Deprecated: Creation of dynamic property ACF::$fields is deprecated in /home/sarotaq/crn/wp-content/plugins/advanced-custom-fields-pro/includes/fields.php on line 138

Deprecated: Creation of dynamic property acf_loop::$loops is deprecated in /home/sarotaq/crn/wp-content/plugins/advanced-custom-fields-pro/includes/loop.php on line 28

Deprecated: Creation of dynamic property ACF::$loop is deprecated in /home/sarotaq/crn/wp-content/plugins/advanced-custom-fields-pro/includes/loop.php on line 269

Deprecated: Creation of dynamic property ACF::$revisions is deprecated in /home/sarotaq/crn/wp-content/plugins/advanced-custom-fields-pro/includes/revisions.php on line 397

Deprecated: Creation of dynamic property acf_validation::$errors is deprecated in /home/sarotaq/crn/wp-content/plugins/advanced-custom-fields-pro/includes/validation.php on line 28

Deprecated: Creation of dynamic property ACF::$validation is deprecated in /home/sarotaq/crn/wp-content/plugins/advanced-custom-fields-pro/includes/validation.php on line 214

Deprecated: Creation of dynamic property acf_form_customizer::$preview_values is deprecated in /home/sarotaq/crn/wp-content/plugins/advanced-custom-fields-pro/includes/forms/form-customizer.php on line 28

Deprecated: Creation of dynamic property acf_form_customizer::$preview_fields is deprecated in /home/sarotaq/crn/wp-content/plugins/advanced-custom-fields-pro/includes/forms/form-customizer.php on line 29

Deprecated: Creation of dynamic property acf_form_customizer::$preview_errors is deprecated in /home/sarotaq/crn/wp-content/plugins/advanced-custom-fields-pro/includes/forms/form-customizer.php on line 30

Deprecated: Creation of dynamic property ACF::$form_front is deprecated in /home/sarotaq/crn/wp-content/plugins/advanced-custom-fields-pro/includes/forms/form-front.php on line 598

Deprecated: Creation of dynamic property acf_form_widget::$preview_values is deprecated in /home/sarotaq/crn/wp-content/plugins/advanced-custom-fields-pro/includes/forms/form-widget.php on line 34

Deprecated: Creation of dynamic property acf_form_widget::$preview_reference is deprecated in /home/sarotaq/crn/wp-content/plugins/advanced-custom-fields-pro/includes/forms/form-widget.php on line 35

Deprecated: Creation of dynamic property acf_form_widget::$preview_errors is deprecated in /home/sarotaq/crn/wp-content/plugins/advanced-custom-fields-pro/includes/forms/form-widget.php on line 36

Deprecated: Creation of dynamic property KS_Site::$pingback is deprecated in /home/sarotaq/crn/wp-content/plugins/timber-library/lib/Site.php on line 180

Deprecated: Creation of dynamic property acf_field_oembed::$width is deprecated in /home/sarotaq/crn/wp-content/plugins/advanced-custom-fields-pro/includes/fields/class-acf-field-oembed.php on line 31

Deprecated: Creation of dynamic property acf_field_oembed::$height is deprecated in /home/sarotaq/crn/wp-content/plugins/advanced-custom-fields-pro/includes/fields/class-acf-field-oembed.php on line 32

Deprecated: Creation of dynamic property acf_field_google_map::$default_values is deprecated in /home/sarotaq/crn/wp-content/plugins/advanced-custom-fields-pro/includes/fields/class-acf-field-google-map.php on line 33

Deprecated: Creation of dynamic property acf_field__group::$have_rows is deprecated in /home/sarotaq/crn/wp-content/plugins/advanced-custom-fields-pro/includes/fields/class-acf-field-group.php on line 31

Deprecated: Creation of dynamic property acf_field_clone::$cloning is deprecated in /home/sarotaq/crn/wp-content/plugins/advanced-custom-fields-pro/pro/fields/class-acf-field-clone.php on line 34

Deprecated: Creation of dynamic property acf_field_clone::$have_rows is deprecated in /home/sarotaq/crn/wp-content/plugins/advanced-custom-fields-pro/pro/fields/class-acf-field-clone.php on line 35

Deprecated: Creation of dynamic property Timber\Integrations::$wpml is deprecated in /home/sarotaq/crn/wp-content/plugins/timber-library/lib/Integrations.php on line 33

Warning: Cannot modify header information - headers already sent by (output started at /home/sarotaq/crn/wp-content/plugins/advanced-custom-fields-pro/pro/fields/class-acf-field-clone.php:34) in /home/sarotaq/crn/wp-includes/feed-rss2.php on line 8
- CRN https://crn.sarota.dev/tag/zarz-dzanie-dost-pem/ CRN.pl to portal B2B poświęcony branży IT. Dociera do ponad 40 000 unikalnych użytkowników. Jest narzędziem pracy kadry zarządzającej w branży IT w Polsce. Codziennie nowe informacje z branży IT, wywiady, artykuły, raporty tematyczne Mon, 09 Sep 2019 11:56:00 +0000 pl-PL hourly 1 https://wordpress.org/?v=6.6.2 NACVIEW: świadome zarządzanie dostępem do sieci https://crn.sarota.dev/artykuly/nacview-swiadome-zarzadzanie-dostepem-do-sieci/ https://crn.sarota.dev/artykuly/nacview-swiadome-zarzadzanie-dostepem-do-sieci/#respond Mon, 09 Sep 2019 11:56:00 +0000 https://crn.pl/default/nacview-swiadome-zarzadzanie-dostepem-do-sieci/ Rozwój rynku inteligentnych rozwiązań IoT, wzrost trendu BYOD, rosnąca ilość zagrożeń płynących z internetu, a także nowe regulacje prawne – to tylko niektóre wyzwania, którym muszą sprostać współcześni przedsiębiorcy. Istnieje wiele rozwiązań, które ich w tym wspierają, wśród nich na szczególną uwagę zasługuje system kontroli dostępu do sieci NACVIEW. Nie tylko podnosi bezpieczeństwo całej sieci korporacyjnej, lecz także wspomaga administratorów w ich codziennej pracy.

Artykuł NACVIEW: świadome zarządzanie dostępem do sieci pochodzi z serwisu CRN.

]]>
Czasami wystarczy jeden otwarty port, jedno zainfekowane urządzenie, jeden nieuwzględniony rodzaj zagrożenia, aby doszło do naruszenia bezpieczeństwa i zniweczenia całego wysiłku włożonego w zabezpieczenie sieci. Dlatego żadne nieznane urządzenie nie powinno uzyskać dostępu do infrastruktury firmowej, a dozwolone urządzenia powinny podlegać określonym regułom dostępowym i trafiać do wydzielonych segmentów sieci. Taka idea przyświeca twórcom systemu NACVIEW, którzy na bieżąco udoskonalają to rozwiązanie, wprowadzając coraz to nowe funkcjonalności.

Kontrola dostępu

NACVIEW zapewnia kontrolę dostępu do sieci informatycznej przedsiębiorstwa przez uwierzytelnianie i autoryzację użytkowników i ich urządzeń końcowych. System pozwala w prosty sposób zarządzać bazą użytkowników i urządzeń oraz konfigurować funkcje dostępu do sieci przewodowej i bezprzewodowej. Politykę dostępową można tworzyć na podstawie profili użytkowników, a dodatkowymi warunkami branymi pod uwagę są m.in.: urządzenie i jego rodzaj (np. laptop, desktop, smartfon), fizyczne miejsce przyłączenia do sieci (lokalizacja lub konkretne gniazdko sieciowe), dzień tygodnia i pora dnia.

Ponadto, dzięki wykorzystaniu agenta NACVIEW, określany jest system operacyjny i jego wersja. Standardowo wykorzystywane jest uwierzytelnianie po protokole 802.1X, a dla urządzeń autoryzujących się po adresie MAC jest używana dwustopniowa weryfikacja uniemożliwiająca podszycie się niezaufanym urządzeniom. 

Monitoring sieci

NACVIEW pozwala łatwo i szybko podejrzeć, kto, gdzie, kiedy, jak i za pomocą jakiego urządzenia loguje się do sieci, a dodawana do adresu IP lub MAC informacja o konkretnej osobie umożliwia śledzenie jej aktywności. Rozwiązanie dzięki łatwej integracji z zewnętrznymi bazami danych, np. Active Directory, przechowuje informację o wszystkich użytkownikach i urządzeniach w jednym miejscu – niezależenie od źródła pochodzenia danych. Z kolei wykorzystywany protokół SNMP zapewnia monitorowanie urządzeń sieciowych i ich istotnych elementów, takich jak: poziom obciążenia portów, zdarzeń autoryzacji czy też przypisanie elementu do poszczególnych podsieci. 

 

Zarządzenie adresacją IP 

Rozwiązanie NACVIEW zapewnia przedsiębiorstwu niezbędne narzędzia do szybkiego i łatwego zarządzania różnymi zadaniami związanymi z obsługą adresów IP (IPAM), a także usługami DNS i DHCP w sieci. Dzięki temu administrator systemu może szybko i skutecznie przydzielić adresy IP, zarządzać czasem dzierżawy, a także podejrzeć bieżące wykorzystanie puli adresowej.

Automatyzacja 

Dzięki integracji z zewnętrznymi systemami bezpieczeństwa jest możliwe automatyczne odłączanie zainfekowanych urządzeń od sieci na podstawie informacji o incydentach zarejestrowanych np. w systemie UTM, firewall czy SIEM. Zapewnia to w znacznym stopniu na skrócenie czasu występowania zagrożeń, a także zapobiega ich dalszemu rozprzestrzenianiu się w firmowej sieci.

Skutki zagrożeń, jakie za sobą niesie nieautoryzowany dostęp do sieci, mogą być opłakane. Warto temu zapobiegać, przypominając każdemu klientowi, że bezpieczeństwo sieci przekłada się bezpośrednio na bezpieczeństwo całego przedsiębiorstwa. Wdrażanie systemów takich jak NACVIEW jest zatem dobrym wykorzystaniem nowych technologii, ale przede wszystkim świadczy o świadomości zagrożeń w sieci oraz odpowiedzialności w zarządzania dostępem do niej, co zapewnia dobrą ochronę firmowych danych. 

Wersja demo systemu na stronie: https://nacview.com/pl

Artykuł NACVIEW: świadome zarządzanie dostępem do sieci pochodzi z serwisu CRN.

]]>
https://crn.sarota.dev/artykuly/nacview-swiadome-zarzadzanie-dostepem-do-sieci/feed/ 0
Zarządzanie dostępem: hasło to za mało https://crn.sarota.dev/artykuly/zarzadzanie-dostepem-haslo-to-za-malo/ https://crn.sarota.dev/artykuly/zarzadzanie-dostepem-haslo-to-za-malo/#respond Tue, 25 Jun 2019 08:17:00 +0000 https://crn.pl/default/zarzadzanie-dostepem-haslo-to-za-malo/ Hasła są wciąż najpopularniejszym zabezpieczeniem, a przy tym jednym z najsłabszych. Warto więc zainteresować klientów profesjonalną kontrolą dostępu, uwierzytelnianiem wieloskładnikowym, a także biometrią.

Artykuł Zarządzanie dostępem: hasło to za mało pochodzi z serwisu CRN.

]]>
Nieczęsto klienci sami wpadają na pomysł wykorzystania tego rodzaju rozwiązań. Zwykle zmuszają ich do tego przepisy. Także w kontroli dostępu najważniejsza staje się kwestia zapewnienia zgodności z regulacjami. Przedsiębiorstwa kupują nowe systemy i modernizują posiadane, żeby móc korzystać z funkcji audytu i raportowania. Ze względu na wymogi prawne częściej wdrażają uwierzytelnianie wieloskładnikowe, zarówno z myślą o swoich klientach, jak i pracownikach. Przy okazji wejścia w życie RODO wielu przedsiębiorców postanowiło ocenić używane systemy informatyczne pod względem jakości zarządzania informacją i cyberbezpieczeństwa. Decydowali się zatem na przeprowadzenie audytów, które– choć są bardzo różnej jakości (różnie też kosztują) – zwykle wykazują, czego potrzeba w firmie, by jej zasoby IT były lepiej zabezpieczone.

Jeśli więc administratorzy wcześniej nie zgłaszali zwierzchnikom żadnych problemów, teraz zarządy – wiedząc o wymogach formalnych – raz na jakiś czas decydują się na sprawdzenie, czy rzeczywiście ich nie ma. Gdy w wyniku audytu firma dostanie słabą ocenę, dajmy na to w zakresie kontroli dostępu do infrastruktury IT, integratorzy mogą się spodziewać zapytań o sposoby rozwiązania problemów.

Dostęp nie tylko dla użytkowników

Na rynku są trzy typy rozwiązań zabezpieczających infrastrukturę IT, które spełniają potrzeby przedsiębiorstw w obszarze cyberbezpieczeństwa. Pierwsze to klasyczne narzędzia do ochrony, w rodzaju antywirusa, antyspamu, firewalla oraz IPS, które filtrują pliki i ruch w sieci, chroniąc przed zagrożeniami przenoszonymi za ich pośrednictwem. Drugi typ stanowią platformy zbierające różnego rodzaju logi dostarczane przez infrastrukturę (z danymi surowymi albo przetworzonymi), szukające anomalii i podejrzanych aktywności, także przy użyciu technik uczenia maszynowego i sztucznej inteligencji.

Na trzecią grupę składają się rozwiązania, które nie oferują ochrony opartej na filtrach i skanerach, ale wymuszają stosowanie odpowiednich reguł polityki bezpieczeństwa, m.in. związanych z dostępem do firmowych danych (zarówno pracowników jak i współpracowników, w tym także z podmiotów zewnętrznych), zarządzaniem hasłami oraz kluczami SSH do kont uprzywilejowanych. Specjaliści podkreślają, że w tego typu rozwiązaniach ważną rolę odgrywa zarządzanie dostępem uprzywilejowanym. Nie powinno więc dziwić, że w zestawieniu dziesięciu najlepszych projektów ochronnych z roku bieżącego analitycy Gartnera umieścili Privileged Access Management na pierwszym miejscu.

W zakresie zabezpieczania dostępu ważna jest taka organizacja infrastruktury, która określi jasny podział sieci na segmenty. Łatwo wówczas zastosować narzędzia, które służą do monitorowania dostępu z prawami administratora oraz zarządzania kontami uprzywilejowanymi (np. sposobem przydzielania haseł użytkownikom bądź urządzeniom oraz kontrolą ich wykorzystywania).

Niektóre urządzenia muszą mieć dostęp na poziomie uprzywilejowanym, bo inaczej nie byłoby mowy o bezpieczeństwie odmienianej ostatnio przez wszystkie przypadki automatyzacji działania infrastruktury. A gdy na rynku brakuje specjalistów, wszyscy starają się w mniejszym lub większym zakresie wprowadzać zautomatyzowane zarządzanie firmową infrastrukturą IT.

Audytorzy uważnie przeglądają skrypty związane z automatyzacją, m.in. dotyczące budowania nowych maszyn wirtualnych czy aplikacji w chmurze. Sprawdzają, jak są tworzone konta użytkowników i hasła do nich oraz gdzie te dane są przechowywane. Dlatego zarządzanie dostępem uprzywilejowanym i kontami z prawami administratora staje się coraz ważniejsze, zarówno w przedsiębiorstwach, jak i w instytucjach.

 

Wciąż zbyt mała świadomość

Zdobywanie wiedzy w zakresie kontroli dostępu (również uprzywilejowanego) nie jest jednak proste. Zdaniem Marty Zborowskiej, Sales Directora w Connect Distribution, to wciąż nowy temat i wymaga od dostawców działań edukacyjnych. W praktyce w każdej firmie wykorzystywane są hasła i konta uprzywilejowane, które umożliwiają uzyskanie dostępu do krytycznych danych i systemów. Jednak, gdy rozmowa z klientem schodzi na rozwiązania PAM, najważniejszą dla niego kwestią pozostaje nagrywanie sesji.

Gdy próbujemy tłumaczyć, dlaczego PAM jest tak istotny i dlaczego konta uprzywilejowane muszą znajdować się pod kontrolą, reakcja klienta ogranicza się do pytania: czy macie państwo nagrywarkę sesji internetowych? – mówi Marta Zborowska.

Jeśli nawet klienci słyszeli o zagrożeniach związanych z kontami uprzywilejowanymi, twierdzą, że nie potrzebują jeszcze narzędzi do zarządzania nimi, a inni odsuwają zakup takich rozwiązań na plan dalszy. Skupiają się wyłącznie na udokumentowanym posiadaniu nagranej sesji, ponieważ tego wymagają przepisy i o tym mówią przeprowadzający audyt.

Według specjalistów, z którymi rozmawialiśmy, polscy klienci, a konkretnie osoby odpowiedzialne w firmach za bezpieczeństwo IT, wciąż działają bez jasnej, długoterminowej strategii. Rzadko zdarza się, że w przypadku ograniczonego budżetu planowane jest wdrożenie najpierw jednego zabezpieczenia (przykładowo zarządzania dostępem uprzywilejowanym), a za rok – gdy znów będą pieniądze – implementacja uwierzytelniania dwuskładnikowego. Klienci najczęściej działają bowiem od szkody do szkody, reagując przede wszystkim na bieżące problemy.

Co dodać do hasła?

Rozwiązanie do zarządzania dostępem przejmuje kontrolę nad wszystkimi mechanizmami logowania się do zasobów IT. Często na początku wykonuje audyt wszystkiego, co jest w sieci, by następnie umożliwić nadawanie uprawnień zgodnie z przyjętą polityką bezpieczeństwa. Od niej będzie zależeć, czy wystarczy uwierzytelnienie za pomocą hasła, czy potrzebne będzie wdrożenie rozwiązania wieloskładnikowego (Multi-Factor Authentication). MFA zwiększa poziom ochrony i zwykle jest wprowadzane w modelu dwuskładnikowym – login/hasło plus wybrany dodatkowy sposób uwierzytelniania. Na rynku dostępnych jest wiele różnych rozwiązań do tworzenia takich zabezpieczeń.

Odnotowujemy coraz więcej zapytań dotyczących możliwości współpracy systemu zarządzania dostępem uprzywilejowanym z uwierzytelnianiem dwuskładnikowym – twierdzi Paweł Rybczyk, Territory Manager CEE & CIS w firmie Wallix.

Oceniając polski rynek rozwiązań do uwierzytelniania wieloskładnikowego, Krzysztof Hałgas, dyrektor Bakotechu, zauważa na nim wyraźny podział. Z jednej strony są firmy i instytucje, które zgodnie z wewnętrznymi regulacjami powinny korzystać z tego typu rozwiązań i używają ich od wielu lat. Ta część rynku jest w pewnym sensie zamknięta, bo w całości opanowana przez dostawców, którzy są liderami w tym segmencie. Wykorzystywane są tu przeważnie tokeny sprzętowe (rzadziej programowe).

Marta Zborowska

Sales Director, Connect Distribution

Klienci uważają, że same hasła stanowią wystarczające zabezpieczenie. Zdarza się też, że polityka bezpieczeństwa firmy polega na korzystaniu z pliku Excela, z którego administrator w razie potrzeby przydziela hasła. W przedsiębiorstwach rzadko stosuje się generatory haseł, które dostarczają trudne do złamania poświadczenia. Niejednokrotnie hasła do kont uprzywilejowanych są takie same, jak do kont zwykłych użytkowników. Wykorzystują najprostsze kombinacje – typu qwerty123, zaczynające się od imienia albo daty urodzenia użytkownika. Dlatego przed dostawcami i ich partnerami biznesowymi jest jeszcze dużo pracy polegającej na zwiększeniu wiedzy klientów w zakresie bezpieczeństwa, najlepszych praktyk oraz odpowiednich do tego narzędzi.

 

Z drugiej strony są średni i mali przedsiębiorcy, którzy albo nie uświadamiają sobie potrzeby używania bardziej zaawansowanych mechanizmów kontroli dostępu, albo sądzą, że ich to nie dotyczy (co na jedno wychodzi). Zaczynają myśleć o ich wdrożeniu dopiero wtedy, kiedy coś się wydarzy. Do zarządów firm dociera wówczas, że wieloskładnikowe uwierzytelnianie uchroniłoby ich przed szkodą.

Liderzy rynku nie trafiają do takich klientów, bo są skoncentrowani na dużych przedsiębiorstwach. Poza tym ich rozwiązania są relatywnie drogie i mogą być trudne we wdrożeniu. Tymczasem na rynku znajdują się produkty, które za nieduże pieniądze umożliwiają prostą instalację i wygodne wykorzystanie MFA – wyjaśnia Krzysztof Hałgas.

W przeznaczonych dla tej grupy klientów systemach kontrolę dostępu do informacji zapewnia przykładowo programowe rozwiązanie zarządzane z chmury, wprowadzające uwierzytelnianie wieloskładnikowe do systemu informatycznego, które będzie wykorzystywać smartfony jako urządzenia zapewniające dodatkowy składnik autentykacji. Dzięki chmurze łatwiejsze staje się także administrowanie rozwiązaniem – dodawanie użytkowników, integrowanie z AD, zdalne przyznawanie uprawnień i ich odbieranie. Z kolei dzięki temu, że tokenem sprzętowym staje się smartfon, użytkownicy nie muszą nosić ze sobą żadnego dodatkowego urządzenia do uwierzytelniania.

Wykorzystanie chmury i telefonów w takich rozwiązaniach może jednak budzić obawy klientów. Dostawcy bronią swych rozwiązań, tłumacząc potencjalnym nabywcom, że takie środowisko jest w pełni bezpieczne: w chmurze przechowuje się niewiele informacji i to w formie, która zapobiega ich nieuprawnionemu wykorzystaniu. Odnosząc się do kwestii telefonów, mówią o mechanizmach, które uniemożliwiają uzyskanie kodu uwierzytelniającego na innym urządzeniu niż smartfon, dla którego ów kod jest przeznaczony.

Obecnie wiele firm stosuje systemy pojedynczego logowania (Single Sign-On), które ułatwiają życie użytkownikom, gdyż nie wymagają wpisywania kolejnych danych uwierzytelniających podczas logowania się do systemów i aplikacji. Z drugiej strony upraszczają pracę administratorom, zapewniając im większą kontrolę nad hasłami. Dzięki temu nie muszą pamiętać o odbieraniu uprawnień odchodzącym bądź zwalnianym pracownikom. Wystarczy, że wyłączą jedno hasło, a wszystkie uprawnienia takiej osoby tracą ważność, co uniemożliwia jej wszelki dostęp do danych. We wdrażaniu SSO jeszcze większe znaczenie ma wdrożenie uwierzytelniania dwuskładnikowego, bo jeśli jeden „klucz” otwiera tak wiele „drzwi”, to tym bardziej trzeba upewnić się, że używa go odpowiednia osoba.

 

Paweł Rybczyk

Territory Manager CEE & CIS, Wallix

Wobec pojawiają-cych się regulacji lokalnych, takich jak ustawa o cyber-bezpieczeństwie, albo przepisów o znacznie większym zasięgu, w rodzaju RODO, bardzo wzrosło znaczenie compliance. Wiele firm zaczęło przeprowadzać audyty, z których wynika, że trzeba zainwestować w nowe zabezpieczenia albo nawet całkiem przebudować infrastrukturę ochronną. Przekłada się to na zwiększenie liczby realizowanych projektów i wzrost zainteresowania rozwiązaniami typu PAM, nie tylko w Polsce, ale w całym regionie Europy Środkowej i Wschodniej. O tym, że klienci szukają takich zabezpieczeń, może też świadczyć liczniejsze niż jeszcze niedawno grono producentów z tego segmentu działających na naszym rynku.

 

Biometria – z dużej chmury (na razie) mały deszcz

Jakiś czas temu wydawało się, że biometria opanuje rynek uwierzytelniania. Pojawiło się wiele rozwiązań wykorzystujących odcisk palca i inne metody biometryczne. Analitycy przewidywali, że ich sprzedaż będzie rosła w szybkim tempie, ale tak się nie stało. Na przeszkodzie stoją prawdopodobnie dodatkowe koszty czytników oraz konieczność używania przez pracowników kolejnego urządzenia.

– Klienci wolą prostsze we wdrożeniu rozwiązania i – bez zmian – częściej korzystają z tokenów sprzętowych i programowych – utrzymuje Krzysztof Hałgas.

Dostawcy i ich partnerzy z branży zabezpieczeń przyznają, że zastosowanie biometrii do uwierzytelniania się wciąż nie zyskało popularności w segmencie biznesowym. Co innego na rynku konsumenckim, gdzie się szeroko rozpowszechniło. Posiadacze nowych smartfonów bardzo często uzyskują do nich dostęp przy użyciu czytnika linii papilarnych, skanera tęczówki czy mechanizmu rozpoznawania twarzy. Choć trzeba pamiętać, że poziom takich zabezpieczeń jest różny. Parę miesięcy temu Holenderskie Stowarzyszenie Konsumentów przedstawiło wyniki testów, które pokazały, że wiele modeli smartfonów znanych marek udało się odblokować za pomocą wysokiej jakości fotografii właściciela.

Niemniej techniki biometryczne są stale doskonalone. Łatwość ich użycia sprawia, że z biegiem czasu klienci będą zapewne domagać się ich stosowania także w życiu zawodowym. Nie byłby to pierwszy przykład przenikania trendów konsumenckich do biznesu. Mimo falstartu biometrii przed laty, można przypuszczać, że będzie ona zyskiwać na znaczeniu jako drugi, wygodny element uwierzytelniający w schemacie MFF. A w przyszłości, kto wie? Może jedyny.

Nie lekceważyć dostępu

Dostawcy przekonują, że kontrola dostępu informatycznego powinna być dla zarządów firm tak oczywista, jak kontrola dostępu fizycznego. O ile jednak przedsiębiorcy nie mają dzisiaj żadnych wątpliwości, że potrzebują ochrony z kamerami i całodobowym monitoringiem, o tyle wciąż nie są przekonani, że równie dokładnie powinno się kontrolować, kto i jak korzysta z firmowych zasobów IT.

Z doświadczeń producentów rozwiązań do uwierzytelniania i ich partnerów wynika, że często pracownicy działów IT nie tłumaczą szefom, dlaczego kontrola dostępu do firmowej infrastruktury jest konieczna, jak działa i jakie bywają konsekwencje braku odpowiednich zabezpieczeń. Dlatego to integratorzy powinni rozmawiać z osobami decyzyjnymi w przedsiębiorstwach i wyjaśniać, że ułatwianie intruzowi dostępu do firmowej sieci nie różni się od wpuszczania złodzieja do siedziby, a szkody mogą być dużo większe. Ponieważ edukacja jest tak ważna, dostawcy oferują coraz więcej szkoleń, zarówno dla swoich partnerów, jak i ich klientów.

Przewiduje się, że zarządzanie tożsamością i dostępem będzie w kolejnych latach odgrywać ważną rolę na rynku zabezpieczeń, ze względu na zapewnianą przez takie rozwiązania centralizację kontroli oraz efektywność ich działania. Dzięki umożliwieniu zaawansowanego uwierzytelniania, wykorzystywania katalogu, zarządzania hasłami, korzystania z funkcji pojedynczego logowania (SSO) oraz przeprowadzania audytu przedsiębiorcy zyskują gwarancję, że ich najważniejsze dane i aplikacje są właściwie zabezpieczone.

Zdaniem integratora

Bartosz Dzirba, CTO i członek zarządu, Passus SA

Działając na rynku zabezpieczeń czy w ogóle IT, warto współpracować z producentami niszowymi. Ich rozwiązania wcale nie muszą być tańsze niż najpopularniejsze produkty, choć zwykle są, z prostego powodu: jeśli ktoś chce wejść na rynek, to próbuje się wyróżnić także ceną. Mniejsi producenci mają do tego tę wielką zaletę, że są w swych działaniach bardziej elastyczni niż najwięksi i bardzo szybko reagują nawet na bardzo specyficzne potrzeby. Interesują się także mniejszymi projektami i nigdy nie jesteśmy  dla nich anonimowym partnerem spośród tysiąca innych. Oczywiście, istnieje niebezpieczeństwo, że taki dostawca w kolejnych latach przestanie funkcjonować jako startup i nie rozwinie się. Gdy się jednak trafi na inwestującego w swój rozwój producenta z ciekawym rozwiązaniem, robienie z nim biznesu daje dużą satysfakcję.

 

 

 

 

Artykuł Zarządzanie dostępem: hasło to za mało pochodzi z serwisu CRN.

]]>
https://crn.sarota.dev/artykuly/zarzadzanie-dostepem-haslo-to-za-malo/feed/ 0
Zarobić na dostępie https://crn.sarota.dev/artykuly/zarobic-na-dostepie/ https://crn.sarota.dev/artykuly/zarobic-na-dostepie/#respond Mon, 05 Nov 2018 07:10:00 +0000 https://crn.pl/default/zarobic-na-dostepie/ Z czasem narzędzia do zarządzania dostępem do zasobów IT przestaną być postrzegane przez klientów wprawdzie jako pożyteczny, ale nie niezbędny dodatek. Będą traktowane jako standard, który będzie przynosić wymierny zwrot z inwestycji.

Artykuł Zarobić na dostępie pochodzi z serwisu CRN.

]]>
Generalnie firmy sygnalizują potrzebę scentralizowanego zarządzania dostępem i cyfrowymi tożsamościami, jak również ochrony kont uprzywilejowanych, więc potencjał sprzedaży w tym segmencie rynku jest spory. Temat nie należy jednak do łat-
wych, bo klienci są dość ostrożni w wydawaniu pieniędzy. Nawet jeśli rozważają tego typu projekty, często nie planują na nie budżetów.

Ale to będzie się zmieniać. Zarówno na świecie, jak i lokalnie na rynku zarządzania dostępem i tożsamościami przewidywane są solidne wzrosty. Według analityków z Zion Market Research do 2022 r. ma on osiągnąć globalną wartość 15,92 mld dol. (w 2016 r. było to 7,85 mld dol.). Wśród najważniejszych wdrażanych komponentów zarządzania dostępem i tożsamościami mają być takie funkcje jak: provisioning, Single Sign-On, zaawansowane uwierzytelnianie, audyt, compliance & governance, usługi katalogowe i zarządzanie hasłami.

W stymulowaniu popytu ważne jest, by rozmowy z klientami o zarządzaniu dostępem były prowadzone bardziej w kontekście biznesowym niż technologicznym. W ten sposób łatwiej można przekonać rozmówców, że zaoszczędzą realne pieniądze, mając rozwiązane problemy dotyczące szeroko rozumianego „compliance” oraz bezpieczeństwa swoich systemów informatycznych. Większa świadomość przełoży się na rosnące zainteresowanie zarządzaniem dostępem do sieci i informacji. Potrzeba posiadania narzędzi IAM (Identity and Access Management – zarządzanie tożsamością i dostępem) oraz PAM (Privileged Access Management – zarządzanie dostępem uprzywilejowanym) z czasem stanie się integralnym elementem strategii rozwoju IT.

Zarówno klienci myślący o wykorzystaniu rozwiązań do zarządzania dostępem, jak i integratorzy mający pomóc im we wdrożeniach powinni śledzić najważniejsze trendy w tym obszarze zabezpieczeń. Tym bardziej że stają się one coraz bardziej złożone – ewoluują wraz z pojawianiem się nowych zagrożeń i dostosowują się do zmian w sposobach funkcjonowania przedsiębiorstw. Takie elementy rozwiązań IAM/PAM, jak scentralizowane zarządzanie dostępem, automatyzacja, raportowanie i składowe polityki bezpieczeństwa tworzone w kontekście specyficznych aplikacji, muszą sprostać wyzwaniom, z jakimi zmagają się dziś firmy. A tych jest niemało…

 

Coraz bardziej rozproszone środowisko pracy

Po pierwsze dostęp do aplikacji i danych od dawna nie ogranicza się tylko do wewnętrznej sieci. Mobilny i zdalnie pracujący personel może być bardziej produktywny od osób stale przebywających w biurze. Jednocześnie daje szansę na ograniczenie kosztów prowadzenia działalności biznesowej. Jednakże geograficznie rozproszeni pracownicy to dla działu IT istotny problem do rozwiązania. Jak zapewnić spójną obsługę użytkowników łączących się z zewnątrz z zasobami firmy, nie zmniejszając równocześnie ryzyka w kontekście bezpieczeństwa IT?

Większa mobilność i zdalny dostęp wymagają kontroli nad poczynaniami pracowników, zewnętrznych usługodawców, partnerów biznesowych itp., którą niełatwo zapewnić. W dodatku firmy zostały zmuszone do mniej lub bardziej formalnego wprowadzenia modelu BYOD, co jeszcze bardziej komplikuje sprawę. Wyzwanie działu IT polega na tym, jak szybko reagować na potencjalne zagrożenia, a jednocześnie nie ograniczać produktywności pracowników ani ich wolności wyboru. Administratorzy muszą sobie poradzić z ustaleniem praw dostępu do firmowych danych oraz określeniem urządzeń, z których dostęp może być zapewniany.

Rośnie wykorzystanie opartych na chmurze aplikacji SaaS (Software as a Service), więc użytkownicy z dowolnego miejsca i dowolnego urządzenia uzyskują dostęp do podstawowych dla biznesu narzędzi, takich jak Office 365 czy Salesforce. Jednakże wraz z rozwojem rozproszonego środowiska pracy wzrasta złożoność zarządzania tożsamością użytkowników aplikacji chmurowych. Bez sprawnego administrowania hasłami trudno zapewnić bezproblemowy i bezpieczny dostęp do wykorzystujących chmurę aplikacji, a koszty obsługi sfrustrowanych użytkowników przez działy IT będą rosły.

 

Marta Zborowska
Sales Director, Connect Distribution

W Polsce nie ma jeszcze wysokiej świadomości klientów w obszarze zarządzania dostępem uprzywilejowanym. Szczególnie w mniejszych firmach, gdzie stosuje się wciąż bardzo niebezpieczne praktyki, jak np. przechowywanie haseł w nieszyfrowanych plikach na serwerach firmowych. Duży wpływ na wzrost zainteresowania tematem mają obowiązujące regulacje RODO. Dzięki nim problem zarządzania kontami uprzywilejowanymi jest coraz powszechniej dostrzegany i firmy zaczynają poszukiwać profesjonalnych metod oraz narzędzi.

 

Jak szybko przydzielić dostęp…

Bez scentralizowanego narzędzia administrator musi ręcznie przydzielać dostęp do systemu IT. Im więcej czasu potrzeba, by pracownik uzyskał dostęp do podstawowych aplikacji biznesowych, tym jest on dla firmy mniej produktywny. W wielu firmach administratorzy muszą „przekopywać się” przez konta użytkowników, by ustalić, do jakich zasobów mają im zostać przyznane prawa. Ręczne przydzielanie dostępu jest czasochłonne i prowadzi do błędów. Dlatego szczególnie duże przedsiębiorstwa potrzebują wydajnych narzędzi do zarządzania tożsamością użytkowników i dostępem.

…a później jeszcze szybciej go odebrać

Nie mniej ważne od przydzielania praw dostępu jest ich odbieranie. Brak odpowiedniego działania w przypadku pracownika, który opuszcza firmę bądź przenosi się do innego działu, może mieć poważne konsekwencje dla bezpieczeństwa informacji. Aby maksymalnie ograniczyć ryzyko nadużyć, dział IT musi odebrać dostęp najszybciej, jak to możliwe.

To bardzo ważny element IAM, ponieważ w czasie zatrudnienia w firmie pracownik mógł zgromadzić wiele haseł do różnych aplikacji. Bez scentralizowanego narzędzia do zarządzania administratorowi trudno jest się zorientować, kto ma do czego dostęp. W sytuacji, gdy narzędzie to zostanie zintegrowane z systemem obsługującym dział HR, chwilę po tym, jak odchodzący pracownik opuścił firmę, wszystkie prawa dostępu, jakie posiadał, mogą zostać odebrane. Gdyby miało to być obsługiwane ręcznie, proces trwałby miesiącami. Wobec szkód, do jakich może doprowadzić niezadowolony ze zwolnienia pracownik, oszczędności wynikające z szybkiego i skutecznego pozbawiania praw dostępu są łatwe do wykazania.

 

Zdaniem integratora

Adam Kuligowski, wiceprezes zarządu, Sidio

Nie tak łatwo jest sprzedać rozwiązanie PAM. Firmy większe, świadome zagrożeń dla bezpieczeństwa swojej infrastruktury znają produkty do zarządzania dostępem uprzywilejowanym i wiedzą, do czego one służą. Mimo to wiele z nich nie sięga po tego rodzaju rozwiązania, tylko korzysta z narzędzi takich jak TeamViewer czy Cisco WebEx, niezapewniających należytej kontroli. Mniejsi klienci zwykle w ogóle nie widzą potrzeby nadzorowania użytkowników uprzywilejowanych – zewnętrznych usługodawców czy własnych pracowników, którzy mają dostęp do zasobów krytycznych. Nie dostrzegają w tym żadnych zagrożeń. W efekcie dosyć trudno jest przekonać klientów do wygospodarowania budżetów. Dlatego bezwzględnie trzeba im wykazywać na praktycznych przykładach, że brak kontroli nad logującymi się użytkownikami to duże zagrożenie. Bez wiedzy o tym, kto i kiedy uzyskuje dostęp do systemu, co dzieje się z danymi dostępowymi przekazanymi zewnętrznym usługodawcom, trudno mówić o bezpieczeństwie.

 

Problem z hasłami

Średnia firma zwykle korzysta z kilkudziesięciu aplikacji, baz danych i systemów, które wymagają od użytkowników uwierzytelnienia. Im większe przedsiębiorstwo, tym większy problem. Wyniki badań przeprowadzonych wśród firm z listy Fortune 1000 ujawniają, że posługują się one średnio 200 bazami lub katalogami z informacjami o użytkownikach w celu kontrolowania dostępu do swoich systemów informatycznych.

Przybywa też rozwiązań bazujących na chmurze, a pracownicy są zmuszeni zapamiętywać coraz więcej haseł dostępu do aplikacji, które mogą wykorzystywać różne metody uwierzytelniania o odmiennych standardach i protokołach. Użytkownicy spędzają coraz więcej czasu na obsłudze danych uwierzytelniających, więc ich frustracja rośnie. Tym bardziej że – w przypadku niektórych aplikacji – zmiana hasła jest wymagana co 30 dni. Jak wszyscy wiemy, hasła muszą być długie i złożone – to zalecenie powtarzane jest od lat jak mantra. Powinny zawierać małe i wielkie litery, cyfry oraz znaki specjalne. Konieczność zapamiętywania coraz większej liczby skomplikowanych haseł to udręka dla użytkowników. Trudno się więc dziwić, że w badaniu firmy Cyberark prawie jedna trzecia respondentów oznajmiła, że przechowuje poświadczenia w pliku na firmowym komputerze. Kolejne 20 proc. ankietowanych przyznało się, że ma je zapisane w prywatnych notatkach.

Gdy dla pracowników obsługa haseł staje się dużym problemem, częściej zwracają się po pomoc do działu IT. Statystyki pokazują, że nawet jedna trzecia zgłoszeń do help desku może dotyczyć próśb o zresetowanie hasła. Takiemu marnowaniu cennych zasobów może zapobiec skutecznie wdrożone rozwiązanie z mechanizmem SSO (Single Sign-On), zapewniającego jednorazowe logowanie się do usługi sieciowej i uzyskanie dostępu do wszystkich autoryzowanych zasobów z nią związanych. W celu zwiększenia bezpieczeństwa uwierzytelnianie SSO powinno być wieloskładnikowe.

Dostęp uprzywilejowany

Przez wewnętrznych użytkowników najczęściej rozumie się pracowników firmy. Aby jednak skutecznie ograniczyć ryzyko niepożądanych wizyt w systemie, definicję trzeba rozszerzyć. Za użytkowników wewnętrznych powinno się uznać pracowników, zewnętrznych usługodawców, partnerów, a także dostawców, którzy mają dostęp do firmowych systemów i danych.

Wyniki ankiety przeprowadzonej wśród 400 specjalistów IT z Ameryki Północnej i Europy przez firmę Loudhouse pokazują, że średnio 59 proc. kont uprzywilejowanych w przedsiębiorstwach jest tworzonych dla zewnętrznych podmiotów (w tym partnerów/resellerów – 30 proc., zewnętrznych usługodawców – 16 proc., i niezależnych dostawców – 13 proc.). Wychodzi więc na to, że większość „użytkowników wewnętrznych” z prawami administratora to osoby mało znane administratorom IT lub w ogóle nieznane.

Nierzadko w firmie liczba kont uprzywilejowanych (czyli takich, których niewłaściwe wykorzystanie stwarza największe zagrożenie dla bezpieczeństwa) przekracza liczbę użytkowników. Dzieje się tak, ponieważ pracownicy muszą radzić sobie z wieloma dostępami, a do tego dochodzą jeszcze maszyny i aplikacje, które także muszą uzyskiwać dostęp do określonych danych i systemów. Co istotne, wobec postępującej automatyzacji wymagających uwierzytelniania interakcji typu maszyna–maszyna czy aplikacja–aplikacja będzie coraz więcej.

Ochronę zasobów i zachowanie zgodności z regulacjami ułatwią klientom rozwiązania PAM. Umożliwiają zabezpieczanie, zarządzanie i monitorowanie kont uprzywilejowanych oraz uzyskiwanego za ich pomocą dostępu.

Adam Kuligowski, wiceprezes zarządu w Sidio, zauważa, że klienci decydujący się na zakup rozwiązania do zarządzania dostępem uprzywilejowanym wybierają je przede wszystkim ze względu na szeroko pojęte zarządzanie sesjami administracyjnymi.

Chcą kontrolować, kto i do czego ma mieć dostęp oraz w jakim zakresie, nagrywać sesje administracyjne na wideo i otrzymywać ich transkrypcje – tłumaczy integrator.

 

Marta Zborowska, Sales Director w Connect Distribution, także zwraca uwagę na możliwość kontroli przez nagrywanie sesji administracyjnych. Celem jest audyt w przypadku jakichś nieprawidłowości w działaniu administratorów i wyeliminowanie nieuzasadnionych podejrzeń. Jej zdaniem bardzo często zarządzanie dostępem do kont uprzywilejowanych jest też kojarzone z administrowaniem hasłami.

Najbardziej świadomi klienci szukają rozwiązań kompleksowych, obejmujących całokształt kontroli dostępu na każdym poziomie: od stacji końcowych przez wszelkie urządzenia infrastruktury podlegające zarządzaniu aż po serwery i działające na nich aplikacje – mówi specjalistka warszawskiego VAD-a.

Zgodność z regulacjami

Kłopoty związane z compliance & governance należą do najważniejszych powodów wdrażania rozwiązań IAM/PAM. W ostatnim czasie najwięcej mówiło się o konsekwencjach wprowadzenia unijnego rozporządzenia RODO, ale nie mniej ważne okazują się regulacje branżowe.

W obliczu kar za niezastosowanie się do przepisów przedsiębiorstwa muszą starać się ograniczyć ryzyko związane z nieuprawnionym dostępem do informacji. Polega to m.in. na modyfikowaniu reguł polityki bezpieczeństwa dotyczących zarządzania i ochrony danych. Odpowiednie narzędzia znakomicie ułatwiają obsługę takich zadań, jak określanie praw dostępu dla użytkowników uprzywilejowanych czy śledzenie oraz dokumentowanie, kto i kiedy miał dostęp do konkretnych zasobów informacji. W rezultacie przyczyniają się do zachowania zgodności z regulacjami i sprawiają, że proces audytu może przebiegać bezproblemowo.

Z drugiej strony działanie rozwiązań IAM/PAM będzie na tyle skuteczne, na ile skuteczne będzie zaimplementowana polityka bezpieczeństwa w kontekście dostępu i zarządzania tożsamościami. Te produkty w praktyce mają odzwierciedlać reguły stworzone wcześniej „na papierze”. Tym samym bezpośrednio odnoszą się do sfery „compliance”. Dostawcy twierdzą, że jest to tak ewidentne, że nawet nie trzeba klientom tego tłumaczyć.

Podczas prezentacji rozwiązania PAM staram się nie odwoływać bezpośrednio do RODO. Wiem, że odbiorcy sami zauważą, jak bardzo tego rodzaju narzędzia wpisują się w kontekst zachowania zgodności z tymi i innymi przepisami związanymi z „compliance” – mówi Paweł Rybczyk, Business Developer CEE & Russia w firmie Wallix.

 

Paweł Rybczyk
Business Developer CEE & Russia, Wallix

To dobry czas dla rozwiązań takich jak PAM. Po pierwsze dlatego, że na rynku nie brakuje problemów z zatrudnieniem specjalistów IT, które będą jeszcze narastać. W rezultacie organizacje muszą sięgać po zewnętrznych usługodawców, których trzeba kontrolować i rozliczać. Drugim powodem wzrostu zainteresowania rozwiązaniem PAM są różnego rodzaju normy i wytyczne – ogólne albo specyficzne dla wybranej grupy klientów czy sektora rynku. Wszystkie regulacje, w kontekście PAM, zazwyczaj odnoszą się do kontroli dostępu do danych oraz zarządzania kontami uprzywilejowanymi. Po trzecie coraz więcej mówi się o automatyzacji w IT. Podczas wymiany informacji między elementami zautomatyzowanej infrastruktury często dochodzi do wymiany poświadczeń i autoryzacji czynności, więc także w tym wypadku zapewnienie bezpiecznego dostępu jest krytyczne dla bezpieczeństwa całego systemu IT.

 

Kontrola dostępu: całościowe podejście

Klienci mają kłopoty ze znalezieniem specjalistów IT. Na rynku brakuje ludzi z odpowiednimi kompetencjami, a zatrudnianie ich coraz więcej kosztuje. Powinno to napędzać sprzedaż rozwiązań takich jak IAM/PAM, automatyzujących wiele zadań, które musiałyby być wykonywane ręcznie przez pracowników działu IT. Narzędzia te umożliwiają też kontrolę nad zewnętrznymi usługodawcami, których trzeba wynajmować, gdy brakuje własnego personelu.

Braki w zatrudnieniu są tak duże, że nierzadko w przedsiębiorstwach po prostu nie ma kto zająć się obsługą narzędzi do zarządzania dostępem. W rezultacie otwiera to integratorom pole do działania w modelu IAM/PAM as a Service. Są produkty zapewniające świadczenie takich usług, a dostawcy przyznają, że klienci pytają o możliwość zakupu rozwiązania opłacanego w abonamencie i zarządzanego przez jakiś zewnętrzny podmiot. Na pytaniach się jednak zwykle kończy, bo kiedy dochodzi do testów, zwykle wybierają oni wersję on-premise. Z jednej strony może to świadczyć o tym, że czas robienia biznesu z wykorzystaniem chmury jeszcze u nas nie nadszedł, a z drugiej wskazywać, że IAM/PAM jako narzędzia z newralgicznego obszaru mogą się w modelu usługowym trudniej sprzedawać.

W przypadku PAM as a Service mogą się pojawić problemy natury „politycznej”. Sytuacja, gdy jeden integrator, zarządzający usługą, ma kontrolować działania drugiego integratora, wynajętego przez klienta do innych prac, jest potencjalnie konfliktowa – zauważa Paweł Rybczyk.

Integrator oferujący rozwiązania typu IAM/PAM musi nie tylko posiadać dużą wiedzę o dostępnych narzędziach, ale także wykazać się głęboką znajomością środowiska klienta oraz zachodzących tam procesów. Dbając o ochronę dostępu, nie może zapomnieć o innych aspektach bezpieczeństwa oraz o konieczności integracji wdrażanych narzędzi z istniejącymi systemami.

Dlatego przy wyborze rozwiązania do zarządzania dostępem powinien kierować się nie tylko kryterium ceny, ale przede wszystkim funkcjonalnością, możliwością integracji z innymi systemami bezpieczeństwa i elastycznością konfiguracji w zależności od potrzeb klienta – twierdzi Marta Zborowska.

Ten wybór jest rownież – jak zawsze w przypadku rozwiązań z zakresu bezpieczeństwa – wynikiem pewnego kompromisu. Integratorzy wdrażający narzędzia do zarządzania tożsamościami i dostępem do firmowych zasobów oraz działy IT klientów muszą znaleźć równowagę pomiędzy zaawansowaniem mechanizmów bezpieczeństwa a uproszczeniem procedur dostępu. Klient tylko wtedy uzyska duży zwrot z inwestycji, gdy zapewni mu się ochronę, która z jednej strony skutecznie zabezpieczy przed materialnymi i niematerialnymi stratami wynikającymi z naruszeń bezpieczeństwa, a z drugiej będzie miała pozytywny wpływ na produktywność pracowników.

 

 

 

 

Artykuł Zarobić na dostępie pochodzi z serwisu CRN.

]]>
https://crn.sarota.dev/artykuly/zarobic-na-dostepie/feed/ 0
Zarządzanie dostępem coraz ważniejsze https://crn.sarota.dev/artykuly/zarzadzanie-dostepem-coraz-wazniejsze/ https://crn.sarota.dev/artykuly/zarzadzanie-dostepem-coraz-wazniejsze/#respond Fri, 01 Sep 2017 07:06:00 +0000 https://crn.pl/default/zarzadzanie-dostepem-coraz-wazniejsze/ Wcale nietrudno wytłumaczyć klientowi, jakie są korzyści z wdrożenia narzędzia do zarządzania uprzywilejowanym dostępem do systemów informatycznych. Trzeba tylko trzymać się kluczowych faktów.

Artykuł Zarządzanie dostępem coraz ważniejsze pochodzi z serwisu CRN.

]]>
Wraz z postępującą cyfryzacją rośnie potrzeba coraz większej kontroli nad dostępem do systemu informatycznego. Obecnie nie ma mowy o wydzielonej, bezpiecznej sieci, w której w każdej chwili wiadomo: kto, skąd i w jaki sposób łączy się z firmowymi zasobami. W dodatku pracownicy chcą korzystać z dostępu w dowolnym czasie, z dowolnego miejsca i z dowolnego urządzenia. Trzeba też zapewnić możliwość łączenia się z systemem przedstawicielom firm zewnętrznych, świadczących określone usługi IT. Użytkownicy stają więc przed wyzwaniem, jak to umożliwić, by jednocześnie nie rosło ryzyko dla bezpieczeństwa systemu informatycznego. Szczególnie że „kradzież tożsamości” nie należy obecnie do rzadkości.

Rozwiązanie stanowi nowa generacja zaawansowanych platform do zarządzania tożsamością i dostępem (IAM – Identity and Access Management) oraz narzędzia do zarządzania dostępem uprzywilejowanym (PAM – Privileged Access Management). PAM zapewnia kontrolę i monitoring działania tych użytkowników, którym przyznano prawa administratora systemu. Bezpieczeństwo dostępu dodatkowo zwiększy wdrożenie wieloskładnikowego uwierzytelniania.

Marcin Marciniak, inżynier systemów bezpieczeństwa w Versim, zwraca uwagę, że zainteresowanie rozwiązaniami PAM rośnie z dwóch powodów. Po pierwsze bardzo wzrasta wykorzystanie outsourcingu, co wymaga dokładnego rozliczania ludzi z dostępu i wykonanej pracy. Po drugie klienci zdali sobie sprawę, że dają dostęp do najważniejszych zasobów firmy (w tym poufnych danych) także użytkownikom z zewnątrz – często na poziomie uprzywilejowanym, często bardzo słabo kontrolowanym.

– Wykorzystanie narzędzi do zarządzania dostępem uprzywilejowanym sprawi, że nadużycia staną się niemożliwe albo, jako rejestrowane, przestaną mieć sens dla nieuczciwego użytkownika – wyjaśnia ekspert Versimu.

Mówiąc o potrzebie wprowadzania zarządzania dostępem, w tym uprzywilejowanym, Paweł Rybczyk, Business Developer CEE & Russia w firmie Wallix, przytacza analogię do systemu kontroli dostępu do budynku i związanego z tym procesu. W biurowcu nie możemy ominąć recepcji czy biura ochrony. Należy wpisać się do książki wejść/wyjść, gdzie odnotowywana jest godzina wejścia i cel naszej wizyty. Sprawdzana jest nasza tożsamość, a uprawnienia do wizyty są weryfikowane krótkim telefonem do podanej przez nas osoby. Ma to zagwarantować, by nikt niepowołany nie dostał się na teren obiektu. W trakcie wizyty, gdy przechodzimy przez kolejne korytarze i jedziemy windą, jesteśmy rejestrowani przez system CCTV. Posługując się podobnym przykładem, integrator może klientowi zadać pytanie, czy w jego infrastrukturze IT jest zdefiniowany podobny proces, opisany w polityce bezpieczeństwa i określający reguły dostępu. Choćby taką, że nie można po prostu podejść do przełącznika i wpiąć się do niego bez uwierzytelnienia.

 

Bez określonego przez politykę bezpieczeństwa procesu nie można myśleć o rozwiązaniach zarządzania tożsamością czy narzędziach typu PAM. Uzmysłowienie potrzeby zastosowania polityki bezpieczeństwa i pomoc w jej stworzeniu może być zadaniem dla integratora. Dopiero wtedy, gdy polityka jest zdefiniowana i gotowa do wprowadzenia, klient może rozważać wdrożenie rozwiązania kontroli dostępu.

 

Zarządzania dostępem potrzebują duzi i mali

Trudno dziś prowadzić działalność biznesową bez połączenia z podmiotami zewnętrznymi. Nic dziwnego, że są klienci, którzy sami zgłaszają się z pytaniem, co zrobić, gdy muszą udostępniać swoje zasoby komuś z zewnątrz, a nie mają nad tym kontroli. Chcą wiedzieć, co wynajęty konsultant tak naprawdę robi w ich systemach. Próbują też ustrzec się przed problemami, gdy będą musieli zmienić swojego administratora – chcą mieć pewność, że prawa dostępu odchodzącego pracownika zostaną w całości przekazane nowemu.

Wymienionych problemów nie będzie, gdy jedynym sposobem dotarcia do systemu informatycznego dla uprzywilejowanych użytkowników stanie się rozwiązanie klasy PAM – tłumaczy Marcin Marciniak.

W przypadku zarządzania dostępem nie ma znaczenia wielkość klienta, bo ściśle określonych reguł potrzebuje duże przedsiębiorstwo, ale może go wymagać także mniejsza firma. Jednak nie jest równie łatwo sprzedać im narzędzia PAM. Największa walka pomiędzy dostawcami toczy się na rynku enterprise, na którym jest najwięcej pieniędzy. Większa konkurencja sprawia, że klient dostaje kilka ofert, więc dochodzi do bardziej agresywnego grania ceną. Jak twierdzi Paweł Rybczyk z Wallixa, inaczej jest na rynku średnich firm, bo tam często ma się do czynienia z klientem, który nie zetknął się jeszcze z rozwiązaniami konkurencji. A ponieważ średniej wielkości firma często korzysta z outsourcingu, łatwiej przekonać ją do zakupu oferowanego produktu.

– Gdy dojdzie do pokazu, a następnie do testów u klienta, zazwyczaj szybko kończy się to sprzedażą. Zwłaszcza, gdy rozwiązanie wdraża się szybko i bezboleśnie – uważa Paweł Rybczyk.

Także zupełnie małe firmy mają potrzeby związane z zarządzaniem dostępem. Jednak ze względu na specyfikę, ograniczony budżet oraz brak własnej kadry technicznej (szczególnie w obszarze bezpieczeństwa) najbardziej odpowiednią formą wydaje się dla nich usługa „PAM as a Service”. Dostawcy umożliwiają partnerom sprzedaż swoich rozwiązań w modelu abonamentowym i – jak się dowiedzieliśmy – trwają prace nad przygotowaniem tego rodzaju ofert na rynku polskim. Inna rzecz, że będzie to wymagało pokonania dużego oporu klientów przed powierzaniem swojego bezpieczeństwa komuś z zewnątrz.

RODO pomaga w sprzedaży

Znaczenie zabezpieczeń typu PAM rośnie w kontekście mającego niebawem wejść w życie rozporządzenia RODO. Mówi się o tym bardzo wiele, a informacje o konsekwencjach jego wprowadzenia stale docierają do zarządów firm. Choć nowe przepisy nie regulują technicznych kwestii związanych z bezpieczeństwem, to ważne będzie zapewnienie odpowiedniej „higieny” w dostępie do chronionych informacji. Gdy będą one przetwarzane w aplikacji, do której uprzywilejowany dostęp ma ktoś dokonujący np. aktualizacji oprogramowania, wtedy duże znaczenie będzie miało rejestrowanie sesji, mogące wykazać, co działo się z poufnymi danymi, do jakich ta osoba miała dostęp.

 

Jaki system jest odpowiedni dla klienta?

O wyborze konkretnego rozwiązania może zdecydować prostota jego wdrożenia i użytkowania. W takim ujęciu porównywanie poszczególnych narzędzi może przypominać sytuację z produktami do zapobiegania wyciekom danych z organizacji. Wdrożenie zaawansowanej platformy DLP (Data Leak/Loss Protection) o wielu funkcjach może trwać długo, bo w dużej firmie sporo czasu zabierze określenie, jak zastosować granularną ochronę w poszczególnych jej działach. Dlatego zarówno na rynku ochrony przed wyciekami, jak i narzędzi do zarządzania dostępem można znaleźć produkty oferujące wybrane funkcje, które łatwiej jest wdrożyć i używać. Mogą one być dla klienta rozwiązaniem docelowym bądź przejściowym, zanim firma zdecyduje się na wdrożenie rozbudowanej platformy o wielu zabezpieczeniach i parametrach. Takiej jak IAM, w której PAM jest jednym z wielu dostępnych modułów.

>>> Trzy pytania do…

Jean-Noëla de Galzaina, założyciela i CEO firmy WALLIX

CRN Co skłania klienta do zainteresowania się rozwiązaniami PAM?

Jean-Noël de Galzain Są trzy powody, dla których klient powinien rozważyć użycie narzędzia do zarządzania dostępem uprzywilejowanym. Pierwszym jest compliance, czyli potrzeba zachowania zgodności z wewnętrznymi standardami. Potrzeba zgodności może być też narzucona poprzez zewnętrzne regulacje – prawne i branżowe. W tym kontekście coraz ważniejsze jest wejście w życie rozporządzenia RODO. Drugim powodem jest współpraca z zewnętrznymi firmami – usługodawcami, którym należy zapewnić dostęp, ale powinien być on kontrolowany. Wreszcie o zastosowaniu PAM będzie decydować skala przedsiębiorstwa, bo w dużym podmiocie poziom zaufania do wewnętrznych administratorów powinien być ograniczony.

 

CRN Czy więc o PAM będą myśleć głównie banki i duże firmy?

Jean-Noël de Galzain Nie jest problemem wielkość firmy, tylko kwestia dojrzałości klienta w podejściu do bezpieczeństwa systemu informatycznego. Czy w danym przedsiębiorstwie jest wprowadzona polityka, która wynikła z zadania sobie różnego rodzaju pytań. Choćby takich: czy po godz. 16.00 każdy może się podłączyć do firmowej infrastruktury? Jeśli ochroniarze powinni zareagować zgodnie z procedurami na powrót po godzinach pracownika do biura, który czegoś zapomniał, to czemu system kontroli dostępu do infrastruktury nie ma zadziałać zgodnie ze zdefiniowanymi regułami?

 

CRN A dlaczego partnerzy powinni rozważyć możliwość oferowania tego rodzaju systemów?

Jean-Noël de Galzain Dam taki przykład: pyta mnie partner, niewielki integrator, który dotychczas zajmował się systemami do kontroli wydruków – jak wejść w obszar security? Czy powinny to być rozwiązania UTM, firewalle, może antywirusy? Odpowiadam, że zamiast oferować powszechnie dostępne produkty na bardzo konkurencyjnym rynku, lepiej poszukać czegoś świeżego. Łatwo jest bowiem handlowcowi przejść od wyjaśniania klientowi, że zarządzanie wydrukami da kontrolę nad tym, co się drukuje, spowoduje obniżenie kosztów itp., do tłumaczenia, dlaczego warto kontrolować zdalny dostęp administratorów IT czy firm outsourcingowych.

 

Przy dostosowaniu rozwiązania do konkretnej firmy przede wszystkim musi zostać zadane klientowi pytanie o jego problemy. Wówczas okaże się, czy da się je rozwiązać jedynie poprzez wdrożenie w pełni funkcjonalnego „kombajnu” IAM – nawet jeśli byłoby to czasochłonne. Ewentualnie może stać się oczywiste, że warto skupić się np. na nagrywaniu sesji, które można uruchomić od razu.

Obecni na polskim rynku dostawcy narzędzi PAM to: Balabit, BeyondTrust, Bomgar, CyberArk, Wallix i Wheel Systems. Na wdrożenie ich systemów mogą się decydować także ci klienci, którzy nie mają zamiaru stosować IAM, bo najbardziej zależy im na kontrolowaniu użytkowników uprzywilejowanych. Tak może być w przypadku przedsiębiorstw nastawionych na współpracę z firmami zewnętrznymi, co będzie wymagać zarządzania zdalnym dostępem do systemów informatycznych. PAM z rejestrowaniem sesji będzie w tym przypadku pełnić z jednej strony rolę zabezpieczenia, a z drugiej narzędzia kontroli pracy wykonywanej przez zewnętrzne firmy. Jeśli „obcy” pracownik przy łączeniu zobaczy komunikat „uwaga, twój dostęp może być rejestrowany”, to efektem mogą być zdrowsze relacje pomiędzy stronami.

Z jednej strony PAM zabezpieczy zleceniodawcę przed zawyżonymi fakturami, a z drugiej może być dla zleceniobiorcy dowodem, że praca została właściwie wykonana – tłumaczy Marcin Marciniak z Versimu.

Gdy klient wreszcie będzie mieć wiedzę, za co płaci, to inwestycja w rozwiązanie do zarządzania dostępem uprzywilejowanym może mu się szybko zwrócić. Dlatego rozmów z przedstawicielami firmy, której oferuje się narzędzia PAM, nie powinno się ograniczać do personelu technicznego. Warto zwracać się do dyrektorów finansowych i zadawać im pytanie, jak dużo obecnie kosztuje ich firmę outsourcing.

Zdaniem integratora

• Grzegorz Kowalczyk, kierownik zespołu IDM, Qumak

Od pewnego czasu obserwujemy rosnące zainteresowanie systemami zarządzania tożsamością oraz zarządzania uprzywilejowanymi kontami. Jeszcze kilka lat temu niewiele firm inwestowało w tego typu narzędzia, skupiając się na bardziej palących potrzebach, takich jak np. systemy DLP czy SIEM. Jednak w wyniku zmiany podejścia do organizacji IT oraz coraz większego wykorzystania chmury rozwiązania IAM/PAM zyskały na popularności. Zarządzający firmami zrozumieli, że bez skupienia się na użytkowniku nie da się zbudować wydajnego systemu ochrony informacji i zasobów. W rezultacie do 2020 r. przedsiębiorstwa mają udostępnić ok. 80 proc. swoich niemających znaczenia dla bezpieczeństwa zasobów (dzisiaj to nie więcej niż 5 proc.), koncentrując się na lepszej ochronie kluczowych danych. W zakresie kont uprzywilejowanych będzie obowiązywała zasada ograniczania ich liczby, większego wykorzystania metod monitorowania oraz bardziej restrykcyjnego przyznawania dostępu na podstawie poziomu ryzyka.

 

W obszarze bezpieczeństwa rozwiązania PAM mają tę zaletę, że nawet handlowiec, który nie jest mocny w sprawach technicznych, będzie umiał wytłumaczyć potencjalnemu nabywcy, na czym polegają korzyści, jakie osiągnie on w wyniku wdrożenia.

 

MFA – ważne uzupełnienie zarządzania dostępem

Zarówno IAM, jak i PAM zwiększą ochronę systemu informatycznego, ale stanie się ona jeszcze bardziej skuteczna po zastosowaniu uwierzytelniania wieloskładnikowego (MFA –Multi-Factor Authentication). MFA w dużym stopniu minimalizuje wady tradycyjnej metody dostępu wykorzystującej login i hasło. Hasła można wykraść, zwłaszcza że często są zapisywane przez użytkowników w łatwo dostępnych miejscach i wielu z nich używa tych samych haseł do różnych celów. Nawet jeśli są odpowiednio chronione przed dostępem osób niepowołanych, to mogą zostać złamane – wystarczy odpowiednio wydajna infrastruktura i czas. Aby ułatwić sobie pracę, administratorzy zbyt rzadko wymuszają zmianę haseł, nie lubią też tego sami użytkownicy.

Największą wadą tradycyjnego systemu z loginem i hasłem jest to, że w przypadku np. kradzieży danych uwierzytelniających nie ma możliwości zidentyfikowanie próby użycia ich przez osobę do tego niepowołaną. Dla systemu IT logowanie wygląda bowiem całkowicie poprawnie – tłumaczy Krzysztof Strąk, Security Business Development Manager w S4E.

Uwierzytelnianie wieloskładnikowe dodaje kolejny poziom logowania się użytkownika do sieci i wymaga dostarczenia dodatkowej informacji. W prostszych metodach jest to coś, co zna jedynie użytkownik, np. jednorazowy kod lub hasło. Formą zabezpieczenia może być również sprawdzenie, czy użytkownik loguje się ze swojego urządzenia (telefon, laptop, PC). Często korzysta się z różnego rodzaju tokenów – sprzętowych albo w postaci oprogramowania na telefon lub komputer, SMS-ów wysyłanych na numer użytkownika bądź też funkcji rozpoznawania głosu.

W najbardziej zaawansowanych systemach uwierzytelniania wykorzystuje się biometrię – odcisk palca, skan twarzy czy tęczówki oka. Jednak zdaniem eksperta z S4E rozwiązania biometryczne, choć są niezwykle skuteczne i zapewniają najwyższy poziom bezpieczeństwa, ze względu na relatywnie wysoki koszt stosuje się najrzadziej.

Warto przekonywać klientów, że zastosowanie MFA to dobra praktyka, która znacząco zwiększy poziom bezpieczeństwa informatycznego firmy. Użycie np. dodatkowych haseł jednorazowych pozwala uniknąć ryzyka związanego z przechwyceniem danych uwierzytelniających przez osoby nieuprawnione, a tym samym minimalizuje ryzyko kradzieży danych lub tożsamości. Co istotne dla klienta, stosowanie uwierzytelnienia wieloskładnikowego może znacząco wpłynąć na zwiększenie produktywności i elastyczności IT. Przy zwiększonym poziomie bezpieczeństwa można bowiem udostępniać użytkownikom kluczowe systemy bez zwiększania ryzyka.

Artykuł Zarządzanie dostępem coraz ważniejsze pochodzi z serwisu CRN.

]]>
https://crn.sarota.dev/artykuly/zarzadzanie-dostepem-coraz-wazniejsze/feed/ 0
PAM, czyli przywileje pod specjalnym nadzorem https://crn.sarota.dev/artykuly/pam-czyli-przywileje-pod-specjalnym-nadzorem/ https://crn.sarota.dev/artykuly/pam-czyli-przywileje-pod-specjalnym-nadzorem/#respond Wed, 20 Jul 2016 06:00:00 +0000 https://crn.pl/default/pam-czyli-przywileje-pod-specjalnym-nadzorem/ Warto przyjrzeć się jednemu z najszybciej rosnących segmentów rynku bezpieczeństwa. Zwłaszcza że rozwiązania do zarządzania dostępem uprzywilejowanym są czymś na tyle nowym, iż można liczyć na dobre marże oraz spore zainteresowanie klientów.

Artykuł PAM, czyli przywileje pod specjalnym nadzorem pochodzi z serwisu CRN.

]]>
Kiedy Edward Snowden
ujawnił kilkaset tysięcy tajnych i ściśle tajnych dokumentów NSA, prasa
opisała to zdarzenie jako największy wyciek informacji w historii USA,
który miał bardzo poważne konsekwencje w polityce międzynarodowej.
Z kolei wykradzenie danych około 80 mln klientów
i pracowników amerykańskiego zakładu ubezpieczeń zdrowotnych Anthem będzie
zapewne skutkowało lawiną pozwów i wypłatą gigantycznych odszkodowań, jak
również utratą reputacji na zawsze. Podobnie jak stało się w przypadku
Korea Credit Bureau, której pracownik zdobył poufne informacje dotyczące
20 mln Koreańczyków (40 proc. krajowej populacji!), a wszystkie
wynikłe z tego straty finansowe muszą pokryć związane z tą firmą
instytucje wydające karty kredytowe.

Każde z trzech
wspomnianych zdarzeń łączy to, że przestępcy mieli uprzywilejowany dostęp do
systemów IT – taki z prawami administratora, przydzielany pracownikom
firmy, ale także zewnętrznym partnerom. Snowden był właśnie zewnętrznym
zleceniobiorcą zatrudnionym przez NSA. Również sprawca wycieku z Korea
Credit Bureau miał zapewniony dostęp do wewnętrznych systemów koreańskich
operatorów kart kredytowych, zaś w przypadku Anthem posłużono się danymi
logowania jednego z administratorów firmy. Jeśli tak potężne instytucje
nie potrafiły zadbać o kontrolę dostępu uprzywilejowanego, to znaczy, że
problem jest poważny. Potwierdzają to statystyki. Według „2015 Verizon Data
Breach Report” aż 55 proc. naruszeń bezpieczeństwa określanych jako wewnętrzne
jest związanych z wykorzystaniem kont uprzywilejowanych.

Wobec tego bez wątpienia warto zainteresować się rynkiem PAM
– rozwiązań, które mają chronić przed tego rodzaju zagrożeniem. Rynkiem,
który według szacunków analityków odnotowuje około 30-proc. wzrost rok do
roku.

 

Zaufanie ma swoje granice

Firmowe systemy IT są pod kontrolą administratorów, ale czy
ktoś ma kontrolę nad nimi? Mariusz Stawowski, dyrektor działu technicznego
w Clico, zwraca uwagę, że często informatycy w ramach wykonywania
swoich obowiązków zyskują ogromną władzę, co sprawia, że mogą stanowić realne
zagrożenie dla bezpieczeństwa przedsiębiorstwa.

 

W firmach, w których nie
zostały zastosowane odpowiednie środki nadzoru, administratorzy baz danych mają
dostęp do najbardziej poufnych informacji, administratorzy poczty
elektronicznej mogą śledzić korespondencję innych pracowników, administratorzy
aplikacji mogą podszywać się pod jej użytkowników, a administratorzy
zabezpieczeń mogą je wyłączyć w celu umożliwienia naruszenia
bezpieczeństwa
– wylicza ekspert z Clico.

Podobne zagrożenie
stanowią zewnętrzni serwisanci, którzy często mają zdalny dostęp do najbardziej
krytycznych systemów przedsiębiorstwa. Mariusz Stawowski przypomina, że atak,
który w ubiegłym roku sparaliżował system energetyczny Ukrainy, polegał na
wykorzystaniu zdalnego dostępu do stacji SCADA, a więc urządzeń
odpowiedzialnych za sterowanie systemem dystrybucji energii. Dlatego jego
zdaniem zastosowanie przez klientów specjalistycznych narzędzi PAM, służących
do kontroli i zarządzania dostępem użytkowników uprzywilejowanych, ma duże
uzasadnienie biznesowe.

Piotr Kawa, Network
Departament Manager Poland & CEE w Bakotechu, powołuje się na raporty
wiodących organizacji zajmujących się bezpieczeństwem, takie jak „Insider
Threat Report” oraz „CERT Insider Threat Center”. Na ich podstawie twierdzi, że
dużo trudniej wykrywa się i zapobiega zagrożeniom wewnętrznym (generowanym
w dużej mierze przez użytkowników uprzywilejowanych) niż tym pochodzącym
z zewnątrz. Chcąc im przeciwdziałać, klienci muszą odpowiedzieć sobie na
pytania: jacy uprzywilejowani użytkownicy mają dostęp do krytycznych zasobów,
jak z nich korzystają i czy nie dochodzi do wykroczeń bądź naruszeń
polityk bezpieczeństwa.




Privileged Access Management – made in Poland

 

Polska nie jest białą plamą na mapie producentów PAM.
Z tego powodu światowi dostawcy tego rodzaju rozwiązań mają z jednej
strony łatwiej, bo często nie muszą polskim klientom od początku tłumaczyć,
czym są takie narzędzia. A z drugiej strony wchodzą w obszar, na
którym od kilku lat prężnie działa lokalny producent i zdążył już odnieść
spory sukces. Mowa o firmie Wheel Systems, sprzedającej swoje rozwiązania
informatyczne największym klientom na polskim rynku – z sektora
finansowego, energetycznego, telekomunikacyjnego, przemysłu, branży
internetowej i wielu innych.

Działający za pośrednictwem partnerów polski producent
stworzył najpierw CERB AS – wieloskładnikowy system uwierzytelnienia,
który umożliwia scentralizowane zarządzanie użytkownikami oraz kontrolę dostępu
do zasobów z wykorzystaniem różnych metod uwierzytelnienia. Zdobył uznanie
głównie w sektorze finansowym. A ponieważ klienci zgłaszali Wheel
Systems potrzebę posiadania rozwiązania do nagrywania sesji i zarządzania
hasłami, powstał system FUDO. To obecnie sztandarowy produkt warszawskiej
firmy, służący do stałego monitoringu, kontroli i rejestracji zdalnych
sesji dostępu do systemów informatycznych.

 

Przedstawiciel Bakotechu
zauważa, że choć wiele organizacji korzysta z systemów zbierania logów, to
nie są one zbyt użyteczne, z uwagi na zbyt wiele danych do interpretacji.
Poza tym są one również zasobochłonne.

Kluczem jest monitorowanie
i analizowanie działań użytkowników uprzywilejowanych w czasie
rzeczywistym
– przekonuje Piotr Kawa.

Zdaniem Pawła Rybczyka,
business developera CEE&Russia w firmie Wallix, w ostatnim czasie
na rozwiązania PAM patrzy się bardziej w kontekście monitoringu dostępu i
rejestracji dostępu zdalanego. Choć elementem tego typu systemów jest funkcja
zarządzania kontami uprzywilejowanymi i hasłami, to moduł ten może zabierać
bardzo dużo czasu przy implementacji polityki bezpieczeństwa.




Trzy pytania do…

 

Pawła Rybczyka, business developera
CEE&Russia w firmie Wallix

CRN
PAM to nisza na rynku bezpieczeństwa?

Paweł
Rybczyk
Staram się unikać
nazywania PAM niszowym rozwiązaniem. Jeśli już tak je traktujemy, to tylko
z zastrzeżeniem, że jest to stan przejściowy. Staram się tłumaczyć
partnerom, że choć klient jest najczęściej wyposażony w firewalle
i inne zabezpieczenia, to potrzebuje jeszcze czegoś, co będzie zachowywać
się jak system kamer w budynku – monitorować i rejestrować wszystkie
działania administracyjne. Takie elementy PAM, jak nagrywanie sesji i
zarządzanie hasłami, staną się niedługo podstawowym elementem polityki
bezpieczeństwa dowolnej wielkości firmy.

 

CRN
Na czym to dokładnie polega?

Paweł
Rybczyk
Bardzo ważną funkcjonalnością PAM jest wspomniane nagrywanie
sesji. Nie jest ono tym, co robi firewall, który może jedynie „odnotować” fakt
zainicjowania połączenia i jego zakończenia (np. przez jednego
z zewnętrznych kontraktorów IT). PAM dostarczy pełne nagranie sesji
– informacje, co działo się na docelowym serwerze, routerze, sterowniku
itp. – między zalogowaniem a wylogowaniem. Również to, co zostało
wpisane z klawiatury, jakie procesy zostały uruchomione itp.
W efekcie powstaje zapis wszystkiego, co zrobił konkretny człowiek, ktory
dysponuje uprzywilejowanym dostępem do infrastruktury firmowej.

 

CRN Czy
łatwo jest przekonać klienta do zakupu PAM?

Paweł
Rybczyk
Choć w przypadku rozwiązań ochronnych czasem nie jest prosto
przedstawić ROI, czyli zwrot z inwestycji, to z PAM sprawa może być znacznie
prostsza. W rozmowach z klientami wciąż napotykam na potrzebę kontrolowania
wynajętych firm outsourcingowych, co do których nie ma pewności, że uczciwie
wykonują i wyceniają swoją pracę. PAM pokaże dokładnie, co, kiedy i jak
zrobili, a to będzie miało swoje przełożenie na wystawiane przez zewnętrzne
firmy faktury i potencjalne, bardzo wymierne oszczędności. Niektórzy klienci
mówią mi wprost, że w ten sposób zakup rozwiązania PAM zwróci się u nich bardzo
szybko.

 

– Nagrywanie sesji jest dużo
łatwiejsze i możliwe do zastosowania od razu, bez potrzeby dodatkowej
edukacji firm zewnętrznych czy użytkowników lokalnych
– uważa
przedstawiciel Wallixa.

Gdy przyjrzeć się bliżej ofercie PAM, widać znaczne różnice
w tym, co oferują poszczególne produkty. Z jednej strony można
znaleźć kompleksowe rozwiązania zapewniające wiele funkcji zarządzania
uprzywilejowanym dostępem, z drugiej – rozwiązania punktowe, których
zadaniem jest wypełnienie konkretnej luki w firmowym systemie
zabezpieczeń. Duża jest także rozpiętość cenowa produktów różnych dostawców.
Opisując branżę Privileged Access Management, Gartner zestawia kilkadziesiąt
firm z większymi i mniejszymi udziałami w światowym rynku.
W Polsce działa obecnie kilku producentów PAM: Balabit, CyberArk, Dell
Software, Imperva, ObserveIT, Wallix i Wheel Systems.

 

Kto potrzebuje ochrony PAM?

Zdaniem Gábora Marosvári,
product marketing managera w firmie Balabit, rozwiązania do zarządzania
uprzywilejowanym dostępem, a w szczególności do monitorowania
uprzywilejowanej aktywności użytkowników, w pierwszym rzędzie są
wykorzystywane przez duże przedsiębiorstwa, zobowiązane przepisami prawa do
przestrzegania restrykcyjnych regulacji i wymogów polityki bezpieczeństwa
IT oraz zasad compliance (np. PCI DSS, ISO 27?001 czy lokalnych rozporządzeń prawnych). Poza tym
zainteresować się nimi muszą te firmy i instytucje, które korzystają
z zewnętrznych dostawców usług IT, w tym usług w chmurze.
A także te utrzymujące skomplikowaną sieć IT, do której dostęp ma kilku
różnych administratorów. I wreszcie organizacje, które mogą być celem
zaawansowanych cyberataków ze względu na charakter swojej działalności.

Z kolei, gdy przyjrzeć się poszczególnym branżom, to widać,
że takich, które teoretycznie powinny być zainteresowane zakupem PAM-u, jest
coraz więcej. Oczywiście przoduje sektor finansowy, bo wydana przez KNF dla
banków Rekomendacja D mówi wprost, że „obowiązujące w banku zasady
zarządzania uprawnieniami powinny w szczególności uwzględniać zagrożenia
związane z nieprawidłowym wykorzystaniem uprawnień użytkowników uprzywilejowanych”.
PAM staje się niezbędny także dla firm z tak strategicznych sektorów jak
produkcja i dostawy energii czy gazu. Do grona potencjalnych klientów
należą operatorzy telekomunikacyjni, dostawcy usług IT w chmurze,
instytucje rządowe oraz zarządzający obiektami użyteczności publicznej. Ze
względu na ochronę danych osobowych zarządzaniem dostępem uprzywilejowanym
interesuje się branża medyczna. Systemy PAM są poza tym coraz bardziej
potrzebne przedsiębiorstwom, które wykorzystują outsourcing i chcą chronić
się przed wrogimi działaniami konkurencji. Przede wszystkim chodzi o duże
firmy, ale także mniejsze, choć w wypadku tych drugich barierą może być
cena. Niektóre z nich ratują się w ten sposób, że nagrywają sesje
przy użyciu darmowej aplikacji Team Viewer.

Gdy ktoś się
łączy za pomocą tego oprogramowania, uruchamia funkcję „nagraj”, a czasem na
żywo śledzi na monitorze połączenie i w razie zagrożenia rozłącza sesję. Nie
jest to jednak w żadnym razie optymalne i bezpieczne podejście
– mówi Paweł Rybczyk.

 

Lepszym sposobem na
obejście bariery cenowej może być „PAM as a Service”. Przedstawiciel
Wallixa daje przykład prowadzonego obecnie projektu, który ma działać
w modelu usługowym – kilku partnerów chce oferować rozwiązanie tej
marki klientom dysponującym tylko dwoma, trzema serwerami, przekierowując ruch
do swoich zasobów i nagrywając u siebie sesje. W tym modelu PAM
jest sprzedawany głównie w w centrach danych – oprócz hostingu klient
otrzymuje dodatkową usługę, dzięki której na specjalnym panelu może uzyskać
dostęp do kompleksowej informacji na temat każdej sesji zdalnej.

 

Nowość szansą dla partnerów

Gábor Marosvári
z Balabitu wymienia korzyści, jakich mogą spodziewać się partnerzy
sprzedający rozwiązania PAM. Po pierwsze mają oni okazję wdrażać nową
technologię oferowaną przez zaledwie kilka firm na rynku. A rynek ten ma
duży potencjał, generując roczny wzrost przychodów szacowany przez analityków
na ponad 30 proc. W tej sytuacji mogą oni liczyć na rozsądną marżę na
sprzedaży oprogramowania, a dodatkowy przychód da im implementacja usług,
które obejmują także serwisowanie. Powinni też pamiętać, że pracę
nad projektami ułatwi im możliwość skorzystania z bezpośredniego
technicznego i sprzedażowego wsparcia od dostawcy.

Rozwiązania PAM to nowy
typ produktu w obszarze security, więc dla integratorów wciąż świeży temat
do rozmów z klientami, zarówno obecnymi, jak i nowymi. Handlowiec
może dość łatwo przedstawić potencjalnemu użytkownikowi (w tym osobom
mniej technicznym) zasadę jego działania i korzyści z zastosowania.
Pomocą w sprzedaży będą na pewno pojawiające się kolejne przepisy, które
wymuszają lub rekomendują zarządzanie dostępem użytkownika uprzywilejowanego.
Mowa np. o certyfikatach ISO/COBIL, audytach wewnętrznych (sektor
publiczny) lub zbliżającym się wejściu w życie unijnej dyrektywy General
Data Protection Regulation (GDPR).

PAM i wiele innych skrótów

O tym, że rynek jest młody i zmienny, świadczy choćby
spore zamieszanie w terminologii. Bywa, że PAM jest tłumaczony jako
Privileged Account Management (zarządzanie kontami uprzywilejowanymi), ale
coraz częściej funkcjonuje jako Privileged Access Management.

Na dodatek można spotkać się z produktami lub funkcjami
– w ramach bardziej kompleksowych rozwiązań – określanymi jako
PSM (Privileged Session Management) czy PIM (Privileged Identity Management),
a nawet PUM (Privileged User Management). W szerszym ujęciu wszystkie
rozwiązania, które mają w nazwie przymiotnik „uprzywilejowane”,
funkcjonują w obszarach IdM, czyli Identity Management, bądź IAM
– Identity Access Management.

Bez względu na to, jak są nazywane, produkty PAM mają
pomagać klientom chronić zasoby i ułatwiać im utrzymanie zgodności
z regulacjami prawnymi bądź branżowymi poprzez zabezpieczanie, zarządzanie
i monitorowanie uprzywilejowanych kont oraz uzyskiwanego za ich pomocą
dostępu. Ochrona ta może obejmować różne elementy systemowe
i infrastrukturalne: od systemów operacyjnych, baz danych, middleware
i aplikacji po urządzenia sieciowe, wirtualizatory i chmurowe aplikacje
SaaS.

Artykuł PAM, czyli przywileje pod specjalnym nadzorem pochodzi z serwisu CRN.

]]>
https://crn.sarota.dev/artykuly/pam-czyli-przywileje-pod-specjalnym-nadzorem/feed/ 0