Společný jmenovatel kybernetických útoků

Útok na RSA a zcizení „seeds“ pro SecurID autentizátory, NSA a Snowdenův sběr a následná publikace utajovaných informací, Sony s jejich únikem 77 milionů uživatelských účtů a 100 TB citlivých dat, 100 bank ve 30 zemích světa s miliardou jim zcizených dolarů, a tak dále, a tak dále. Co mají tyto společnosti a útoky na ně společného? Ano, všechny byly založeny na zneužití přihlašovacích údajů k tzv. privilegovaným, tedy zejména administrátorským účtům s rozsáhlými přístupovými právy napříč informačním systémem. Přestože všechny tyto společnosti již používaly nějaké řešení pro řízení životního cyklu uživatelů a jejich přístupových oprávnění, žádná z nich nebyla připravena na útok právě na privilegované a technické účty. Nejen z výše uvedených příkladů úspěšných kybernetických útoků plyne, že zavedení systému pro řízení identit (IdM) je sice základem informační bezpečnosti každé firmy a instituce, ale proti cíleným útokům na privilegované účty a jejich uživatele vás samo o sobě neochrání.

IdM vs. PAM

Pokrytí rizik spojených se zcizením a zneužitím přihlašovacích údajů k privilegovaným a technickým či servisním účtům vyžaduje víc, než jen zavedení systému IdM. Jde vlastně o jiný systém, který by sice měl být na řešení IdM navázán, ale jinak pracuje samostatně, a hlavně na jiných principech.

Systémy pro řízení přístupu k privilegovaným účtům (administrátorským/technickým/servisním) – takzvané PAM systémy („Privileged Access Management“) – totiž na rozdíl od systémů IdM neřeší zavádění/odebírání uživatelských účtů v informačním systému, ale řeší primárně oprávnění k přístupu a vlastní přístup k nim ze strany uživatelů, ať již privilegovaných, či nikoliv. Jde tedy o systém ideálně integrovaný s řešením IdM, který na bázi politik definuje, kdo a za jakých okolností má přístup k jakým účtům a co je po silném přihlášení k nim oprávněn v rámci relací dělat. Jde tedy vlastně o kombinaci trezoru hesel, silné autentizace, řízení přístupu, monitoringu a auditu jednotlivých relací, filtrování příkazů a vynucování dodržování bezpečnostních politik, a v neposlední řadě detekci rizika na bázi kontextu (kdo, co, odkud a kam). Jak to tedy funguje?

Nikdo vám neukradne to, co nemáte

Jak jsme si ukázali v úvodu, zcizení a následné zneužití přihlašovacích údajů k privilegovaným účtům vede často ke kybernetickým útokům s katastrofálními následky. Ale jak zajistit, že nikdo heslo k takovým účtům neprozradí nebo si ho nenechá ukrást přímo pod rukama? Jedině tak, že nikdo ta hesla znát nebude. Pak je nejen nevyzradí, ale nebude je potřebovat ani zadávat při procesu přihlašování na začátku relace ani při případné elevaci oprávnění (např. „sudo“).

Pro tyto účely obsahují PAM systémy tzv. „trezor“, který je šifrovaným úložištěm hesel a SSH klíčů k administrátorským a jinak privilegovaným účtům. Aktuální heslo či SSH klíč je PAM systémem v momentě požadavku uživatele k otevření relace s konkrétním účtem na pozadí vyzvednuto, dešifrováno, použito pro automatické přihlášení na pozadí a následně zapomenuto, a to vše bez jakékoliv interakce s uživatelem. Ten uvidí již jen otevřenou relaci, ve které je přihlášen pod požadovaným účtem.

Řízení životního cyklu hesel a SSH klíčů

Aby to celé mohlo fungovat i v případech, kdy je třeba na bázi bezpečnostní politiky hesla v určitých intervalech měnit, musí mít PAM systém také funkci řízení životního cyklu hesel a SSH klíčů. Jinými slovy musí být schopen na bázi plánovaných úloh i na bázi konkrétní události vygenerovat nové heslo či SSH klíč ke konkrétnímu učtu, změnit ho v cílovém systému a uložit si ho do svého „trezoru“.

Změnu hesla ke konkrétnímu účtu je také třeba vynutit v momentě, kdy je aktuální heslo z jakéhokoliv důvodu „vyzvednuto“ oprávněným uživatelem (např. pro účely lokálního přihlášení při obnově cílového systému po jeho výpadku).

Servisní a technické účty

Lidé nejsou jedinými uživateli privilegovaných účtů. Ve většině organizací mohou mít k citlivým prostředkům, například DMS systémům nebo databázím, přístup také různé skripty a aplikace. To se často realizuje zadáním přihlašovacích údajů přímo do kódu příslušné aplikace nebo skriptu, což je samozřejmě z pohledu informační bezpečnosti zcela nepřípustné. PAM systém tedy musí pokrývat i tyto případy a umožnit dynamické získávání hesel aplikacemi a skripty až v momentě jejich potřeby.

Přínosy PAM systémů

Kromě významného snížení rizik spojených se zcizením a zneužitím přihlašovacích údajů mají PAM systémy další výhody a možnosti použití, zejména:

• vynucení silné autentizace u všech administrátorů nezávisle na typu cílového systému a účtu, ke kterému se přihlašují,
• zajištění osobní zodpovědnosti jednotlivých administrátorů při přístupu ke sdíleným účtům typu admin, root nebo sysdba,
• zajištění shody s regulacemi a zákony typu ZoKB či GDPR z pohledu omezení a monitoringu přístupu k osobním údajům a jiným citlivým informacím,
• rozšíření svého IdM systému i o automatizované a procesní řízení přístupových oprávnění jednotlivých administrátorů k privilegovaným účtům.

V přípravě dalších projektů v rámci informační bezpečnosti se zamyslete, zda máte vaše interní a externí administrátory plně pod kontrolou. Pokud nikoliv, začněte se poohlížet po PAM řešení vhodném do vašeho heterogenního prostředí. Jeho výběr a implementace není na rozdíl od systémů IdM nijak komplikovaná a jeho přínosy k významnému posílení bezpečnosti vašeho informačního systému můžete využívat téměř okamžitě.

David Matějů Autor článku je Senior Security Consultant ve společnosti CA CEE, s. r. o.