Ulubiony przez hakerów sposób na niezauważone przeniknięcie do firmowej infrastruktury IT odbywa się dzięki kradzieży danych uwierzytelniających, zwłaszcza z konta uprzywilejowanego. Aby temu zapobiec, przedsiębiorcy (czy instytucje) powinni stosować rozwiązania typu Identity and Access Management (IAM), które zapewniają dodatkową warstwę ochrony poprzez dodanie uwierzytelniania wieloskładnikowego w przypadku, gdy – dajmy na to – hasło do VPN-a jest zagrożone. Niemniej należy zwrócić uwagę na fakt, że systemy IAM identyfikują tylko poszczególnych użytkowników i nie umożliwiają szczegółowego administrowania uprawnieniami przypisanymi do poszczególnych zasobów w sieci. Do tego celu należy skorzystać z rozwiązań PAM.

Sam VPN nie wystarczy

Narzędzie WALLIX Bastion gwarantuje bezpieczny zdalny dostęp dla uprzywilejowanych użytkowników. Dodatkowo moduł Access Manager stanowi bardzo dobrą alternatywę lub dodatek do tradycyjnych narzędzi VPN, przy czym jest od nich prostszy i tańszy w konfiguracji oraz zapewnia możliwość bardziej szczegółowego nadzoru nad działaniami osób uprzywilejowanych. Rejestruje też te działania w celach audytowych. W przypadku incydentu dostarcza dane do szczegółowego prześledzenia kto, co i kiedy zrobił, aby możliwe było podjęcie jak najszybszego działania. Ważne jest jednak to, że z firmowej sieci nie należy usuwać mechanizmu VPN, jeśli jest już wdrożony. Funkcja Access Manager jest zalecana jako dodatek do VPN-a, zaś jej stosowanie jest wręcz koniecznością, jeśli w firmie nie korzysta się z tego rozwiązania.

WALLIX Bastion wyposażono także w menedżera haseł, który pozwala uniknąć ryzyka dzielenia się danymi do logowania pomiędzy pracownikami zdalnymi (w badaniach do tego typu praktyk przyznaje się ok. 50 proc. ankietowanych). Menedżer haseł generuje je w sposób automatyczny, z uwzględnieniem ustalonego stopnia złożoności i gwarantuje też ich zmianę w określonych odstępach czasu.

Dostęp z ograniczonym zaufaniem

Rozwiązanie typu PAM można połączyć z narzędziami EPM (Endpoint Privilege Management) do ochrony urządzeń końcowych pracowników zdalnych. Bazują one na koncepcji modelu bezpieczeństwa „zero trust” przez co zakładają, że potencjalnie każdy system może być infiltrowany. Wdrażają wewnętrzne zabezpieczenia, aby zapewnić, że system nie może zostać uszkodzony przez infiltrację spoza sieci korporacyjnej.

Taką zasadę najmniejszego uprzywilejowania zastosowano w rozwiązaniu WALLIX BestSafe. Dzięki temu każdy użytkownik, aplikacja i proces mają dostęp tylko do tych informacji i zasobów, które są niezbędne do wykonania konkretnej operacji. Ograniczenie to nie ma jednak żadnego wpływu na biznesową działalność pracowników. Mogą oni normalnie wykonywać swoje obowiązki, uruchamiać wymagające uprawnień aplikacje korporacyjne, a nawet instalować oprogramowanie z firmowej witryny, pod warunkiem, że nie jest ono zablokowane dla danego użytkownika przez dział IT. Nowość stanowi jedynie to, że do wszystkich tych operacji nie muszą mieć uprawnień administratora.

Dodatkowe informacje: Paweł Rybczyk, Territory Manager CEE/CIS, WALLIX, prybczyk@wallix.com

Artykuł PAM ułatwi uprzywilejowany zdalny dostęp do zasobów pochodzi z serwisu CRN.

Kilka ważnych pytań

Najważniejszym celem każdego CISO (Chief Information Security Officera) jest ograniczenie wpływu wszelkich form naruszenia bezpieczeństwa na przedsiębiorstwo. Teoretycznie najlepiej byłoby, gdyby wszystkie miejsca, w których mogą pojawić się luki w ochronie, były przez cały czas zabezpieczone. W rzeczywistości – ze względu na takie czynniki jak wysokość budżetu, struktura firmy oraz zarządzanie dostępem – kierownictwo musi określić, jaki poziom ryzyka jest do zaakceptowania, jeśli przedsiębiorstwo ma działać sprawnie, ale też być właściwie chronione.
Panuje błędne przekonanie, że cyberbezpieczeństwo opiera się głównie na rozwiązaniach technicznych. Oczywiście, jest w dużej mierze od nich uzależnione, ale równie ważna, a może i ważniejsza od elementów sprzętowych i programowych, jest polityka bezpieczeństwa. To ustanawiane reguły określają, w jaki sposób dane rozwiązanie ma być wdrożone. Przykładowo firewall może zablokować próbę nieautoryzowanego przedostania się do sieci, ale jest bezużyteczny, jeśli nie ustalono, kto może konfigurować i modyfikować jego ustawienia.

Aby stworzyć politykę bezpieczeństwa, CISO muszą zadać sobie – i swoim zespołom – wiele pytań. Muszą też znaleźć na nie odpowiedzi. Tylko wtedy będą w stanie wdrożyć najbardziej skuteczne zabezpieczenia mające zapobiegać naruszaniu danych, systemów oraz zasobów. W przypadku dostępu uprzywilejowanego te pytania brzmią: kto, co, kiedy, gdzie i dlaczego? Zadane po angielsku tworzą regułę 5 x W (who, what, when, where, why). Krótko mówiąc, potrzebna jest szczegółowa wiedza o tym, kto, co, jak i do których elementów systemu ma dostęp, a także w jaki sposób.

Dostęp wymaga autoryzacji i rekomendowane jest stosowanie dwuskładnikowego uwierzytelniania (hasło + dodatkowy czynnik). Należy też zapewnić zarządzanie hasłami, ich rotacją i złożonością. Co ważne, w realizowaniu PAM trzeba sprawić, by użytkownikom przyznawany był najniższy poziom uprawnień, które wciąż umożliwiają wykonywanie przewidzianej pracy. Ma to kluczowe znaczenie dla bezpieczeństwa infrastruktury IT.

Zapewnienie zgodności z przepisami

Ścisła, ale elastyczna kontrola dostępu uprzywilejowanego leży u podstaw zgodności z różnymi przepisami (compliance). Szybkie, ekonomiczne i wydajne osiąganie tego celu umożliwi właściwie wykorzystane rozwiązanie PAM. Przykładowo, usprawniając operacje, PAM skróci czas potrzebny na spełnienie wymogów zawartych w dokumentach takich jak RODO, ISO 27 001, dyrektywa NIS itp.

PAM obejmuje rozwiązania i procesy, które ułatwiają administratorom zarządzanie i śledzenie działań wszystkich użytkowników uprzywilejowanych. Takich, którzy dysponują prawami administracyjnymi, dającymi im dostęp do najważniejszych systemów i danych oraz ustanawiającymi nadzór nad nimi, np. za pomocą konfigurowania i usuwania kont na serwerze e-mail.

Przypadkowe lub celowe nadużycie uprzywilejowanego dostępu jest poważnym zagrożeniem dla przedsiębiorstwa, a także złamaniem obowiązujących je przepisów. W sytuacji, gdy praktycznie każdy system i urządzenie odgrywa w tym zakresie jakąś rolę, kontrola zarządzania uprawnieniami jest niezbędna. Intruz, któremu uda się podszyć pod uprzywilejowanego użytkownika, może wyrządzić poważną szkodę.

Dlatego rozwiązanie PAM powinno znajdować się w centrum polityki bezpieczeństwa, której celem jest zapewnienie zgodności z regulacjami. Ważne jest przy tym zrozumienie, że uprzywilejowanym użytkownikiem może być praktycznie każda osoba lub proces. Rozwiązanie PAM kontroluje z jednej strony uprzywilejowany dostęp pracowników, kontrahentów i zewnętrznych współpracowników oraz dostawców, z drugiej – działanie zautomatyzowanych systemów zarówno wewnątrz, jak i na zewnątrz przedsiębiorstwa.

Nie ma cyberbezpieczeństwa bez PAM

Zarządzanie dostępem uprzywilejowanym to jedna z najbardziej skutecznych metod zabezpieczania systemów IT. Rozwiązanie Wallix Bastion jest niezbędne w arsenale narzędzi, którymi powinien dysponować CISO.

Utrzymanie równowagi pomiędzy wydajnością i bezpieczeństwem jest trudnym zadaniem. Jednakże skuteczna kontrola dostępu umożliwia jednoczesne zwiększenie zarówno efektywności, jak i ochrony systemów oraz danych. Wallix Bastion ułatwia zarządzanie uprzywilejowanym dostępem bez zakłóceń w codziennym funkcjonowaniu przedsiębiorstwa, a także bez dużego zaangażowania działu IT. W rezultacie zapewnia bezpieczeństwo i zgodność z przepisami, a także utrzymanie optymalnej produktywności w całej firmie.
Narzędzia z oferty firmy Wallix umożliwiają dynamiczne definiowanie i egzekwowanie reguł polityki dostępu uprzywilejowanego, a przez to minimalizują występujące zagrożenia. Dzięki niemu zapewnione jest także szczegółowe dokumentowanie sesji wykorzystujących konta uprzywilejowane.

Dzięki rozwiązaniu Wallix Bastion możliwe jest wdrożenie silnych, a jednocześnie elastycznych reguł polityki PAM, ułatwiających zwiększanie cyberbezpieczeństwa i osiąganie celów biznesowych.

Artykuł PAM to podstawa cyberbezpieczeństwa pochodzi z serwisu CRN.

Password Manager w WALLIX Bastion

Moduł zarządzania hasłami ułatwia wprowadzanie najlepszych praktyk wykorzystania danych uwierzytelniających, narzucając warunki tworzenia kont. Stosujące się do tych reguł organizacje mogą być pewne, że ich najbardziej krytyczne systemy i dane nie będą dostępne dla osób niepowołanych.
Wykorzystując Password Managera, zespół ds. bezpieczeństwa może zastosować szereg środków ochrony. Należą do nich:
Silne hasła – wymuszanie stosowania trudnych do złamania haseł, złożonych z kombinacji małych i wielkich liter oraz znaków specjalnych. Co więcej, używanie zaawansowanego szyfrowania gwarantuje, że tworzone hasła są dobrze chronione.
Brak dostępu root – dzięki zaawansowanym metodom szyfrowania nawet uprzywilejowani użytkownicy nie mają dostępu do haseł root. W ten sposób ogranicza się ryzyko związane z zarządzaniem hasłami oraz możliwość wykorzystania skradzionych danych uwierzytelniających.
Automatyczna rotacja – zmuszanie użytkowników do regularnej zmiany haseł chroni firmy przed zagrożeniami takimi jak ryzyko niepowołanego użycia starszych bądź zapomnianych haseł do kont uprzywilejowanych.
Kontrola dostępu – obecnie pracownicy i wszyscy inni użytkownicy chcą dostępu do systemów z dowolnego miejsca – tam, gdzie aktualnie wykonują swoją pracę. Password Manager wymusza kontrolę dostępu, obsługując osoby działające w różnych miejscach i jednocześnie umożliwiając zespołom ds. bezpieczeństwa kontrolę nad tym, kto ma dostęp do jakich zasobów.

AAPM: co to takiego i do czego służy

Są aplikacje, które do prawidłowego działania potrzebują połączeń z innymi programami. Podobnie jak użytkownicy, aby mieć dostęp do wymaganych usług, muszą się one uwierzytelniać na serwerach. Dobrze znanym przykładem jest np. zezwolenie systemowi ticketowemu, jak np. Redmine, na uwierzytelnianie się przy użyciu usługi katalogowej (AD). Gdy serwer Redmine
jest uwierzytelniony, może przy użyciu połączenia z AD autoryzować tożsamości użytkowników, którzy chcą mieć dostęp do jego usług. W rezultacie konta AD nie są duplikowane, a cały proces uwierzytelniania użytkowników pozostaje scentralizowany.
Często dane uwierzytelniające wykorzystywane przy połączeniu jednej aplikacji z drugą są przechowywane w prostym pliku konfiguracyjnym i zapisane jawnym tekstem. Moduł AAPM został stworzony w celu wyeliminowania tego rodzaju plików oraz domyślnych, na stałe zakodowanych haseł aplikacji. Zapewnia bezpieczny mechanizm, który umożliwia przeprowadzanie procesu autoryzacji pomiędzy aplikacjami. Od niedawna WALLIX Bastion oferuje w ramach modułu AAPM fingerprinting, służący do uwierzytelniania aplikacji niezależnych dostawców.

Artykuł PAM to nie tylko nagrywanie sesji pochodzi z serwisu CRN.