Jak wynika z danych, prawie 80% [1] naruszeń bezpieczeństwa dokonywanych jest przy pomocy kont uprzywilejowanych mających dostęp do krytycznych danych przedsiębiorstwa. W jaki sposób zminimalizować ryzyko nieautoryzowanego przyjęcia uprawnień? Pomaga w tym rozwiązanie Privileged Access Management (PAM).
Privileged Access Management to narzędzie, które pierwotnie zostało stworzone na potrzeby sektora finansowego, który najbardziej narażony był na ataki cyberprzestępców. Kluczową funkcją PAM było zabezpieczenie dostępu do kont uprzywilejowanych.
Konto uprzywilejowane, czyli konto super admina, umożliwia dostęp do wszystkich kluczowych systemów i konfiguracji. Jak pokazuje praktyka, zdecydowana większość poważnych naruszeń bezpieczeństwa dokonywanych jest właśnie przy wykorzystaniu konta uprzywilejowanego.
Haker, przejmując prawa do konta administratora, ma dostęp do wszystkich krytycznych procesów przedsiębiorstwa. W wielu przypadkach efektem włamania na konto uprzywilejowanie jest blokada systemu, paraliż przedsiębiorstwa i wykonywanych usług. Najlepszym przykładem tego typu działań jest atak Golden Ticket >>, który omawiałem w tym artykule: XXX.
Faktem jest, że na początku XX wieku niewiele przedsiębiorstw odpowiednio zabezpieczało dostęp do kont uprzywilejowanych. Zazwyczaj cała ochrona ograniczała się do jednego, określonego hasła. W ten sposób dostęp do konta uprzywilejowanego mógł mieć każdy, który znał hasło administratora. Zdarzało się, że hasłem dostępowym do ważnego konta mogło dysponować nawet kilka osób. Przy takiej “polityce bezpieczeństwa” nietrudno było o wyciek danych…
Jednym z pierwszych kroków, które miały wpłynąć na poprawę poziomu zabezpieczeń kont uprzywilejowanych, było oprogramowania typu „Shared Account Password Management”, które pojawiło się na rynku w latach 2002-2003. Istotą tego oprogramowania było wprowadzenie super administratorów: Admina w Active Directory czy root w Linuxie. Rozwiązanie wprowadziło też spójną politykę, która określała kontrolę dostępu. Sam system pomagał bezpiecznie przechowywać hasła administracyjne w tak zwanym skarbcu. Użytkownicy otrzymywali tylko te hasła, które były im przydzielone.
SAPM, chociaż stanowi pewien krok naprzód, nie rozwiązał wszystkich problemów związanych z kontrolą dostępu. Nadal użytkownik miał bezpośredni dostęp do konta, co obniżało poziom bezpieczeństwa.
Rozbudową było wprowadzenie do systemu kolejnego elementu, czyli serwerów proxy. Serwery proxy pełniły funkcję pośrednika. Użytkownik nie musiał mieć bezpośredniego dostępu do serwera, a w ten sposób jego hasło nigdy nie zostało ujawnione. Dodatkowo serwery proxy mogły rejestrować i odtwarzać całą aktywność użytkownika. Dało to podwaliny do stworzenia oprogramowania, którego głównym zadaniem jest zarządzanie dostępem uprzywilejowanym w organizacji.
Privileged Access Management, to rozwiązanie zarządzające całą uprzywilejowaną architekturą, zarządzanie użytkownikami, kontami oraz zdalnymi sesjami.
Jedną z najważniejszych zasad działania PAM jest tak zwana zasada najmniejszego dostępu (z ang. Zero Trust Access). Polega na tym, że użytkownik otrzymuje tylko te uprawnienia, które są konieczne do wymaganej pracy. W ten sposób system ogranicza uprawnienia wszystkich użytkowników, aplikacji czy systemów, a także urządzeń do poziomu minimalnego, które umożliwiają wykonywanie codziennych obowiązków.
Oznacza to również, że zdecydowana większość użytkowników w organizacji nie ma dostępu do krytycznych danych, które potencjalnie mogą być wykorzystywane podczas cyberataku.
Na rynku funkcjonuje wielu producentów oferujących narzędzia do zarządzania dostępem uprzywilejowanym. Do jednych z najpopularniejszych należą: BeyondTrust, SecureLink, Thycotic czy CyberArk lub polski produkt Fudo. Każdy PAM oferuje podobny zakres funkcji, diabeł tkwi w szczegółach.
PAM zawiera w sobie wiele narzędzi, które całościowo pozwalają na zapewnienie określonego poziomu bezpieczeństwa. Należą do nich:
Wdrożenie PAM znacznie ogranicza dostęp osób trzecich do kont uprzywilejowanych. W ten sposób zmniejszamy zagrożenie atakiem ransomware takimi jak Golden Ticket itp., które mogą w ostatecznym rozrachunku zakończyć się całkowitym paraliżem przedsiębiorstwa.
To narzędzie umożliwia bieżącą kontrolę, kto uzyskuje dostęp do każdej sieci serwera, aplikacji czy urządzenia.
Umożliwia śledzenie prób uzyskiwania dostępu do nieautoryzowanych obszarów. Wiele narzędzi PAM bazujących na sztucznej inteligencji odpowiednio wcześniej może informować , gdy działanie jednego z użytkowników odbiega od normy.
Umożliwia śledzenie czasu sesji użytkowników, co pomaga w późniejszym rozliczeniu między kontrahentami czy dostawcami wykonującymi usługi.
Rozwiązanie konieczne jest do spełnienia pewnych zgodności branżowych związane z wytycznymi i przepisami np. SOC 2, ISO 27001 czy RODO.
Zdecydowana większość narzędzi PAM działa w sposób automatyczny. W ten sposób firma oszczędza czas pracy pracowników, a przez to ogranicza koszty.
Kto powinien pomyśleć o wdrożeniu Privileged Access Management (PAM) w swoim przedsiębiorstwie?
Każdy kto posiada konta uprzywilejowane = wszyscy.
Im bardziej rozbudowany system, tym większe niebezpieczeństwo, że jedno z niezabezpieczonych kont stanie się furtką dla cyberprzestępcy. PAM pozwala na trzymanie pod kontrolą najbardziej newralgicznych elementów systemu przez to podnosi bezpieczeństwo w całej organizacji. Stanowi dopełnienie i wsparcie do pozostałych narzędzi jak NAC >>, next generation firewall >>, WAF >> , MFA >> , NDR >> czy SIEM >> .
Zapraszam do kontaktu telefonicznego ze mną pod numerem +48 515 135 478 lub mailowego pod adresem pt@sebitu.pl . Wybierzemy najlepszą opcję pod względem jakości, ceny i wymagań funkcjonalnych.
Przypisy