Nors privilegijuotų paskyrų saugumas – viena populiariausių kibernetinio saugumo temų, dažnai pamirštama, kad privilegijuoti naudotojai tai ne tik IT administratoriai, turintys prieigą prie visų veiklai kritinių sistemų ir juose saugomų duomenų, bet apskritai bet kuris darbuotojas, turintis teises prisijungti ir atlikti įvairius pakeitimus įmonės sistemose, vykdyti finansinius mokėjimus, teikti pasiūlymus pirkimuose ir kt.
Pavyzdžiui, marketingo skyrius administruoja jūsų įmonės socialinius tinklus, o buhalteriai – finansinių duomenų ir apskaitos sistemas. Lietuvoje vykusių kibernetinio saugumo incidentų patirtis rodo, kad ir šie darbuotojai gali būti nelojalūs, o įsilaužėliai pirmiausia taikosi būtent į jų prisijungimo duomenis.
Bendri slaptažodžiai – patogu, bet pavojinga
Susidomėjimas privilegijuotų paskyrų administravimo problemomis kilo atkreipus dėmesį į paplitusius ir daugelyje organizacijų įsišaknijusius IT administratorių įpročius dalytis bendrais slaptažodžiais jungiantis prie sistemų, IT įrangos, debesijos paslaugų ir t. t.
Vėliau pastebėta, kad panašius slaptažodžių saugojimo įpročius turi ir kiti įmonės specialistai. Taip atsiranda visam skyriui ar pareigoms bendras prisijungimas prie socialinių tinklų, vidinių sistemų, internetu pasiekiamų SaaS programų ir t. t., o tai kelia ne ką mažesnę grėsmę. Kai kada situacija net dar blogesnė: prisijungimai prie sistemų – naudotojo vardas ir slaptažodis – „tradiciškai“ saugomi visiems pasiekiamoje vietoje, kad bet kuris darbuotojas galėtų su jais prisijungti.
Kai kada situacija net dar blogesnė: prisijungimai prie sistemų – naudotojo vardas ir slaptažodis – „tradiciškai“ saugomi visiems pasiekiamoje vietoje, kad bet kuris darbuotojas galėtų su jais prisijungti.
Viena vertus, tokios praktikos neabejotinai patogios ir padeda darbuotojams sutaupyti laiko ir nepamiršti slaptažodžių, tačiau, kita vertus, šie įpročiai – didžiausia ir lengviausiai išnaudojama grėsmė įmonės duomenimis, finansams bei reputacijai.
Įpročiai, padėję susikurti įsilaužimo technikai
Kaip pastebi „Blue Bridge“ kibernetinio saugumo ekspertas Kęstutis Meškonis, ypač aiškią grėsmę principas „kaip patogiau“ kelia kalbant apie privilegijuotas IT specialistų paskyras. Pavyzdžiui, neretai IT administratoriai įpranta su tais pačiais slaptažodžiai jungtis prie visų lygių sistemų bei mašinų, o slaptažodžiai keliauja iš rankų į rankas ir nekeičiami metų metais. Specialistas neslepia, kad net teko susidurti su situacija, kai prisijungimai prie administratorių paskyrų buvo nekeičiami dešimtmečiais.
Ydingi slaptažodžių administravimo įpročiai yra tokie gajūs ir dažni, kad padėjo susikurti populiariai „horizontalaus judėjimo“ įsilaužimo technikai.
Šie ydingi slaptažodžių administravimo įpročiai yra tokie gajūs ir dažni, kad padėjo susikurti populiariai „horizontalaus judėjimo“ įsilaužimo technikai, kai įsilaužėlis, naudodamasis vogtais kredencialais, gali greitai ir nepastebimai judėti iš vienos sistemos į kitą, vogti kitus kredencialus, turinčius dar aukštesnes prieigos teises ir tokiu būdu plėsti savo nelegalią prieigą. Kaip pabrėžia K. Meškonis, šis įsilaužimo būdas nebūtų įmanomas, jeigu visos paskyros turėtų unikalius slaptažodžius.
Sprendimas, galintis pakeisti slaptažodžių kultūrą
Slaptažodžių ir kitų prisijungimo duomenų, vadinamų kredencialų, saugojimo įpročiai – dalis bendresnės kultūros, todėl spręsti šią problemą reikėtų kompleksiškai. Pavyzdžiui, ieškant įrankių, kurie paskatintų keisti įpročius arba panaikintų daugiausiai laiko atimančius slaptažodžių saugumo žingsnius.
Kaip pastebi „Blue Bridge“ Infrastruktūros valdymo sprendimų skyriaus vadovas Algirdas Lunys, tokiu sprendimu vis dažniau tampa privilegijuotų prieigų valdymas (angl. Privileged access management (PAM)). PAM kategorijos sprendimai – tai centralizuotos slaptažodžių ir kitų identifikacijos duomenų saugojimo sistemos, kurios pasižymi universalumu. Tai reiškia, kad PAM padeda neapsunkinant darbuotojų kasdienio darbo užtikrinti jų saugumą, veiksmų matomumą ir kontrolę.
PAM padeda neapsunkinant darbuotojų kasdienio darbo užtikrinti jų saugumą, veiksmų matomumą ir kontrolę.
„Net geriausia slaptažodžių politika dažniausiai neveikia susidūrus su žmogiškuoju faktoriumi. Reikalavimas reguliariai atnaujinti slaptažodžius ir užtikrinti jų sudėtingumą daugeliui darbuotojų, tarp jų ir IT administratoriams, nėra patogus, todėl jo nesilaikoma. Su PAM ši problema išsprendžiama – slaptažodžių rotacija gali vykti automatiškai, užtikrinant slaptažodžių kompleksiškumą. Be to, galima pasirinkti PAM nustatymus, pagal kuriuos naudotojai net nematys slaptažodžio ir prie sistemų jungsis ne tiesiogiai, o per PAM“, – pasakoja pašnekovas ir priduria, kad tas pats principas galioja ir antrojo autentifikavimo faktoriaus reikalavimui. Jo naudojimas turint PAM – privalomas.
Didesnis IT tiekėjų veiksmų atsekamumas
Greta bazinio privilegijuotų naudotojų paskyrų apsaugos, ypatingą dėmesį PAM sprendimai leidžia skirti būtent IT administratorių paskyroms. Tokiu būdu apsisaugoma nuo grėsmių, kurias kelia neprižiūrimos prieigos prie aplikacijų, debesijos paslaugų, duomenų bazių ir įvairių administravimo tarnybų.
„PAM leidžia ne tik visapusiškai valdyti IT administratorių paskyras pagal iš anksto nustatytas taisykles (nuolat automatiškai rotuojami kompleksiniai slaptažodžiai, prisijungimas tik su dviejų faktorių autentifikavimu, darbo sesijų įrašymas ir t. t.), bet ir lengvai panaikinti privilegijuotą naudotoją vos darbuotojui išėjus iš darbo. Tad sumažinama slaptažodžių nutekėjimo galimybė ne tik dėl išorinių, bet ir vidinių grėsmių, pavyzdžiui, buvusių darbuotojų ne lojalumo“, – pabrėžia A. Lunys.
Sumažinama slaptažodžių nutekėjimo galimybė ne tik dėl išorinių, bet ir vidinių grėsmių, pavyzdžiui, buvusių darbuotojų ne lojalumo.
Įmonėms, įsigyjančioms dalį IT paslaugų iš trečiųjų šalių, PAM taip pat aktualus. „Turint PAM galima užtikrinti kur kas saugesnį samdomų sistemų kūrėjų ar IT tiekėjų prisijungimą prie jautrių sistemų, IT įrangos ir t. t. Kadangi šiuolaikiniai PAM sprendimai turi IT administratorių darbo sesijų įrašymo ir klaviatūros paspaudimų fiksavimo funkcijas, visada galima peržiūrėti, kas buvo prisijungęs prie sistemos, kokius veiksmus atliko ir t. t. Tai liečia ne tik vidinius įmonės specialistus, bet ir išorinius IT tiekėjus“, – komentuoja A. Lunys.
Svarbios ne tik funkcijos, bet ir pasitikėjimas gamintoju
Ką reikėtų turėti omeny planuojant įsigyti PAM? A. Lunys pastebi, kad PAM kategorijos sprendimų pasirinkimas išties platus – nuo atvirojo kodo iki prestižinio „Gartner“ kvadranto lyderių.
„PAM – tai vieta, kurioje, perkeltine prasme, saugome raktus nuo savo namų – privilegijuotų naudotojų slaptažodžius, todėl kad ir kokį sprendimą pasirinktumėte, svarbiausia, kad juo pasitikėtumėte“, – pabrėžia pašnekovas ir pasidalija „Blue Bridge“ patirtimi: „Pavyzdžiui, viena iš priežasčių, kodėl rekomenduojame „Thycotic“ PAM sprendimą, yra tai, kad šis JAV gamintojas turi tarptautinės IT sprendimų saugumo „The Common Criteria“ programos sertifikatą, liudijantį, kad sprendimas buvo detaliai įvertintas akredituotojoje laboratorijoje, atitinka tarptautinius standartus, yra skaidrus bei saugus ir funkciniu, ir kitais požiūriais“, – pasakoja A. Lunys ir priduria, kad atitikimas „The Common Criteria“, „The Federal Information Processing Standard 140-1“ (FIPS 140-1) ir kitokiems daugelio Vakarų šalių pripažįstamiems saugumo standartams taip pat galėtų būti vienas iš PAM pasirinkimo kriterijų.
Atitikimas daugelio Vakarų šalių pripažįstamiems saugumo standartams galėtų būti vienas iš PAM pasirinkimo kriterijų.
Antrasis žingsnis renkantis PAM, anot pašnekovo, galėtų būti pažintis su kibernetinį saugumą reguliuojančiais teisės aktais – ne tik nacionaliniais, bet ir tarptautiniais. Jų reikalavimus irgi galima naudoti kaip bazinių kriterijų sąrašą.
Kalbėdamas apie PAM diegimą, A. Lunys pasidalija įžvalga, kad nors daugumai klientų nekyla didesnių priežiūros iššūkių, vis dėlto reikėtų pasirūpinti, kad tiekėjas apmokytų jūsų IT personalą, kaip prižiūrėti PAM. „Dar geriau, jeigu tiekėjas galėtų ne tik paruošti naudojimui PAM, bet ir parengti slaptažodžių bei privilegijuotų prieigų politiką, atitinkančią kliento poreikius. Toks pasirengimas leistų sutaupyti laiko ir greitai bei paprastai startuoti su šiuo sprendimu“, – pažymi „Blue Bridge“ atstovas.