Sajnos egyetlen szervezetnek sincs lehetősége arra, hogy egy láthatatlan kézzel kontrollálja a kiemelt jogosultságú felhasználókat. Pedig a biztonsági incidensek és kritikus hibák veszélyétől való félelem valós, amit az is bizonyít, hogy az auditorok is kiemelt figyelmet fordítanak erre a területre. Bár egy sztenderd felhasználói fiók kompromittálódása is komoly kockázatot jelenthet, sokkal nagyobb eséllyel kerülhet a hírekbe vállalatunk, ha egy kiemelt jogosultságokkal rendelkező felhasználói fiókot szereznek meg a támadók.

Az IAM (Identity and Access Management) projektek többsége arra koncentrál, hogy megadják, karbantartsák, ellenőrizzék és szabályozzák a felhasználók hozzáféréseit a kritikus erőforrásokhoz. Ezek a projektek abban érdekeltek, hogy egyszerű és akadálytalan hozzáférést biztosítsanak egyszerre nagyszámú felhasználónak az IT-üzemeltetés minimális zavarása mellett.

Ezen túl azonban sokszor hajlamosak vagyunk megfeledkezni arról a tényről, hogy a legnagyobb veszélyforrást a kiemelt jogosultságú felhasználók jelentik az informatikai rendszerekben, ezért ez a terület külön figyelmet érdemel. Kutatások szerint a biztonsági incidensek 80 százalékában játszik szerepet privilegizált fiókok kihasználása.

Mi a baj kiemelt jogosultságokkal?

A kiemelt jogosultságok menedzsmentje (Privileged Access Management – PAM) az adminisztratív hozzáférésekkel végzett tevékenységek kontrollálását és auditálását jelenti.

A privilegizált felhasználói fiókok szolgálnak arra, hogy az egyes rendszerekben a különböző adminisztratív, karbantartási és egyéb műveletek elvégezhetőek legyenek. Ahhoz, hogy létrehozzanak egy felhasználói fiókot, új jelszót generáljanak valakinek, vagy telepítsenek egy szoftverfrissítést, ezekre a kiemelt jogosultságokra van szükség. A tipikus kiemelt jogosultságok közé tartozik például a Unix root, az Active Directory vagy az adminisztrátori hozzáférés egy adatbázishoz.

Ezek a hozzáférések azonban biztonsági szempontból több hibával is rendelkeznek.

– Teljes körű jogosultságot biztosítanak: mivel ezek a jogosultságok gyakorlatilag mindenhatóak, ha valaki megszerzi a hozzá tartozó jelszót, szinte bármit megtehet.
– Megosztottak: az összes olyan munkatárs, akinek adminisztratív feladata van az adott rendszerben, rendelkezik a hozzáféréshez szükséges azonosítóval.
– Felhasználók anonimitása: mivel akár húsz munkatárs is használhatja ugyanazt a felhasználói fiókot, nincs egyéni elszámoltathatósága a kollégáknak.
– Nem auditálhatóak: a felhasználók tevékenységének nyomon követése legjobb esetben is rendkívül nehéz, de gyakran teljesen lehetetlen.
– Nélkülözhetetlenek: nem lehet eltekinteni ezektől, ugyanis az IT csapatok, ide értve a szerződéses partnereket és szoftvergyártókat is, kiemelt jogosultságú hozzáférés nélkül nem lennének képesek ellátni a feladataikat.

Privilegizált hozzáférések menedzsmentjének kulcstényezői

A biztonsági kockázatok megszüntetéséhez tehát úgy kell kiküszöbölni ezeket a problémákat, hogy aközben ne csökkenjen az IT-osztályok munkavégzésének hatékonysága. Nézzük a legfontosabb teendőket!

1. A jelszavak megosztásának megszüntetése. A privilegizált hozzáférések megosztásának megszüntetése nagy előrelépést jelent a biztonsági kockázatok csökkentésében, azonban nem triviális a problémakör. Ahelyett, hogy megkíséreljük manuálisan kezelni a hozzáférésekkel kapcsolatos jogosultságokat és jelszavakat, válasszunk egy automatizált jelszószéf megoldást, amely ellátja a jogosultságok kiosztásának összetett feladatát. Ha egy adminisztrátornak teljes körű hozzáférésre van szüksége, a jelszószéfen keresztül tudják igényelni azt. A jelszószéf ellenőrzi a szabályzatot, és meghatározott időre adja ki a jogosultságot, amennyiben minden feltétel teljesül. A jelszó visszaadásakor az automatikusan megváltozik, és az egész folyamat naplózásra kerül. A jelszószéf választásánál fontos arra is odafigyelni, hogy olyan eszköz legyen, amely képes például az alkalmazás-alkalmazás vagy alkalmazás-adatbázis közötti kommunikációhoz használt beépített jelszavak kezelésére is. Ez ugyanis egy nagyon gyakran figyelmen kívül hagyott biztonsági rést szokott okozni a hozzáférés menedzsmentben.

2. Az alacsonyabb jogosultsági szintek kikényszerítése. Az elvégzendő adminisztratív feladatok az esetek nagy részében – legyen szó például egy új felhasználó beállításáról, jelszó visszaállításról, vagy egy biztonsági mentésről – a hozzáférés képességeinek csak kis részét indokolják. A legalacsonyabb jogosultság elve azt jelenti, hogy minden adminisztrátornak csupán annyi jogosultságot érdemes adni, amennyi az adott munkának az elvégzéséhez feltétlen szükséges.

3. A kiemelt hozzáférések auditálása. Nem elegendő csupán azt szabályozni, hogy melyik adminisztrátorok milyen jogosultságokat kapnak, hanem fontos azt is nyomon követni, hogy az adott felhasználók pontosan milyen tevékenységet végeznek a jogosultságaik birtokában. A kiemelt hozzáférésekkel végrehajtott munkafolyamatok auditálásának képessége ugyanis nem csak biztonsági, hanem compliance szempontból is rendkívül fontos. Olyan jelszómenedzsment megoldást érdemes választani, amely rendelkezik – vagy legalább hatékonyan integrálható – olyan funkcionalitással, amivel részletesen nyomon követhető a privilegizált felhasználók tevékenysége. Erre több technológiai megközelítés létezik a billentyűleütés naplózásán alapuló megoldástól az ennél fejlettebb, a teljes adminisztrációs tevékenységet akár grafikus formában is rögzíteni képes technológiákig, melyekre esetleg még gépi tanuláson alapuló viselkedéselemzési képesség is építhető.

Integrált megoldások

Ha a fenti elvek külön-külön teljesülnek, még akkor is kudarcba fulladhat egy PAM-projekt, ja az egyes funkciókat olyan megoldásokkal akarják megvalósítani, melyek nem integrálhatóak (hatékonyan) egymással. A PAM piac meghatározó magyar szállítójaként ismert Balasys, amely a One Identity disztribútoraként a teljes IAM termékpalettát lefedi a portfóliójával, a One Identity Safeguard for Privileged Passwords, Privileged Session és Privileged Analytics megoldáscsomagját ajánlja a PAM-projektek megvalósításához.

A jelentős részben Budapesten fejlesztett technológia a legszélesebb körű funkcionalitással rendelkezik a piacon. Alkalmazásával biztonságossá, ellenőrizhetővé és elemezhetővé válnak a privilegizált hozzáférések, ami lehetővé teszi a kockázatok csökkentését és elősegíti a compliance teljesítését. A Privileged Passwords teljes körű jelszómenedzsment-szolgáltatást kínál, a Privileged Session pedig képes az összes felhasználói aktivitást egyedülálló audit trail állományokba rögzíteni az összes billentyűleütés naplózása mellett. A Privileged Analytics a legfejlettebb viselkedéselemző képességgel rendelkezik, mely képes akár a gépelési dinamika, vagy az egérmozgatás karakterisztikája alapján azonosítani az egyes felhasználókat.

Tudjon meg többet a kiemelt jogosultságú felhasználók menedzsmentjéről: www.balasys.hu