SIGURNO REŠENJE ZA PRIVILEGOVAN PRISTUP IT RESURSIMA

Bezbednost | Bezbednost-16 | Bezbednost-nova | Business&IT-br.11

Jedan od najjednostavnijih načina za uvođenje kontrole nad privilegovanim nalozima jesu tzv. PAM rešenja, koja korisnicima omogućavaju povlašćen pristup samo tamo gde je to zaista potrebno i tačno onoliko koliko treba da bi posao bio obavljen, naravno uz potpuni nadzor

Pod pritiskom regulative ili jednostavno iz potrebe da obezbede siguran i neometan rad, kompanije postepeno sve više povećavaju ulaganja u zaštitu svog digitalnog poslovanja. U fokusu ovih investicija najčešće je zaštita od spoljnih napada. Međutim, istraživanja pokazuju da su na meti napada na IT sisteme najčešće privilegovani korisnički nalozi. Ovakvi nalozi postoje u svakoj kompaniji i njima se obično ne posvećuje previše pažnje, jer su u pitanju interni korisnici čiji je zadatak često upravo briga o sigurnosti IT sistema, pa se samim tim smatraju osobama od poverenja. Ali ko su zapravo ti privilegovani korisnici u jednoj kompaniji?
Posmatrano iz tehničkog ugla, privilegovane korisnike možemo podeliti u nekoliko osnovnih grupa:

  • aplikativni nivo (baze podataka, ERP, CRM i druge poslovne aplikacije);
  • OS nivo (Windows/Linux, domen itd.);
  • virtuelizacioni nivo (VMware, Citrix itd.);
  • hardverski nivo (uređaji za skladištenje podataka, mrežni uređaji i sl.).

Ako zanemarimo tehničke razlike među ovim grupama, na kraju dana sve su to samo ljudi, koji mogu biti odgovorni i korisni radnici, lojalni kompaniji, ali isto tako i nemarni, skloni korupciji, raznim zloupotrebama i promenama raspoloženja, prouzrokovanim dešavanjima u privatnom ili poslovnom životu. Svi oni identifikuju se lozinkama, koje mogu biti ukradene, izgubljene ili jednostavno nedovoljno kompleksne, ponekad čak i identične za većinu privilegovanih naloga. Jer ko danas ima vremena i strpljenja da svako malo smišlja nove kompleksne lozinke za sisteme čiji se broj neprestano povećava? Ne treba zanemariti ni kompleksnost administriranja naloga nakon odlaska ili dolaska novih kolega, kao ni činjenicu da često više različitih ljudi koristi jedan isti nalog (root, admin i dr.).

Kontrola privilegovanih naloga

I pored svih potencijalnih unutrašnjih pretnji, najčešći motiv za uvođenje kontrole privilegovanih naloga jesu spoljni faktori: pritisak regulative, poput npr. GDPR-a, želja za potpunim uvidom i kontrolom rada spoljnih konsultanata, koji su danas neizbežni u bilo kojoj kompaniji, ili jednostavno potreba za dodatnim slojem zaštite od malvera, koji gotovo uvek teži da se dokopa privilegovanih naloga i kroz njih dobije pristup celokupnom IT sistemu kompanije, a onda za njega nema granice.

Jedan od najlakših načina za uvođenje reda i kontrole privilegovanih naloga jesu tzv. PAM rešenja (Privileged Access Management, Privileged Account Management, Privileged Session Management). Glavna zamisao iza PAM rešenja jeste uvođenog centralizovanog sigurnog mesta koje će biti zaduženo za omogućavanje privilegovane upotrebe IT resursa. Najjednostavnija paralela bila bi portirnica na ulazu u zgradu: pre ulaska u zgradu svaki posetilac mora da se prijavi obezbeđenju, identifikuje se i navede razloge svoje posete. Tek nakon toga obezbeđenje mu dodeljuje posebnu ID karticu, koja mu omogućava pristup samo određenim delovima zgrade, u skladu sa navedenim razlozima posete. Upravo na tom principu funkcioniše i PAM: omogućiti korisnicima privilegovan pristup samo tamo gde je potrebno i tačno onoliko koliko treba da se posao završi, naravno uz potpuni nadzor. Baš kao što vas i sigurnosne kamere motre dok se krećete kroz zgradu.

Komponente PAM rešenja

PAM rešenja realizuju se uglavnom kroz dve komponente: komponente za beleženje sesija i komponente za rotiranje lozinki (password rotation). Pojedina rešenja imaju i dodatak u vidu kontrole komunikacije između samih aplikacija i izmene embedded kredencijala u skriptama koje one koriste, ili dodatak u formi softvera koji vrši detekciju privilegovanih naloga i sistema na kojima se oni koriste.

Beleženje sesija podrazumeva praćenje i nadgledanje svih aktivnosti koje su preduzete u okviru sesije, što se kasnije može koristiti i za preglede aktivnosti i revizije. Takođe, ovaj sistem omogućava i kontinualni real-time pregled uspostavljene sesije, uz mogućnost njenog terminiranja.

Rotacija lozinki sprečava korišćenje starih, kompromitovanih ili naloga koje je već trebalo ukinuti. Pomoću automatske rotacije kredencijala realizuje se snažna password polisa i sprečava korišćenje identičnih lozinki na više sistema.

Pošto se na ovim sistemima čuvaju izuzetno poverljivi podaci o svim privilegovanim pristupima, svi fajlovi sa snimljenim sesijama, kao i sve lozinke, moraju se čuvati u enkriptovanom obliku. Svi eksportovani ili bekapovani podaci moraju se učitati nazad na PAM da bi pregled stare sesije bio moguć. Pojedina rešenja praktikuju i korišćenje passphrase-a, koji se mora uneti pri svakom ponovnom pokretanju računara da bi se sistemu moglo pristupiti. Passphrase štiti od mogućnosti da neko prekopira celu mašinu i da, ako zna PAM administratorski nalog, dobije pristup snimljenim sesijama.

Kako odabrati pravo rešenje?

Pri odabiru PAM rešenja treba uzeti u obzir da se ono mora lako prilagođavati promenama u kompanijskom sistemu i da treba da bude jednostavno za implementaciju. Brojne kompanije koje su uvele PAM rešenje sada se suočavaju sa situacijom da ono nije prošireno na sve kritične sisteme, pošto neka od ovih rešenja zahtevaju instalaciju agenta ili je samo dodavanje novih sistema kompleksno. Sa druge strane, zbog navike i brzine administratori često biraju da zaobiđu pristup kroz PAM, što opet narušava sigurnost. Stoga je najbolje da sama arhitektura rešenja bude lightweight i tako olakša skalabilnost, kao i da sam PAM interfejs bude jednostavan za upravljanje i korišćenje. Primećeno je da se administratori najbolje prilagođavaju PAM sistemima koji im omogućavaju korišćenje njihovih native klijenata, kao što su RDP, PuTTY, SecureCRT i dr.

Sem navedenog, ključno je da odabrano rešenje omogućava centralizovano upravljanje i da ima kvalitetno izveštavanje. Iako brošure za sva ova rešenja naglašavaju mogućnost da se u video-formatu pogleda svaki delić administratorske sesije, u realnim uslovima će malo ko imati vremena da redovno pregleda po nekoliko sati snimka. Zato je za PAM važna mogućnost definisanja kvalitetne pretrage, kao i alarma koji će nadležne obaveštavati o sumnjivim radnjama.

Pošto nijedno rešenje nije univerzalno dobro za sva okruženja, odabrali smo da u COMING-ov portfolio uvrstimo dva rešenja iz ove kategorije – Wallix i CyberArk, sa različitim pristupima problemu privilegovanih naloga u pogledu arhitekture i funkcionalnosti. COMING tim stoji vam na raspolaganju da zajedno sagledamo potrebe vaše kompanije, u vašem okruženju testiramo sve moguće scenarije i predložimo najbolje rešenje za vas.

Jasna Jović, Aleksandar Stanojević

0 %s Comments

Prosledi komentar

Vaša adresa e-pošte neće biti objavljena.

Najnoviji

Novi-NetApp-proizvodi
30th oktobar 2023,,

Novi NetApp proizvodi

Da li su vam već poznati novi NetApp sistemi C-serije, sa QLC Flash tipom ...
Detaljnije
Veštačka-inteligencija-u-našim-rukama
30th oktobar 2023,,

Veštačka inteligencija u

Broj oblasti u kojima se eksperimentiše sa različitim dostignućima veštačke ...
Detaljnije
Azure-Active-Directory--postaje-Entra-ID
30th oktobar 2023,,

Azure Active Directory

Azure Active Directory je sada Entra ID. I premda većina korisnika ovu promenu ...
Detaljnije
Transformacija-tehničkog-duga--pomoću-DevOps-tehnologija
30th oktobar 2023,,

Transformacija tehničkog duga

Najveću opasnost za organizacije ne predstavlja samo postojanje tehničkog duga, ...
Detaljnije