A rendszergazdák és egyéb kiemelt felhasználók IT-hozzáférésének átfogó kezelése – ahogy az a sorozat korábbi cikkeiből kiderül – nem egyszerű feladat. Többek között biztosítani kell a rendszergazdák jelszavainak biztonságos tárolását, az IT-rendszerekhez való automatizált és szabályozott hozzáférését, a munkameneteik felügyeletét, sőt a jogosultságaik finomhangolását is. A helyzetet tovább bonyolítja a külső IT szolgáltatók jelenléte, akik szintén magas jogosultságú, távoli hozzáférést igényelnek a belső rendszerekhez. Belátható, hogy a fentiek manuális módszerekkel vagy egy írott biztonsági szabályzattal nem magvalósítható feladatok. A lefektetett szabályokon és eljárásokon túl szükség van az azokat kikényszerítő ún. kiemelt hozzáférés-kezelő (Privileged Access Management – PAM) eszközökre is.

Egy Kiemelt hozzáférés-kezelő rendszer alapjai

A fejlett PAM megoldások csökkentik a kockázatokat, és segítik a megfelelést (compliance) azáltal, hogy a kritikus adatokhoz való privilegizált hozzáférést szabályozzák, felügyelik és elemzik. Felszámolják a rendszergazdai jelszavak cserélgetésének rossz gyakorlatát, segítenek az egyéni elszámoltathatóságban, és – természetesen – képesek a támadások gyors felismerésére és blokkolására. Mindezt úgy, hogy a termelékenységet érdemben nem befolyásolják. Nézzük meg, hogy milyen funkciókból épül fel egy fejlett PAM rendszer:

Jelszókezelés (Privileged Password Management): a jelszókezelők a felhasználói szerepek és különféle jóváhagyási eljárások alapján automatizálják és szabályozzák a jelszavak kiadását. Alapjuk általában egy titkosított jelszószéf, amely köré különböző biztonsági funkciók épülnek, mint például a jelszavak felderítése a végpontokon, azonnali vagy ütemezett jelszócsere, erős jelszavak kikényszerítése vagy kétfaktoros hitelesítés.

Munkafolyamat-kezelés (Privileged Session Management): a privilegizált munkafolyamat-kezelő eszközök szabályozzák és filmszerűen rögzítik a rendszergazdák és külsős szolgáltatók tevékenységét. A rögzített tevékenységek indexálásra kerülnek, így később visszakereshető, hogy a felhasználó milyen parancsokat adott ki, vagy mit látott a képernyőn. Ez nagyban megkönnyíti az incidensvizsgálatot, és felgyorsítja a megfelelőségi auditokat.

Viselkedés-elemzés (Privileged User Behavior Analytics): ezek az eszközök folyamatosan figyelik és elemzik a kiemelt felhasználók viselkedését, például a bejelentkezés helyét, idejét, a kiadott parancsokat, a billentyűleütések dinamikáját, az egérmozgás mintázatát, a célszervert és még vagy tucatnyi egyéb jellemzőt. Ezek alapján beazonosíthatók, hogy kik a kockázatos felhasználók és milyen gyanús tevékenységek folynak a rendszerben. Ezek az eszközök képesek észlelni a viselkedési anomáliákat, hiszen például egy azonosító-lopás esetén szignifikánsan megváltozik az adott felhasználó profilja a megszokottól.
 

Egy átfogó kiemelt hozzáférés-kezelő (PAM) rendszer felépítése

Kiemelt jogosultságok kezelése (Privilege Elevation and Delegation Management): ezzel a funkcióval konszolidálhatjuk és egységesíthetjük a rendszergazdai jogosultságokat egy komplexebb IT-környezetben. A legkisebb jogosultság elvét (least privilege principle) követve részletesen beállíthatjuk, hogy ki, melyik szerveren, milyen jogosultsági szinten dolgozhat – milyen parancsokat adhat ki és milyeneket nem. Minden rendszergazda csak olyan jogosultságokat kap, ami a napi munkájához feltétlenül szükséges, ezáltal jelentősen csökkenthetjük az IT rendszerünk támadási felületét.

Piacon elérhető megoldások

A fenti eszközök integrált alkalmazásával a vállalatok jó eséllyel indulhatnak a rendszergazdai azonosító-lopás elleni harcba. Egy PAM rendszer képes a kiemelt felhasználók tevékenységét ellenőrzött és biztonságos keretek közé szorítani, képes a gyanús tevékenységeket kiszűrni és az anomáliákról riasztást küldeni. A cikksorozat első részében felsorolt nagy adatlopási botrányok jó része megelőzhető lett volna egy fejlett PAM megoldás átgondolt bevezetésével.

A piacon elérhető PAM megoldások sokfélék. Vannak olyanok, melyek csak egy-egy részterületre (pl. jelszókezelés) fókuszálnak, és vannak komplex megoldások is. Bármelyik utat is választjuk, ezen rendszerek integrálása, bevezetése és karbantartása sokszor időigényes és költséges feladat. A Balasys által forgalmazott One Identity Safeguard fejlesztésekor a gyors ROI meghatározó szempont volt, így egy könnyen bevezethető, egyszerűen kezelhető, mégis átfogó PAM megoldás született, amelyet már több ezer vállalat használ világszerte.