Przewodnik dla początkujących dotyczący zarządzania dostępem uprzywilejowanym
Opublikowany: 2019-08-21Cyber Security Ventures szacuje, że szkody spowodowane cyberprzestępstwami osiągną 6 bilionów dolarów rocznie do 2021 roku. Nazywają to „hackerpocalypse”. Kwota ta jest dwukrotnie wyższa od szkód poniesionych w 2015 r. w wysokości 3 bilionów dolarów. To największe globalne zagrożenie dla firm i jeden z największych problemów ludzkości.
Zachęty do cyberataków przestępczych są teraz tak ogromne, że przekroczą kwotę pieniędzy zarobionych na nielegalnym globalnym handlu narkotykami.
Konta użytkowników uprzywilejowanych
Konta uprzywilejowanych użytkowników są często celem ataków, ponieważ mają silniejsze autoryzowane uprawnienia, mogą uzyskać dostęp do poufnych informacji i tworzyć nowe konta użytkowników lub zmieniać ustawienia użytkowników.
Typy kont, które mają uprzywilejowany dostęp, mogą obejmować konta administracyjne, konta administratora domeny, konta usług uwierzytelniania, konta awaryjnego bezpieczeństwa IT, konta administratora Microsoft Active Directory, konta usług w chmurze i konta interfejsu programowania aplikacji (API) ścieżki krytycznej.
Jeśli konto uprzywilejowanego użytkownika zostanie naruszone, możliwe szkody mogą być ogromne. Na przykład. Odszkodowania za naruszenie kont historii kredytowej przez Equifax dla praktycznie wszystkich dorosłych Amerykanów oszacowano na 4 miliardy dolarów. Zarządzanie dostępem uprzywilejowanym służy do ograniczania tego ryzyka.
Co to jest zarządzanie dostępem uprzywilejowanym?
Zarządzanie dostępem jest używane z identyfikacją klienta w celu kontrolowania dostępu użytkownika do usług sieciowych. Zarządzanie dostępem uprzywilejowanym służy do kontrolowania poziomów uprawnień, które są ustawione jako zasady bezpieczeństwa dla grup, typów kont, aplikacji i osób. Obejmuje to zarządzanie hasłami, monitorowanie sesji, uprzywilejowany dostęp dostawcy oraz dostęp do danych aplikacji.
Jak działa zarządzanie dostępem uprzywilejowanym?
Oprogramowanie do zarządzania dostępem uprzywilejowanym (PAM) przechowuje poświadczenia kont uprzywilejowanych w bardzo bezpiecznym i oddzielnym repozytorium, w którym pliki są szyfrowane. Oddzielne zaszyfrowane przechowywanie pomaga upewnić się, że poświadczenia nie zostaną skradzione ani użyte przez nieuprawnioną osobę do uzyskania dostępu do sieci na poziomie administratora systemu.
Bardziej wyrafinowane systemy PAM nie pozwalają użytkownikom wybierać haseł. Zamiast tego menedżer bezpiecznego hasła wykorzystuje uwierzytelnianie wieloskładnikowe w celu zweryfikowania żądania uprawnionego autoryzowanego użytkownika, a następnie wydaje jednorazowe hasło za każdym razem, gdy administrator loguje się. Hasła te wygasają automatycznie po przekroczeniu limitu czasu użytkownika, sesja jest przerwane lub po pewnym czasie.
Zarządzanie dostępem uprzywilejowanym i Active Directory
Zarządzanie uprzywilejowanym dostępem firmy Microsoft współpracuje z usługami domenowymi Active Directory firmy Microsoft w celu zabezpieczenia kont administratorów sieci i innych kont ze specjalnymi uprawnieniami dostępu. Pomaga to zmniejszyć ryzyko utraty poświadczeń autoryzowanych użytkowników, którzy mogą zarządzać domenami firmy.
W systemie Microsoft Active Directory PAM jest specyficznym wystąpieniem Privileged Identity Management (PIM) autoryzowanym przez Microsoft Identity Manager. PAM firmy Microsoft umożliwia autoryzowanemu użytkownikowi przywrócenie kontroli nad zhakowanym systemem Active Directory. Odbywa się to poprzez przechowywanie informacji o kontach administratorów w oddzielnym środowisku, które nie jest narażone na złośliwe cyberataki.
PAM dla Active Directory poprawia bezpieczeństwo
PAM firmy Microsoft dla Active Directory utrudnia hakerom uzyskanie nieautoryzowanego dostępu do sieci i niewłaściwe wykorzystanie uprzywilejowanych kont. Zgodnie ze schematem PAM firmy Microsoft, grupy uprzywilejowane mają dostęp i kontrolę nad serwerami komputerowymi i aplikacjami, które działają w wielu połączonych domenach.
Monitorowanie aktywności sieci
Działania uprzywilejowanej grupy są stale monitorowane dzięki zwiększonej widoczności i dopracowanej kontroli dostępu. Administratorzy sieci zawsze mogą zobaczyć, co robią uprzywilejowani użytkownicy. Wykrywanie penetracji sieci odbywa się w czasie rzeczywistym. Daje to administratorom sieci lepszy wgląd w sposób korzystania z uprzywilejowanego dostępu do kont w środowisku operacyjnym sieci.
Inne uprzywilejowane platformy zarządzania dostępem
Należy wziąć pod uwagę wiele platform zarządzania dostępem uprzywilejowanym. Saviynt ogłosił niedawno nową platformę zarządzania dostępem uprzywilejowanym dla usług w chmurze i aplikacji hybrydowych.
Oprogramowanie do zarządzania dostępem użytkowników w chmurze zapewnia krytyczne funkcje bezpieczeństwa potrzebne do zarządzania usługami w chmurze. Najbardziej innowacyjne platformy PAM współpracują z usługami w chmurze, sieciami lokalnymi i kombinacjami hybrydowymi obu.
Najlepsze platformy PAM
Najlepsze platformy zarządzania dostępem uprzywilejowanym wybrane przez Solution Review to:
- BeyondTrust — ta platforma działa dobrze w sieciach, które mają serwery z różnymi systemami operacyjnymi. Obsługuje uwierzytelnianie przez weryfikację tożsamości osobistej (PIV) i ma zautomatyzowane funkcje, które umożliwiają udostępnianie plików w sieci przy użyciu protokołu sieciowego SMB (Server Message Block).
- Technologie CA — Ta platforma PAM współpracuje z systemami hybrydowymi, które korzystają z usług w chmurze i sieci lokalnych. Firma zapewnia globalną obsługę infrastruktury. System dobrze integruje się z Security Analytics, IGA i innymi rozwiązaniami do zarządzania informacjami i zdarzeniami dotyczącymi bezpieczeństwa (SIEM).
- Centrify — siłą tej platformy PAM jest jej innowacyjne rozwiązanie do bezpiecznego przechowywania haseł w skarbcu i jego możliwości przekazywania.
- CyberArk — ta platforma jest uznawana za lidera w ograniczaniu ryzyka kont uprzywilejowanych dzięki doskonałym możliwościom przechowywania haseł.
- Ekran — Ta platforma wykorzystuje internetową konsolę sterowania do wdrożeń wymagających utrzymania wysokiej dostępności. Posiada monitorowanie aktywności sieciowej w czasie rzeczywistym i może rejestrować sesje logowania użytkowników. W celu zwiększenia bezpieczeństwa przełożeni mogą kontrolować dostęp nawet po jego przyznaniu. Posiada pełną integrację z systemami biletowymi i rozwiązaniami SIEM.
- ManageEngine — ta platforma dobrze współpracuje z chmurą hybrydową/sieciami lokalnymi. Jest łatwy w instalacji i konfiguracji. Jest używany przez wiele przedsiębiorstw, które migrują z sieci lokalnych do usług opartych na chmurze.
- Jedna tożsamość — ta firma oferuje rozwiązania PAM, które mogą być używane wewnętrznie przez administratorów sieci, oraz oparte na chmurze rozwiązanie dostępu uprzywilejowanego oferowane przez dostawcę o nazwie Balabit. One Identity kupiło Balabit w styczniu 2018 roku, aby rozszerzyć swoje rozwiązania PAM. Jedna tożsamość jest popularna w wielu krajach, ponieważ jest oferowana w 13 językach. Jej rozwiązania skupiają się na zarządzaniu hasłami w celu kontrolowania uprzywilejowanego dostępu.
- SecureAuth — ta platforma oferuje szeroki zakres funkcji zarządzania dostępem, w tym oprogramowanie do uwierzytelniania wieloskładnikowego w połączeniu z PAM. Oprogramowanie do uwierzytelniania wieloskładnikowego eliminuje potrzebę uwierzytelniania hasła, które jest używane do określania uprzywilejowanej tożsamości.
- Simeio Solutions — ten system oferuje Privileged Identity Management (PIM), które można wykorzystać do zautomatyzowania tworzenia raportów dotyczących problemów ze zgodnością. Integruje się z uwierzytelnianiem wieloskładnikowym i inną infrastrukturą zarządzania dostępem. PIM jest oferowany jako usługa obejmująca monitoring 24/7 bez inwestycji kapitałowych w sprzęt IT.
- Thycotic — ten system oferuje narzędzie do zarządzania hasłami, które ma silne funkcje zarządzania tożsamością i szybkie wdrażanie zarządzania dostępem uprzywilejowanym.
- Xton Technologies — Jest to niedrogi system PAM klasy korporacyjnej z łatwą implementacją i konfiguracją. System jest łatwy w utrzymaniu i dobrze sprawdza się w przedsiębiorstwach każdej wielkości.
Zarządzanie zagrożeniami bezpieczeństwa dostępu uprzywilejowanego
Duży nacisk na cyberbezpieczeństwo kładzie się na zapobieganie wrogim cyberatakom, które wynikają z penetracji sieci z zewnątrz. Jednak zarządzanie dostępem uprzywilejowanym obejmuje również zarządzanie zagrożeniami bezpieczeństwa od wewnątrz.
Działanie lub brak działania niezadowolonego lub nieostrożnego pracownika jest często źródłem poważnego naruszenia cyberbezpieczeństwa. „Inżynieria” człowieka może być wykorzystywana jako narzędzie służące do nakłonienia osoby do ujawnienia bezpiecznych danych logowania. Może to być również praca wewnętrzna.
Każdy, kto ma autoryzowany dostęp do kont uprzywilejowanego dostępu, może wyrządzić wiele szkód w systemach sieciowych. Mogą zmieniać kontrole bezpieczeństwa, dostosowywać uprawnienia użytkowników, nadużywać zasobów organizacji i tworzyć kopie dużych ilości poufnych danych.
Nieuczciwy aktor uzyskujący dostęp do sieci z uprzywilejowanym kontem użytkownika, które ma wysoki poziom autoryzacji, może zrobić prawie wszystko, a następnie usunąć wszelkie dowody tego, co zrobił.
Aby zarządzać tymi ryzykami, każda organizacja powinna przestrzegać następujących najlepszych praktyk:
- Zapoznaj się ze szczegółowym zakresem dostępu uprzywilejowanego.
- Każdemu użytkownikowi przyznawaj tylko ściśle potrzebny dostęp.
- Monitoruj aktywność uprzywilejowanego dostępu do sieci w czasie rzeczywistym.
- Użyj automatyzacji do zarządzania uprawnieniami dostępu.
- Silnie i proaktywnie kontroluj cały dostęp do krytycznych zasobów.
- Izoluj hasła i inne ważne poufne dane w bezpiecznych skarbcach, na które nie ma wpływu złośliwe oprogramowanie.
- Użyj systemu, który automatycznie wysyła alerty systemowe do nadzorców sieci, gdy wystąpi jakakolwiek podejrzana aktywność dostępu.
- Daj przełożonym możliwość natychmiastowego zamknięcia dowolnego dostępu do konta.
- Nagrywaj sesje logowania do audytów bezpieczeństwa IT.
Zarządzanie dostępem uprzywilejowanym jest istotną częścią systemów obronnych, która zapobiega nieautoryzowanemu dostępowi i naruszeniom danych. Cyberprzestępcy wciąż szukają nowych sposobów wykorzystania podatnych na ataki systemów. Administratorzy sieci muszą skoncentrować swoją strategię bezpieczeństwa IT, aby uwzględnić najlepsze rozwiązania dla PAM, które mogą wdrożyć i aktywnie chronić krytyczne zasoby.