facebook
Tematické sekce
 
Branžové sekce
Přehledy
 
Tematické seriály
 

GDPR

General Data Protection Regulation zásadně mění zpracování osobních údajů a zavádí nové povinnosti...

články >>

 

Jak uřídit IT projekt a nezbláznit se

Užitečné tipy a nástroje pro řešení problémů řízení inovací a vývoje produktů...

články >>

 

Industry 4.0

Průmysl 4.0

Jaký vliv bude mít čtvrtá průmyslová revoluce na výrobu a výrobní firmy?

články >>

 

Komplexní svět eIDAS

O nařízení eIDAS již bylo mnoho řečeno i napsáno. A proto jediné, o čem...

články >>

 

Trendy v CRM

Systémy pro řízení vztahů se zákazníky (CRM) prochází v posledních letech výraznou změnou. Zatímco dříve...

články >>

 

Příručka úspěšného IT manažera

Dnes je řada IT manažerů opomíjena. Úspěšní bývají brouci Pytlíci a Ferdové...

články >>

 

Pokročilá analýza provozu datových sítí

V tomto čtyřdílném seriálu vás seznámíme s různými metodami a přístupy...

1. až 4. díl >>

 

Cesta k efektivnímu identity managementu

Správa identit a přístupů (IAM) je klíčová oblast pro zaručení bezpečnosti...

1. až 9. díl >>

Partneři webu
CVIS Consulting
IT SYSTEMS 9/2018 , IT Security

Privileged Access Governance

Řízení přístupu k administrátorským a jiným privilegovaným účtům

David Matějů


CA CEETaké už řídíte přístupová oprávnění pomalu každé sekretářky, ale databázoví, síťoví a systémoví administrátoři, včetně těch externích, mají pré? Tak pak se pojďte podívat, jak to elegantně a rychle vyřešit, než nastane průšvih…

Canon

Společný jmenovatel kybernetických útoků

Útok na RSA a zcizení „seeds“ pro SecurID autentizátory, NSA a Snowdenův sběr a následná publikace utajovaných informací, Sony s jejich únikem 77 milionů uživatelských účtů a 100 TB citlivých dat, 100 bank ve 30 zemích světa s miliardou jim zcizených dolarů, a tak dále, a tak dále. Co mají tyto společnosti a útoky na ně společného? Ano, všechny byly založeny na zneužití přihlašovacích údajů k tzv. privilegovaným, tedy zejména administrátorským účtům s rozsáhlými přístupovými právy napříč informačním systémem. Přestože všechny tyto společnosti již používaly nějaké řešení pro řízení životního cyklu uživatelů a jejich přístupových oprávnění, žádná z nich nebyla připravena na útok právě na privilegované a technické účty. Nejen z výše uvedených příkladů úspěšných kybernetických útoků plyne, že zavedení systému pro řízení identit (IdM) je sice základem informační bezpečnosti každé firmy a instituce, ale proti cíleným útokům na privilegované účty a jejich uživatele vás samo o sobě neochrání.

IdM vs. PAM

Pokrytí rizik spojených se zcizením a zneužitím přihlašovacích údajů k privilegovaným a technickým či servisním účtům vyžaduje víc, než jen zavedení systému IdM. Jde vlastně o jiný systém, který by sice měl být na řešení IdM navázán, ale jinak pracuje samostatně, a hlavně na jiných principech.

Systémy pro řízení přístupu k privilegovaným účtům (administrátorským/technickým/servisním) – takzvané PAM systémy („Privileged Access Management“) – totiž na rozdíl od systémů IdM neřeší zavádění/odebírání uživatelských účtů v informačním systému, ale řeší primárně oprávnění k přístupu a vlastní přístup k nim ze strany uživatelů, ať již privilegovaných, či nikoliv. Jde tedy o systém ideálně integrovaný s řešením IdM, který na bázi politik definuje, kdo a za jakých okolností má přístup k jakým účtům a co je po silném přihlášení k nim oprávněn v rámci relací dělat. Jde tedy vlastně o kombinaci trezoru hesel, silné autentizace, řízení přístupu, monitoringu a auditu jednotlivých relací, filtrování příkazů a vynucování dodržování bezpečnostních politik, a v neposlední řadě detekci rizika na bázi kontextu (kdo, co, odkud a kam). Jak to tedy funguje?

Nikdo vám neukradne to, co nemáte

Jak jsme si ukázali v úvodu, zcizení a následné zneužití přihlašovacích údajů k privilegovaným účtům vede často ke kybernetickým útokům s katastrofálními následky. Ale jak zajistit, že nikdo heslo k takovým účtům neprozradí nebo si ho nenechá ukrást přímo pod rukama? Jedině tak, že nikdo ta hesla znát nebude. Pak je nejen nevyzradí, ale nebude je potřebovat ani zadávat při procesu přihlašování na začátku relace ani při případné elevaci oprávnění (např. „sudo“).

Pro tyto účely obsahují PAM systémy tzv. „trezor“, který je šifrovaným úložištěm hesel a SSH klíčů k administrátorským a jinak privilegovaným účtům. Aktuální heslo či SSH klíč je PAM systémem v momentě požadavku uživatele k otevření relace s konkrétním účtem na pozadí vyzvednuto, dešifrováno, použito pro automatické přihlášení na pozadí a následně zapomenuto, a to vše bez jakékoliv interakce s uživatelem. Ten uvidí již jen otevřenou relaci, ve které je přihlášen pod požadovaným účtem.

Řízení životního cyklu hesel a SSH klíčů

Aby to celé mohlo fungovat i v případech, kdy je třeba na bázi bezpečnostní politiky hesla v určitých intervalech měnit, musí mít PAM systém také funkci řízení životního cyklu hesel a SSH klíčů. Jinými slovy musí být schopen na bázi plánovaných úloh i na bázi konkrétní události vygenerovat nové heslo či SSH klíč ke konkrétnímu učtu, změnit ho v cílovém systému a uložit si ho do svého „trezoru“.

Změnu hesla ke konkrétnímu účtu je také třeba vynutit v momentě, kdy je aktuální heslo z jakéhokoliv důvodu „vyzvednuto“ oprávněným uživatelem (např. pro účely lokálního přihlášení při obnově cílového systému po jeho výpadku).

Servisní a technické účty

Lidé nejsou jedinými uživateli privilegovaných účtů. Ve většině organizací mohou mít k citlivým prostředkům, například DMS systémům nebo databázím, přístup také různé skripty a aplikace. To se často realizuje zadáním přihlašovacích údajů přímo do kódu příslušné aplikace nebo skriptu, což je samozřejmě z pohledu informační bezpečnosti zcela nepřípustné. PAM systém tedy musí pokrývat i tyto případy a umožnit dynamické získávání hesel aplikacemi a skripty až v momentě jejich potřeby.

Přínosy PAM systémů

Kromě významného snížení rizik spojených se zcizením a zneužitím přihlašovacích údajů mají PAM systémy další výhody a možnosti použití, zejména:

  • vynucení silné autentizace u všech administrátorů nezávisle na typu cílového systému a účtu, ke kterému se přihlašují,
  • zajištění osobní zodpovědnosti jednotlivých administrátorů při přístupu ke sdíleným účtům typu admin, root nebo sysdba,
  • zajištění shody s regulacemi a zákony typu ZoKB či GDPR z pohledu omezení a monitoringu přístupu k osobním údajům a jiným citlivým informacím,
  • rozšíření svého IdM systému i o automatizované a procesní řízení přístupových oprávnění jednotlivých administrátorů k privilegovaným účtům.

V přípravě dalších projektů v rámci informační bezpečnosti se zamyslete, zda máte vaše interní a externí administrátory plně pod kontrolou. Pokud nikoliv, začněte se poohlížet po PAM řešení vhodném do vašeho heterogenního prostředí. Jeho výběr a implementace není na rozdíl od systémů IdM nijak komplikovaná a jeho přínosy k významnému posílení bezpečnosti vašeho informačního systému můžete využívat téměř okamžitě.

David Matějů David Matějů
Autor článku je Senior Security Consultant ve společnosti CA CEE, s. r. o.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.
Datová centra


Inzerce

Vision ERP ve službě nejmodernějších technologií společnosti 3D Tech

VisionOndřejovská společnost 3D Tech spol. s r.o., která je průkopníkem 3D tisku v České republice, implementovala komplexní systém Vision ERP v letošním roce. Většinu specifických potřeb firmy včetně zakázkové výroby se podařilo pokrýt standardními funkcemi systému, díky tomu bylo nasazení softwaru rychlé a jeho přínosy se brzy projevily.

Časopis IT Systems / Odborná příloha Archiv časopisu IT Systems
IT Systems 10/
IT Systems 9/
IT Systems 7-8/
IT Systems 6/
Oborové a tematické přílohy
příloha #1 10/
příloha #1 9/
příloha #1 7-8/
příloha #1 6/
Onlio
Kalendář akcí