คู่มือสำหรับผู้เริ่มต้นใช้งาน Privileged Access Management

เผยแพร่แล้ว: 2019-08-21

Cyber ​​Security Ventures ประมาณการว่าความเสียหายจากอาชญากรรมทางไซเบอร์จะสูงถึง 6 ล้านล้านดอลลาร์ต่อปีภายในปี 2564 พวกเขาเรียกสิ่งนี้ว่า “hackerpocalypse” จำนวนนี้เพิ่มขึ้นเป็นสองเท่าของความเสียหายที่เกิดขึ้นในปี 2558 ที่ 3 ล้านล้านดอลลาร์ นี่เป็นภัยคุกคามระดับโลกที่ใหญ่ที่สุดต่อบริษัทต่างๆ และเป็นหนึ่งในปัญหาที่ใหญ่ที่สุดของมนุษยชาติ

สิ่งจูงใจสำหรับการโจมตีทางไซเบอร์ทางอาญานั้นมีขนาดใหญ่มากจนเกินจำนวนเงินที่ทำมาจากการค้ายาเสพติดทั่วโลกที่ผิดกฎหมาย

บัญชีผู้ใช้ที่มีสิทธิพิเศษ

บัญชีของผู้ใช้ที่มีสิทธิพิเศษมักตกเป็นเป้าหมายสำหรับการโจมตี เนื่องจากพวกเขามีสิทธิ์ที่เข้มงวดกว่า สามารถเข้าถึงข้อมูลที่เป็นความลับ และสร้างบัญชีผู้ใช้ใหม่หรือเปลี่ยนการตั้งค่าผู้ใช้

ประเภทของบัญชีที่มีสิทธิ์เข้าถึงอาจรวมถึงบัญชีผู้ดูแลระบบ บัญชีผู้ดูแลระบบโดเมน บัญชีบริการตรวจสอบสิทธิ์ บัญชีความปลอดภัยด้านไอทีฉุกเฉิน บัญชีผู้ดูแลระบบ Microsoft Active Directory บัญชีบริการคลาวด์ และบัญชี Critical-path Application Programming Interface (API)

หากบัญชีผู้ใช้ที่มีสิทธิพิเศษถูกบุกรุก ความเสียหายที่อาจเกิดขึ้นอาจรุนแรง ตัวอย่างเช่น. ความเสียหายสำหรับการละเมิด Equifax ของบัญชีประวัติเครดิตสำหรับชาวอเมริกันที่เป็นผู้ใหญ่แทบทุกคนอยู่ที่ประมาณ 4 พันล้านดอลลาร์ การจัดการการเข้าถึงแบบมีเอกสิทธิ์ใช้เพื่อลดความเสี่ยงนี้

การจัดการการเข้าถึงแบบมีสิทธิพิเศษคืออะไร?

การจัดการการเข้าถึงจะใช้กับการระบุลูกค้าเพื่อควบคุมการเข้าถึงบริการเครือข่ายของผู้ใช้ การจัดการการเข้าถึงแบบมีเอกสิทธิ์ใช้เพื่อควบคุมระดับการอนุญาตที่กำหนดเป็นนโยบายความปลอดภัยสำหรับกลุ่ม ประเภทบัญชี แอปพลิเคชัน และบุคคล ซึ่งรวมถึงการจัดการรหัสผ่าน การตรวจสอบเซสชัน การเข้าถึงสิทธิ์ของผู้จำหน่าย และการเข้าถึงข้อมูลแอปพลิเคชัน

การจัดการการเข้าถึงแบบมีสิทธิพิเศษทำงานอย่างไร

ซอฟต์แวร์ Privileged access Management (PAM) จัดเก็บข้อมูลประจำตัวของบัญชีที่มีสิทธิพิเศษไว้ในที่เก็บที่ปลอดภัยและแยกจากกันซึ่งมีการเข้ารหัสไฟล์ ที่เก็บข้อมูลเข้ารหัสแยกต่างหากช่วยให้แน่ใจว่าข้อมูลประจำตัวจะไม่ถูกขโมยหรือใช้โดยบุคคลที่ไม่ได้รับอนุญาตเพื่อเข้าถึงเครือข่ายในระดับผู้ดูแลระบบ

ระบบ PAM ที่ซับซ้อนยิ่งขึ้นไม่อนุญาตให้ผู้ใช้เลือกรหัสผ่าน แต่ตัวจัดการรหัสผ่านที่ปลอดภัยจะใช้การพิสูจน์ตัวตนแบบหลายปัจจัยเพื่อยืนยันคำขอของผู้ใช้ที่ได้รับอนุญาตที่ถูกต้องตามกฎหมาย จากนั้นจึงออกรหัสผ่านแบบใช้ครั้งเดียวทุกครั้งที่ผู้ใช้ที่เป็นผู้ดูแลระบบเข้าสู่ระบบ รหัสผ่านเหล่านี้จะหมดอายุโดยอัตโนมัติหากผู้ใช้หมดเวลา เซสชันคือ ขัดจังหวะหรือหลังจากช่วงระยะเวลาหนึ่ง

Privileged Access Management และ Active Directory

การจัดการการเข้าถึงที่มีสิทธิพิเศษของ Microsoft ทำงานร่วมกับ Active Directory Domain Services ของ Microsoft เพื่อรักษาความปลอดภัยบัญชีของผู้ดูแลระบบเครือข่ายและบัญชีอื่นๆ ด้วยสิทธิ์การเข้าถึงพิเศษ ซึ่งจะช่วยลดความเสี่ยงในการสูญเสียข้อมูลประจำตัวของผู้ใช้ที่ได้รับอนุญาตซึ่งสามารถจัดการโดเมนของบริษัทได้

ในระบบ Microsoft Active Directory PAM เป็นอินสแตนซ์เฉพาะของ Privileged Identity Management (PIM) ที่ได้รับอนุญาตจาก Microsoft Identity Manager PAM ของ Microsoft อนุญาตให้ผู้ใช้ที่ได้รับอนุญาตสร้างการควบคุมระบบ Active Directory ที่ถูกบุกรุกได้อีกครั้ง ทำได้โดยเก็บข้อมูลบัญชีของผู้ดูแลระบบไว้ในสภาพแวดล้อมที่แยกต่างหากซึ่งไม่ได้รับผลกระทบจากการโจมตีทางไซเบอร์ที่เป็นอันตราย

PAM สำหรับ Active Directory ปรับปรุงความปลอดภัย

PAM ของ Microsoft สำหรับ Active Directory ทำให้แฮกเกอร์เข้าถึงเครือข่ายโดยไม่ได้รับอนุญาตและใช้บัญชีที่มีสิทธิพิเศษในทางที่ผิดได้ยากขึ้น ภายใต้โครงการ PAM ของ Microsoft กลุ่มที่ได้รับสิทธิพิเศษจะสามารถเข้าถึงและควบคุมเซิร์ฟเวอร์คอมพิวเตอร์และแอปพลิเคชันซอฟต์แวร์ที่ทำงานข้ามโดเมนที่เชื่อมโยงหลายโดเมน

การตรวจสอบกิจกรรมเครือข่าย

กิจกรรมของกลุ่มที่ได้รับสิทธิพิเศษจะได้รับการตรวจสอบอย่างต่อเนื่องด้วยการมองเห็นที่เพิ่มขึ้นและการควบคุมการเข้าถึงที่ปรับแต่งอย่างประณีต ผู้ดูแลระบบเครือข่ายสามารถมองเห็นสิ่งที่ผู้ใช้ที่มีสิทธิพิเศษทำอยู่เสมอ การตรวจจับการเจาะเครือข่ายเกิดขึ้นแบบเรียลไทม์ สิ่งนี้ทำให้ผู้ดูแลระบบเครือข่ายมีข้อมูลเชิงลึกมากขึ้นเกี่ยวกับวิธีการใช้การเข้าถึงบัญชีที่มีสิทธิพิเศษในสภาพแวดล้อมการทำงานของเครือข่าย

แพลตฟอร์มการจัดการการเข้าถึงที่มีสิทธิพิเศษอื่นๆ

มีแพลตฟอร์มการจัดการการเข้าถึงที่มีสิทธิพิเศษมากมายให้พิจารณา Saviynt เพิ่งประกาศแพลตฟอร์มการจัดการการเข้าถึงที่มีสิทธิพิเศษใหม่สำหรับบริการคลาวด์และแอปพลิเคชันไฮบริด

ซอฟต์แวร์การจัดการการเข้าถึงของผู้ใช้ระบบคลาวด์มีคุณสมบัติด้านความปลอดภัยที่สำคัญซึ่งจำเป็นสำหรับการจัดการบริการคลาวด์ แพลตฟอร์ม PAM ที่ล้ำสมัยที่สุดทำงานร่วมกับบริการบนคลาวด์ เครือข่ายภายในองค์กร และการผสมผสานของทั้งสองอย่าง

แพลตฟอร์ม PAM ยอดนิยม

แพลตฟอร์มการจัดการการเข้าถึงที่มีสิทธิพิเศษสูงสุดที่เลือกโดยการตรวจสอบโซลูชัน ได้แก่:

  • BeyondTrust — แพลตฟอร์มนี้ทำงานได้ดีสำหรับเครือข่ายที่มีเซิร์ฟเวอร์ที่มีระบบปฏิบัติการต่างกัน รองรับการรับรองความถูกต้องด้วยการยืนยันตัวตนส่วนบุคคล (PIV) และมีคุณสมบัติอัตโนมัติที่อนุญาตให้แชร์ไฟล์บนเครือข่ายโดยใช้โปรโตคอลเครือข่ายบล็อกข้อความเซิร์ฟเวอร์ (SMB)
  • CA Technologies — แพลตฟอร์ม PAM นี้ทำงานร่วมกับระบบไฮบริดที่ใช้บริการคลาวด์และเครือข่ายภายในองค์กร บริษัทให้การสนับสนุนโครงสร้างพื้นฐานระดับโลก ระบบนี้ทำงานร่วมกับ Security Analytics, IGA และข้อมูลความปลอดภัยอื่นๆ และโซลูชันการจัดการเหตุการณ์ (SIEM) ได้เป็นอย่างดี
  • Centrify — จุดแข็งของแพลตฟอร์ม PAM นี้คือโซลูชันที่เป็นนวัตกรรมสำหรับการจัดเก็บรหัสผ่านในห้องนิรภัยที่ปลอดภัยและความสามารถในการส่งต่อ
  • CyberArk — แพลตฟอร์มนี้ได้รับการยอมรับว่าเป็นผู้นำในการลดความเสี่ยงของบัญชีที่มีสิทธิพิเศษด้วยความสามารถในการเก็บรหัสผ่านที่ยอดเยี่ยม
  • Ekran — แพลตฟอร์มนี้ใช้คอนโซลควบคุมบนเว็บสำหรับการปรับใช้ที่ต้องการรักษาความพร้อมใช้งานสูง มีการตรวจสอบกิจกรรมเครือข่ายแบบเรียลไทม์และสามารถบันทึกเซสชันการเข้าสู่ระบบของผู้ใช้ได้ เพื่อความปลอดภัยที่เพิ่มขึ้น หัวหน้างานสามารถควบคุมการเข้าถึงได้แม้ว่าจะได้รับอนุญาตแล้วก็ตาม มีการผสานรวมกับระบบตั๋วและโซลูชัน SIEM อย่างเต็มรูปแบบ
  • ManageEngine — แพลตฟอร์มนี้ทำงานได้ดีกับเครือข่ายไฮบริดคลาวด์/ในองค์กร ติดตั้งและตั้งค่าได้ง่าย องค์กรหลายแห่งใช้ข้อมูลนี้ในการย้ายจากเครือข่ายภายในองค์กรไปยังบริการบนระบบคลาวด์
  • One Identity — บริษัทนี้นำเสนอโซลูชัน PAM ที่ผู้ดูแลระบบเครือข่ายสามารถใช้ได้ภายใน และโซลูชันการเข้าถึงแบบมีสิทธิพิเศษบนคลาวด์ที่เสนอผ่านผู้ให้บริการชื่อ Balabit One Identity ซื้อ Balabit ในเดือนมกราคม 2018 เพื่อขยายโซลูชัน PAM One Identity เป็นที่นิยมในหลายประเทศเนื่องจากมีให้บริการใน 13 ภาษา โซลูชันของบริษัทมุ่งเน้นไปที่การจัดการรหัสผ่านเพื่อควบคุมการเข้าถึงที่มีสิทธิพิเศษ
  • SecureAuth — แพลตฟอร์มนี้มีความสามารถในการจัดการการเข้าถึงที่หลากหลาย ซึ่งรวมถึงซอฟต์แวร์การตรวจสอบสิทธิ์แบบหลายปัจจัยรวมกับ PAM ซอฟต์แวร์การตรวจสอบสิทธิ์แบบหลายปัจจัยช่วยขจัดความจำเป็นในการตรวจสอบรหัสผ่านที่ใช้ในการระบุตัวตนที่มีสิทธิพิเศษ
  • โซลูชัน Simeio — ระบบนี้มี Privileged Identity Management (PIM) ที่สามารถใช้เพื่อสร้างรายงานอัตโนมัติสำหรับปัญหาด้านการปฏิบัติตามข้อกำหนด ผสานรวมกับการรับรองความถูกต้องแบบหลายปัจจัยและโครงสร้างพื้นฐานการกำกับดูแลการเข้าถึงอื่นๆ PIM นำเสนอเป็นบริการที่รวมการตรวจสอบ 24/7 โดยไม่ต้องลงทุนเงินลงทุนในอุปกรณ์ไอที
  • Thycotic — ระบบนี้มีเครื่องมือการจัดการรหัสผ่านที่มีคุณสมบัติการจัดการข้อมูลประจำตัวที่แข็งแกร่งและใช้เวลาในการปรับใช้ที่รวดเร็วสำหรับการจัดการการเข้าถึงที่มีสิทธิพิเศษ
  • Xton Technologies — นี่คือระบบ PAM ระดับองค์กรราคาไม่แพง พร้อมการใช้งานและการกำหนดค่าที่ง่ายดาย ระบบมีการบำรุงรักษาต่ำและทำงานได้ดีสำหรับองค์กรทุกขนาด

การจัดการความเสี่ยงด้านความปลอดภัยในการเข้าถึงที่มีสิทธิพิเศษ

จุดเน้นส่วนใหญ่ในการรักษาความปลอดภัยทางไซเบอร์คือการป้องกันการโจมตีทางไซเบอร์ที่เป็นศัตรูซึ่งมาจากการเจาะเครือข่ายจากภายนอก อย่างไรก็ตาม การจัดการการเข้าถึงที่มีสิทธิพิเศษยังรวมถึงการจัดการความเสี่ยงด้านความปลอดภัยจากภายในด้วย

การกระทำหรือเฉยเมยของพนักงานที่ไม่พอใจหรือประมาทมักเป็นสาเหตุของการละเมิดความปลอดภัยทางไซเบอร์ที่สำคัญ อาจใช้ "วิศวกรรม" ของมนุษย์เป็นเครื่องมือเพื่อหลอกให้บุคคลเปิดเผยข้อมูลการเข้าสู่ระบบที่ปลอดภัย นี่อาจเป็นงานภายในเช่นกัน

ใครก็ตามที่ได้รับอนุญาตให้เข้าถึงบัญชีที่มีสิทธิพิเศษสามารถสร้างความเสียหายให้กับระบบเครือข่ายได้มากมาย พวกเขาสามารถเปลี่ยนแปลงการควบคุมความปลอดภัย ปรับสิทธิ์ของผู้ใช้ ใช้ทรัพยากรขององค์กรในทางที่ผิด และทำสำเนาข้อมูลที่เป็นความลับจำนวนมาก

ผู้หลอกลวงที่เข้าถึงเครือข่ายด้วยบัญชีผู้ใช้ที่มีสิทธิพิเศษซึ่งมีอำนาจในระดับสูงสามารถทำอะไรก็ได้และลบหลักฐานใดๆ ของสิ่งที่พวกเขาทำลงไป

ในการจัดการความเสี่ยงเหล่านี้ ทุกองค์กรควรปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดเหล่านี้:

  • ทำความเข้าใจขอบเขตโดยละเอียดของการเข้าถึงที่มีสิทธิพิเศษ
  • ให้สิทธิ์การเข้าถึงที่จำเป็นสำหรับผู้ใช้แต่ละคนเท่านั้น
  • ตรวจสอบกิจกรรมการเข้าถึงเครือข่ายตามเวลาจริง
  • ใช้ระบบอัตโนมัติเพื่อจัดการการควบคุมการเข้าถึงสิทธิ์
  • ควบคุมการเข้าถึงสินทรัพย์ที่สำคัญทั้งหมดอย่างเข้มงวดและเชิงรุก
  • แยกรหัสผ่านและข้อมูลลับที่สำคัญอื่นๆ ในห้องนิรภัยที่ปลอดภัยซึ่งไม่ได้รับผลกระทบจากมัลแวร์
  • ใช้ระบบที่ส่งการแจ้งเตือนระบบไปยังผู้ดูแลเครือข่ายโดยอัตโนมัติเมื่อมีกิจกรรมการเข้าถึงที่น่าสงสัยเกิดขึ้น
  • ให้ผู้บังคับบัญชาแทนที่ความสามารถในการปิดการเข้าถึงบัญชีทันที
  • บันทึกเซสชันการเข้าสู่ระบบสำหรับการตรวจสอบความปลอดภัยด้านไอที

การจัดการการเข้าถึงแบบมีเอกสิทธิ์เป็นส่วนสำคัญของระบบป้องกันเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตและการละเมิดข้อมูล อาชญากรไซเบอร์ยังคงหาวิธีใหม่ๆ ในการใช้ประโยชน์จากระบบที่มีช่องโหว่ ผู้ดูแลระบบเครือข่ายจำเป็นต้องเน้นกลยุทธ์ความปลอดภัยด้านไอทีเพื่อรวมโซลูชันที่ดีที่สุดสำหรับ PAM ที่พวกเขาสามารถปรับใช้และป้องกันทรัพย์สินที่สำคัญในเชิงรุก