przerwanie sesji w przypadku działań mogących skutkować zagrożeniem dla bezpieczeństwa firmy – tłumaczy Kamil Budak, Product Manager Senhasegura w Dagma Bezpieczeństwo IT.

Administratorzy pod nadzorem

Chyba wszyscy w branży IT znają przypadek Edwarda Snowdena, który ujawnił na łamach prasy kilkaset tysięcy poufnych, tajnych i ściśle tajnych dokumentów NSA. Wiele osób zapewne słyszało też o wycieku 80 milionów rekordów klientów i pracowników amerykańskiego zakładu ubezpieczeń zdrowotnych, bądź Koreańskiego Biura Kredytowego (Korea Credit Bureau), którego pracownik zdobył poufne informacje na temat ponad 20 mln klientów tej instytucji. Tym, co łączy wymienione przypadki jest działanie osób z tzw. uprzywilejowanym dostępem do systemów informatycznych tychże organizacji.

Nie są to wcale odosobnione zdarzenia – podobne incydenty mają miejsce zarówno w dużych, jak i małych organizacjach. Administratorzy bądź firmy realizujące na zlecenie przedsiębiorstw usługi IT mają dostęp do najbardziej poufnych informacji – korespondencji mailowej pracowników, listy płac, treści zawieranych umów, uchwał zarządów, zawartości dysków na komputerach prezesów… Co gorsza, mogą podszywać się pod ich użytkowników i dezaktywować drogie, rozbudowane zabezpieczenia IT – antywirusy, firewalle czy narzędzia do backupu.

Zastosowania PAM

Analitycy Gartnera przewidują, że do roku2022 około 70 proc. organizacji wdroży systemy PAM, co oznacza wzrost o 40 proc. w porównaniu z rokiem 2020. Jakie firmy sięgną w pierwszej kolejności po tego typu narzędzia? W zasadzie istnieją specjalne zalecenia do stosowania PAM w bankowości oraz telekomunikacji, ale tak naprawdę jest to rozwiązanie przydatne praktycznie dla każdej organizacji. Z PAM-ów korzysta sektor publiczny, ale także wielkie koncerny i mniejsze przedsiębiorstwa.

Eksperci z firmy Dagma wskazują na trzy główne obszary, w których PAM okazuje się szczególnie przydatny. Po pierwsze zastosowanie tego systemu pozwala zachować porządek w organizacji poprzez kontrolę dostępu. Organizacje pozbawione takich narzędzi jak PAM, muszą prowadzić bardzo skrupulatną dokumentację dotyczącą działań administratora. Biorąc pod uwagę fakt, że codziennie logują się do kilkunastu czy kilkudziesięciu miejsc, łatwo sobie wyobrazić ogrom pracy do wykonania.

Ponadto PAM świetnie sprawdza się jako narzędzie do monitoringu zewnętrznych firm świadczących usługi IT. W czasie wykonywania prac mają one bardzo często dostęp do newralgicznych danych klienta, który nie ma kontroli nad tym, co robią. Jeśli, dajmy na to, dojdzie do kradzieży danych, PAM nie tylko o tym poinformuje, ale również pozwoli dostarczyć dowody przestępstwa. System umożliwia też podniesienie poziomu bezpieczeństwa środowiska IT, chroniąc i aktualizując hasła, a także dbając o ich złożoność i zróżnicowanie we wszystkich systemach docelowych, do których logują się użytkownicy.

Kontakt dla partnerów: Kamil Budak, Product Manager Senhasegura, Dagma Bezpieczeństwo IT, tel. (32) 793 11 07, budak.k@dagma.pl

Artykuł PAM, czyli skontroluj pracę administratora pochodzi z serwisu CRN.

Drugi nabytek – hiszpańska firma Simarks – to specjalista z obszaru Privilege Elevation and Delegation Management (PEDM). Rozwiązania PEDM umożliwiają wdrożenie reguł bezpieczeństwa zwiększających kontrolę nad działaniami użytkowników końcowych i administratorów, co chroni system informatyczny przed błędami i złośliwymi działaniami, w tym atakami ransomware i innego malware. Jak informuje Wallix, łatwe do wdrożenia w dużych środowiskach IT oprogramowanie Simarks rozszerza funkcje ochrony PAM, ograniczając ryzyko użycia stacji roboczych jako nośnika cyberzagrożeń w rodzaju Wannacry, Petya czy NotPetya.

Wallix to dostawca rozwiązania PAM (Privileged Access Management). Zarządzania dostępem uprzywilejowanym jest uznawane przez Gartnera za jeden z priorytetów w zapewnianiu cyberbezpieczeństwa w firmach.

Artykuł Wallix przejmuje firmy Trustelem i Simarks pochodzi z serwisu CRN.

Kontrola dostępu uprzywilejowanego jest potrzebna wszędzie tam, gdzie w grę wchodzi infrastruktura krytyczna. Szczególnie w przypadku korzystania z outsourcingu IT oraz konieczności zastosowania się do różnego rodzaju regulacji (np. ISO 27?001). Potencjalnego użytkownika PAM zainteresują takie funkcje jak:

• monitorowanie i rejestracja administracyjnych oraz serwisowych sesji zdalnych,

• proste, szybkie i bezpieczne przydzielanie dostępu do serwerów, routerów, przełączników czy kontrolerów,

• przekazywanie dostępu administracyjnego do systemu bez podawania danych logowania (np. bez przekazywania hasła dla użytkownika root na serwerze linuksowym),

• automatyzacja procesu zmiany haseł dla kont lokalnych.

Takie właściwości ma produkt marki Wallix, nowego gracza na polskim rynku rozwiązań PAM. W skład pakietu Wallix AdminBastion Suite (WAB Suite) wchodzą trzy elementy: WAB Session Manager (WAB-SM), WAB Password Manager (WAB-PM) oraz WAB Access Manager (WAB-AM).

WAB-SM to moduł monitorowania i rejestracji sesji zdalnych. Do ich nagrywania platforma nie potrzebuje agentów w docelowych systemach. Obsługiwane są podstawowe protokoły, wykorzystywane na potrzeby administracyjne (m.in. SSH, RDP). Rejestrację sesji użytkownika za pomocą klientów aplikacji, wykorzystujących protokoły nieobsługiwane natywnie przez proxy, umożliwia mechanizm tzw. profili aplikacyjnych. Dzięki WAB-SM administrator uzyskuje podgląd na żywo sesji użytkownika zewnętrznego. Nagrania sesji są zapisane w formie zaszyfrowanej i przechowywane lokalnie lub zdalnie.

Z kolei WAB-PM to moduł zarządzania hasłami dla kont uprzywilejowanych. Oprogramowanie w zadanym przez administratora cyklu zmienia hasła użytkowników na systemach docelowych, zgodnie z określoną polityką dotyczącą złożoności haseł. Dodatkowo zarządzający systemem może dać użytkownikowi możliwość podglądu hasła dla wybranych kont, a po zakończeniu pracy z takimi kontami hasło zostanie automatycznie zmienione na nowe.

Oba moduły są oferowane w ramach pojedynczego systemu. Klient decyduje, czy chce nabyć jeden moduł czy korzystać z obu funkcji. System może być dostarczony na urządzeniach Wallix, jako platforma wirtualna lub obraz ISO do zainstalowania na sprzęcie klienta.

Trzeci element WAB Suite to WAB-AM. Jest to aplikacja z interfejsem HTML5, będąca nakładką na dwa pozostałe moduły. WAB-AM pobiera wszystkie ustawienia z podłączonych instancji WAB-SM i/lub WAB-PM i za pomocą protokołu HTTPS daje dostęp do infrastruktury w przeglądarce internetowej.

Autorzy raportu Gartnera „Market Guide for Privileged Access Management 2015” zwracają uwagę na to, że Wallix AdminBastion Suite to rozwiązanie proste we wdrożeniu, i szczególnie polecają go firmom, które poszukują narzędzia do kontroli sesji zdalnych.

Dystrybutorem rozwiązania w Polsce jest firma VEMI z Warszawy (www.vemi.pl), która posiada certyfikowany przez Wallix zespół inżynierów oraz opiekunów handlowych. W ramach współpracy z partnerami oferuje wiele narzędzi wspierających promocję i sprzedaż platformy PAM.

Artykuł Wallix – trzy filary ochrony dostępu uprzywilejowanego pochodzi z serwisu CRN.

Każde z trzech
wspomnianych zdarzeń łączy to, że przestępcy mieli uprzywilejowany dostęp do
systemów IT – taki z prawami administratora, przydzielany pracownikom
firmy, ale także zewnętrznym partnerom. Snowden był właśnie zewnętrznym
zleceniobiorcą zatrudnionym przez NSA. Również sprawca wycieku z Korea
Credit Bureau miał zapewniony dostęp do wewnętrznych systemów koreańskich
operatorów kart kredytowych, zaś w przypadku Anthem posłużono się danymi
logowania jednego z administratorów firmy. Jeśli tak potężne instytucje
nie potrafiły zadbać o kontrolę dostępu uprzywilejowanego, to znaczy, że
problem jest poważny. Potwierdzają to statystyki. Według „2015 Verizon Data
Breach Report” aż 55 proc. naruszeń bezpieczeństwa określanych jako wewnętrzne
jest związanych z wykorzystaniem kont uprzywilejowanych.

Wobec tego bez wątpienia warto zainteresować się rynkiem PAM
– rozwiązań, które mają chronić przed tego rodzaju zagrożeniem. Rynkiem,
który według szacunków analityków odnotowuje około 30-proc. wzrost rok do
roku.

Zaufanie ma swoje granice

Firmowe systemy IT są pod kontrolą administratorów, ale czy
ktoś ma kontrolę nad nimi? Mariusz Stawowski, dyrektor działu technicznego
w Clico, zwraca uwagę, że często informatycy w ramach wykonywania
swoich obowiązków zyskują ogromną władzę, co sprawia, że mogą stanowić realne
zagrożenie dla bezpieczeństwa przedsiębiorstwa.

– W firmach, w których nie
zostały zastosowane odpowiednie środki nadzoru, administratorzy baz danych mają
dostęp do najbardziej poufnych informacji, administratorzy poczty
elektronicznej mogą śledzić korespondencję innych pracowników, administratorzy
aplikacji mogą podszywać się pod jej użytkowników, a administratorzy
zabezpieczeń mogą je wyłączyć w celu umożliwienia naruszenia
bezpieczeństwa – wylicza ekspert z Clico.

Podobne zagrożenie
stanowią zewnętrzni serwisanci, którzy często mają zdalny dostęp do najbardziej
krytycznych systemów przedsiębiorstwa. Mariusz Stawowski przypomina, że atak,
który w ubiegłym roku sparaliżował system energetyczny Ukrainy, polegał na
wykorzystaniu zdalnego dostępu do stacji SCADA, a więc urządzeń
odpowiedzialnych za sterowanie systemem dystrybucji energii. Dlatego jego
zdaniem zastosowanie przez klientów specjalistycznych narzędzi PAM, służących
do kontroli i zarządzania dostępem użytkowników uprzywilejowanych, ma duże
uzasadnienie biznesowe.

Piotr Kawa, Network
Departament Manager Poland & CEE w Bakotechu, powołuje się na raporty
wiodących organizacji zajmujących się bezpieczeństwem, takie jak „Insider
Threat Report” oraz „CERT Insider Threat Center”. Na ich podstawie twierdzi, że
dużo trudniej wykrywa się i zapobiega zagrożeniom wewnętrznym (generowanym
w dużej mierze przez użytkowników uprzywilejowanych) niż tym pochodzącym
z zewnątrz. Chcąc im przeciwdziałać, klienci muszą odpowiedzieć sobie na
pytania: jacy uprzywilejowani użytkownicy mają dostęp do krytycznych zasobów,
jak z nich korzystają i czy nie dochodzi do wykroczeń bądź naruszeń
polityk bezpieczeństwa.

Privileged Access Management – made in Poland

 

Polska nie jest białą plamą na mapie producentów PAM.
Z tego powodu światowi dostawcy tego rodzaju rozwiązań mają z jednej
strony łatwiej, bo często nie muszą polskim klientom od początku tłumaczyć,
czym są takie narzędzia. A z drugiej strony wchodzą w obszar, na
którym od kilku lat prężnie działa lokalny producent i zdążył już odnieść
spory sukces. Mowa o firmie Wheel Systems, sprzedającej swoje rozwiązania
informatyczne największym klientom na polskim rynku – z sektora
finansowego, energetycznego, telekomunikacyjnego, przemysłu, branży
internetowej i wielu innych.

Działający za pośrednictwem partnerów polski producent
stworzył najpierw CERB AS – wieloskładnikowy system uwierzytelnienia,
który umożliwia scentralizowane zarządzanie użytkownikami oraz kontrolę dostępu
do zasobów z wykorzystaniem różnych metod uwierzytelnienia. Zdobył uznanie
głównie w sektorze finansowym. A ponieważ klienci zgłaszali Wheel
Systems potrzebę posiadania rozwiązania do nagrywania sesji i zarządzania
hasłami, powstał system FUDO. To obecnie sztandarowy produkt warszawskiej
firmy, służący do stałego monitoringu, kontroli i rejestracji zdalnych
sesji dostępu do systemów informatycznych.

Przedstawiciel Bakotechu
zauważa, że choć wiele organizacji korzysta z systemów zbierania logów, to
nie są one zbyt użyteczne, z uwagi na zbyt wiele danych do interpretacji.
Poza tym są one również zasobochłonne.

– Kluczem jest monitorowanie
i analizowanie działań użytkowników uprzywilejowanych w czasie
rzeczywistym – przekonuje Piotr Kawa.

Zdaniem Pawła Rybczyka,
business developera CEE&Russia w firmie Wallix, w ostatnim czasie
na rozwiązania PAM patrzy się bardziej w kontekście monitoringu dostępu i
rejestracji dostępu zdalanego. Choć elementem tego typu systemów jest funkcja
zarządzania kontami uprzywilejowanymi i hasłami, to moduł ten może zabierać
bardzo dużo czasu przy implementacji polityki bezpieczeństwa.

Trzy pytania do…

 

Pawła Rybczyka, business developera
CEE&Russia w firmie Wallix

CRN
PAM to nisza na rynku bezpieczeństwa?

Paweł
Rybczyk Staram się unikać
nazywania PAM niszowym rozwiązaniem. Jeśli już tak je traktujemy, to tylko
z zastrzeżeniem, że jest to stan przejściowy. Staram się tłumaczyć
partnerom, że choć klient jest najczęściej wyposażony w firewalle
i inne zabezpieczenia, to potrzebuje jeszcze czegoś, co będzie zachowywać
się jak system kamer w budynku – monitorować i rejestrować wszystkie
działania administracyjne. Takie elementy PAM, jak nagrywanie sesji i
zarządzanie hasłami, staną się niedługo podstawowym elementem polityki
bezpieczeństwa dowolnej wielkości firmy.

 

CRN
Na czym to dokładnie polega?

Paweł
Rybczyk Bardzo ważną funkcjonalnością PAM jest wspomniane nagrywanie
sesji. Nie jest ono tym, co robi firewall, który może jedynie „odnotować” fakt
zainicjowania połączenia i jego zakończenia (np. przez jednego
z zewnętrznych kontraktorów IT). PAM dostarczy pełne nagranie sesji
– informacje, co działo się na docelowym serwerze, routerze, sterowniku
itp. – między zalogowaniem a wylogowaniem. Również to, co zostało
wpisane z klawiatury, jakie procesy zostały uruchomione itp.
W efekcie powstaje zapis wszystkiego, co zrobił konkretny człowiek, ktory
dysponuje uprzywilejowanym dostępem do infrastruktury firmowej.

 

CRN Czy
łatwo jest przekonać klienta do zakupu PAM?

Paweł
Rybczyk Choć w przypadku rozwiązań ochronnych czasem nie jest prosto
przedstawić ROI, czyli zwrot z inwestycji, to z PAM sprawa może być znacznie
prostsza. W rozmowach z klientami wciąż napotykam na potrzebę kontrolowania
wynajętych firm outsourcingowych, co do których nie ma pewności, że uczciwie
wykonują i wyceniają swoją pracę. PAM pokaże dokładnie, co, kiedy i jak
zrobili, a to będzie miało swoje przełożenie na wystawiane przez zewnętrzne
firmy faktury i potencjalne, bardzo wymierne oszczędności. Niektórzy klienci
mówią mi wprost, że w ten sposób zakup rozwiązania PAM zwróci się u nich bardzo
szybko.

– Nagrywanie sesji jest dużo
łatwiejsze i możliwe do zastosowania od razu, bez potrzeby dodatkowej
edukacji firm zewnętrznych czy użytkowników lokalnych – uważa
przedstawiciel Wallixa.

Gdy przyjrzeć się bliżej ofercie PAM, widać znaczne różnice
w tym, co oferują poszczególne produkty. Z jednej strony można
znaleźć kompleksowe rozwiązania zapewniające wiele funkcji zarządzania
uprzywilejowanym dostępem, z drugiej – rozwiązania punktowe, których
zadaniem jest wypełnienie konkretnej luki w firmowym systemie
zabezpieczeń. Duża jest także rozpiętość cenowa produktów różnych dostawców.
Opisując branżę Privileged Access Management, Gartner zestawia kilkadziesiąt
firm z większymi i mniejszymi udziałami w światowym rynku.
W Polsce działa obecnie kilku producentów PAM: Balabit, CyberArk, Dell
Software, Imperva, ObserveIT, Wallix i Wheel Systems.

Kto potrzebuje ochrony PAM?

Zdaniem Gábora Marosvári,
product marketing managera w firmie Balabit, rozwiązania do zarządzania
uprzywilejowanym dostępem, a w szczególności do monitorowania
uprzywilejowanej aktywności użytkowników, w pierwszym rzędzie są
wykorzystywane przez duże przedsiębiorstwa, zobowiązane przepisami prawa do
przestrzegania restrykcyjnych regulacji i wymogów polityki bezpieczeństwa
IT oraz zasad compliance (np. PCI DSS, ISO 27?001 czy lokalnych rozporządzeń prawnych). Poza tym
zainteresować się nimi muszą te firmy i instytucje, które korzystają
z zewnętrznych dostawców usług IT, w tym usług w chmurze.
A także te utrzymujące skomplikowaną sieć IT, do której dostęp ma kilku
różnych administratorów. I wreszcie organizacje, które mogą być celem
zaawansowanych cyberataków ze względu na charakter swojej działalności.

Z kolei, gdy przyjrzeć się poszczególnym branżom, to widać,
że takich, które teoretycznie powinny być zainteresowane zakupem PAM-u, jest
coraz więcej. Oczywiście przoduje sektor finansowy, bo wydana przez KNF dla
banków Rekomendacja D mówi wprost, że „obowiązujące w banku zasady
zarządzania uprawnieniami powinny w szczególności uwzględniać zagrożenia
związane z nieprawidłowym wykorzystaniem uprawnień użytkowników uprzywilejowanych”.
PAM staje się niezbędny także dla firm z tak strategicznych sektorów jak
produkcja i dostawy energii czy gazu. Do grona potencjalnych klientów
należą operatorzy telekomunikacyjni, dostawcy usług IT w chmurze,
instytucje rządowe oraz zarządzający obiektami użyteczności publicznej. Ze
względu na ochronę danych osobowych zarządzaniem dostępem uprzywilejowanym
interesuje się branża medyczna. Systemy PAM są poza tym coraz bardziej
potrzebne przedsiębiorstwom, które wykorzystują outsourcing i chcą chronić
się przed wrogimi działaniami konkurencji. Przede wszystkim chodzi o duże
firmy, ale także mniejsze, choć w wypadku tych drugich barierą może być
cena. Niektóre z nich ratują się w ten sposób, że nagrywają sesje
przy użyciu darmowej aplikacji Team Viewer.

– Gdy ktoś się
łączy za pomocą tego oprogramowania, uruchamia funkcję „nagraj”, a czasem na
żywo śledzi na monitorze połączenie i w razie zagrożenia rozłącza sesję. Nie
jest to jednak w żadnym razie optymalne i bezpieczne podejście – mówi Paweł Rybczyk.

Lepszym sposobem na
obejście bariery cenowej może być „PAM as a Service”. Przedstawiciel
Wallixa daje przykład prowadzonego obecnie projektu, który ma działać
w modelu usługowym – kilku partnerów chce oferować rozwiązanie tej
marki klientom dysponującym tylko dwoma, trzema serwerami, przekierowując ruch
do swoich zasobów i nagrywając u siebie sesje. W tym modelu PAM
jest sprzedawany głównie w w centrach danych – oprócz hostingu klient
otrzymuje dodatkową usługę, dzięki której na specjalnym panelu może uzyskać
dostęp do kompleksowej informacji na temat każdej sesji zdalnej.

Nowość szansą dla partnerów

Gábor Marosvári
z Balabitu wymienia korzyści, jakich mogą spodziewać się partnerzy
sprzedający rozwiązania PAM. Po pierwsze mają oni okazję wdrażać nową
technologię oferowaną przez zaledwie kilka firm na rynku. A rynek ten ma
duży potencjał, generując roczny wzrost przychodów szacowany przez analityków
na ponad 30 proc. W tej sytuacji mogą oni liczyć na rozsądną marżę na
sprzedaży oprogramowania, a dodatkowy przychód da im implementacja usług,
które obejmują także serwisowanie. Powinni też pamiętać, że pracę
nad projektami ułatwi im możliwość skorzystania z bezpośredniego
technicznego i sprzedażowego wsparcia od dostawcy.

Rozwiązania PAM to nowy
typ produktu w obszarze security, więc dla integratorów wciąż świeży temat
do rozmów z klientami, zarówno obecnymi, jak i nowymi. Handlowiec
może dość łatwo przedstawić potencjalnemu użytkownikowi (w tym osobom
mniej technicznym) zasadę jego działania i korzyści z zastosowania.
Pomocą w sprzedaży będą na pewno pojawiające się kolejne przepisy, które
wymuszają lub rekomendują zarządzanie dostępem użytkownika uprzywilejowanego.
Mowa np. o certyfikatach ISO/COBIL, audytach wewnętrznych (sektor
publiczny) lub zbliżającym się wejściu w życie unijnej dyrektywy General
Data Protection Regulation (GDPR).

Artykuł PAM, czyli przywileje pod specjalnym nadzorem pochodzi z serwisu CRN.