Do czego służy PAM (Privileged Access Management)?

Jak wynika z danych, prawie 80% [1] naruszeń bezpieczeństwa dokonywanych jest przy pomocy kont uprzywilejowanych mających dostęp do krytycznych danych przedsiębiorstwa. W jaki sposób zminimalizować ryzyko nieautoryzowanego przyjęcia uprawnień? Pomaga w tym rozwiązanie Privileged Access Management (PAM).

Privileged Access Management to narzędzie, które pierwotnie zostało stworzone na potrzeby sektora finansowego, który najbardziej narażony był na ataki cyberprzestępców. Kluczową funkcją PAM było zabezpieczenie dostępu do kont uprzywilejowanych.

Dlaczego ochrona konta uprzywilejowanego jest tak ważna?

Konto uprzywilejowane, czyli konto super admina, umożliwia dostęp do wszystkich kluczowych systemów i konfiguracji. Jak pokazuje praktyka, zdecydowana większość poważnych naruszeń bezpieczeństwa dokonywanych jest właśnie przy wykorzystaniu konta uprzywilejowanego.
Haker, przejmując prawa do konta administratora, ma dostęp do wszystkich krytycznych procesów przedsiębiorstwa. W wielu przypadkach efektem włamania na konto uprzywilejowanie jest blokada systemu, paraliż przedsiębiorstwa i wykonywanych usług. Najlepszym przykładem tego typu działań jest atak Golden Ticket >>, który omawiałem w tym artykule: XXX.

Ochrona kont uprzywilejowanych – nieco historii

Faktem jest, że na początku XX wieku niewiele przedsiębiorstw odpowiednio zabezpieczało dostęp do kont uprzywilejowanych. Zazwyczaj cała ochrona ograniczała się do jednego, określonego hasła. W ten sposób dostęp do konta uprzywilejowanego mógł mieć każdy, który znał hasło administratora. Zdarzało się, że hasłem dostępowym do ważnego konta mogło dysponować nawet kilka osób. Przy takiej “polityce bezpieczeństwa” nietrudno było o wyciek danych…

Jednym z pierwszych kroków, które miały wpłynąć na poprawę poziomu zabezpieczeń kont uprzywilejowanych, było oprogramowania typu „Shared Account Password Management”, które pojawiło się na rynku w latach 2002-2003. Istotą tego oprogramowania było wprowadzenie super administratorów: Admina w Active Directory czy root w Linuxie. Rozwiązanie wprowadziło też spójną politykę, która określała kontrolę dostępu. Sam system pomagał bezpiecznie przechowywać hasła administracyjne w tak zwanym skarbcu. Użytkownicy otrzymywali tylko te hasła, które były im przydzielone.
SAPM, chociaż stanowi pewien krok naprzód, nie rozwiązał wszystkich problemów związanych z kontrolą dostępu. Nadal użytkownik miał bezpośredni dostęp do konta, co obniżało poziom bezpieczeństwa.

Rozbudową było wprowadzenie do systemu kolejnego elementu, czyli serwerów proxy. Serwery proxy pełniły funkcję pośrednika. Użytkownik nie musiał mieć bezpośredniego dostępu do serwera, a w ten sposób jego hasło nigdy nie zostało ujawnione. Dodatkowo serwery proxy mogły rejestrować i odtwarzać całą aktywność użytkownika. Dało to podwaliny do stworzenia oprogramowania, którego głównym zadaniem jest zarządzanie dostępem uprzywilejowanym w organizacji.

PAM – co jest?

Privileged Access Management, to rozwiązanie zarządzające całą uprzywilejowaną architekturą, zarządzanie użytkownikami, kontami oraz zdalnymi sesjami.

Nadrzędna zasada PAM, czyli minimalny dostęp

Jedną z najważniejszych zasad działania PAM jest tak zwana zasada najmniejszego dostępu (z ang. Zero Trust Access). Polega na tym, że użytkownik otrzymuje tylko te uprawnienia, które są konieczne do wymaganej pracy. W ten sposób system ogranicza uprawnienia wszystkich użytkowników, aplikacji czy systemów, a także urządzeń do poziomu minimalnego, które umożliwiają wykonywanie codziennych obowiązków.

Oznacza to również, że zdecydowana większość użytkowników w organizacji nie ma dostępu do krytycznych danych, które potencjalnie mogą być wykorzystywane podczas cyberataku.

Jakie są najważniejsze funkcje PAM?

Na rynku funkcjonuje wielu producentów oferujących narzędzia do zarządzania dostępem uprzywilejowanym. Do jednych z najpopularniejszych należą: BeyondTrust, SecureLink, Thycotic czy CyberArk lub polski produkt Fudo. Każdy PAM oferuje podobny zakres funkcji, diabeł tkwi w szczegółach.
PAM zawiera w sobie wiele narzędzi, które całościowo pozwalają na zapewnienie określonego poziomu bezpieczeństwa. Należą do nich:

• Uwierzytelnianie wieloskładnikowe (MFA) – użytkownicy, którzy chcą uzyskać dostęp do kont uprzywilejowanych muszą wykazać kilka elementów uwierzytelnienia. W wielu przypadkach administratorzy obok loginu, muszą również podać hasła jednorazowe, a także hasło biometryczne np. odcisk palca lub uwierzytelnić się głosowo.
• Menedżer dostępu, w którym przechowywane są uprawnienia i krytyczne informacje o użytkownikach
• Nagrywanie sesji użytkowników. Wszystkie sesje są nagrywane i rejestrowane, aby można było prześledzić czynności, jakie wykonuje użytkownik. W ten sposób system dysponuje zapisami aktywności i może wychwycić działanie, które np. doprowadziło do awarii.
• Dynamiczna autoryzacja. W wielu przypadkach dostęp do pewnych kont ograniczony jest ramą czasową sesji. Oznacza to, że użytkownik nie może ponownie wejść do systemu posługując się tymi samymi poświadczeniami. W każdym przypadku musi przejść ponownie cały proces autoryzacyjny.
• Zautomatyzowane udostępnianie i wyrejestrowywanie. Czasami w tradycyjnym zarządzaniu zapominamy o wyrejestrowaniu, który już nie może mieć dostępu do systemu. W przypadku systemu PAM nie ma takiej możliwości. System automatycznie wyrejestrowuje użytkowników, w ten sposób blokując im dostęp do narzędzi.
• Stacje robocze z dostępem uprzywilejowanym (ang. PAW – Privileged Access Workstation), czyli dedykowany system operacyjny wyłącznie do dostępu uprzywilejowanego.
• Centralne repozytorium – sejf. Repozytorium, czyli skarbiec to miejsce, w którym przechowywane są hasła pozwalające na korzystanie z kont uprzywilejowanych. To miejsce jest wyizolowane i odseparowane od innych przez to zmniejsza się ryzyko kradzieży tych poświadczeń.

Jakie są zalety z wykorzystania PAM?

Redukcja ryzyka wynikającego z przejęcia najwyższych uprawnień do systemów.

Wdrożenie PAM znacznie ogranicza dostęp osób trzecich do kont uprzywilejowanych. W ten sposób zmniejszamy zagrożenie atakiem ransomware takimi jak Golden Ticket itp., które mogą w ostatecznym rozrachunku zakończyć się całkowitym paraliżem przedsiębiorstwa.

Monitoring w czasie rzeczywistym.

To narzędzie umożliwia bieżącą kontrolę, kto uzyskuje dostęp do każdej sieci serwera, aplikacji czy urządzenia.
Umożliwia śledzenie prób uzyskiwania dostępu do nieautoryzowanych obszarów. Wiele narzędzi PAM bazujących na sztucznej inteligencji odpowiednio wcześniej może informować , gdy działanie jednego z użytkowników odbiega od normy.

Rozliczalność kontraktorów i wewnętrznych administratorów.

Umożliwia śledzenie czasu sesji użytkowników, co pomaga w późniejszym rozliczeniu między kontrahentami czy dostawcami wykonującymi usługi.

Zgodność z przepisami.

Rozwiązanie konieczne jest do spełnienia pewnych zgodności branżowych związane z wytycznymi i przepisami np. SOC 2, ISO 27001 czy RODO.

Oszczędność czasu.

Zdecydowana większość narzędzi PAM działa w sposób automatyczny. W ten sposób firma oszczędza czas pracy pracowników, a przez to ogranicza koszty.

Podsumowanie: dla kogo PAM?

Kto powinien pomyśleć o wdrożeniu Privileged Access Management (PAM) w swoim przedsiębiorstwie?
Każdy kto posiada konta uprzywilejowane = wszyscy.
Im bardziej rozbudowany system, tym większe niebezpieczeństwo, że jedno z niezabezpieczonych kont stanie się furtką dla cyberprzestępcy. PAM pozwala na trzymanie pod kontrolą najbardziej newralgicznych elementów systemu przez to podnosi bezpieczeństwo w całej organizacji. Stanowi dopełnienie i wsparcie do pozostałych narzędzi jak  NAC >>, next generation firewall >>, WAF >> , MFA >> , NDR >> czy SIEM >> .

Przypisy

1. The Forrester Wave: Privileged Identity Management, Q4 2018, https://www.forrester.com/report/The-Forrester-Wave-Privileged-Identity-Management-Q4-2018/RES141474 [dostęp 15.04.2022r.]