IT & systémy | IT bezpečnosť
Informačná bezpečnosť: najväčším rizikom sú privilegovaní používatelia a prístupy
Riadenie privilegovaných prístupov v organizáciách
09.04.2014 | Zdroj: Infoware
Peter Pazdera, CISA, IBM Security & Privacy Consultant
Článok bol pôvodne publikovaný na portáli Infoware.
Rizikom je, ak privilegovaní používatelia svoj privilegovaný prístup zneužijú, prípadne ak dôjde k zneužitiu privilegovaného prístupu inou neoprávnenou osobou. Spomínané hrozby ešte trochu naberajú na význame v súvislosti s rôznymi modelmi prevádzkovania IT (rôzne typy sourcingu, cloud computing a pod.). Pri týchto modeloch sa stáva ešte menej zjavným, ako a kto všetko môže získať privilegovaný prístup k informáciám organizácie.
Závažnosť rizík odzrkadľujú aj pribúdajúce bezpečnostné predpisy a štandardy. Rôzne krajiny a rôzne odvetvia majú definované dosť striktné požiadavky na riadenie a ochranu pred hrozbami privilegovaných prístupov.
Pre organizácie existujú teda hneď dva dôvody, prečo si privilegované prístupy vyžadujú nemalú pozornosť. Prvotne je to riziko zneužitia a druhotne sú to predpisy a prípadné sankcie za nesúlad s požiadavkami.
Veľké množstvo informácií, veľký počet miest a spôsobov uloženia a spracovania informácií, ako aj veľký počet bodov a kanálov prístupu k informáciám si vyžaduje aj veľký počet privilegovaných prístupov na rôznych úrovniach. Vo všeobecnosti môže byť potrebné mať používateľov s privilegovaným prístupom pracujúcich v globálnom móde a geograficky dislokovaných, napr. pre nepretržité pokrytie či optimalizáciu nákladov.
Podobné predpisy týkajúce sa privilegovaných prístupov definované lokálne získavajú vďaka globálnemu dosahu IT globálny význam.
Každopádne aj v tom najjednoduchšom prípade má riadenie privilegovaných prístupov niekoľko nevyhnutných predpokladov.
Privilegovaný prístup môže mať rôzne podoby, závisí to od konkrétneho systému a jeho špecifík. Jeho najzákladnejšími typmi sú privilegované používateľské účty, potom privilegované skupiny a privilegované roly alebo iné špecifické objekty riadenia prístupu, ktoré sú asociované k účtom. Zložitejšie prípady sú privilegované prístupy definované na základe pravidiel alebo zoznamu povolených príkazov (napr. mechanizmus SUDO pri systémoch Posix). Pojem privilegovaný prístup môže byť v rôznych organizáciách definovaný rôzne. Zväčša však ide o vyhradený prístup pre úzko obmedzenú skupinu osôb, ktorý vyžaduje špecifické riadenie.
Tu sa dostávame k prvému a zrejme najdôležitejšiemu bodu pri riadení privilegovaných prístupov, ktorým je definícia privilégií. Bez vymedzenia zoznamu privilégií nemá takmer zmysel pokračovať. Definícia privilégií by správne mala byť podchytená aj v internom predpise (štandarde), ktorý je súčasťou bezpečnostnej dokumentácie. Pre rôzne systémy a platformy existujú účty, skupiny alebo objekty, ktoré sa typicky (všeobecne) považujú za privilegované, často však existujú aj ďalšie, zadefinované špecificky pre potreby danej organizácie.
S definíciou privilegovaných prístupov úzko súvisí aj definovanie vlastníka takýchto prístupov.
Okrem evidencie privilegovaných prístupov a ich vlastníkov vo forme dokumentu alebo zoznamu je dobré mať túto informáciu zaznačenú aj priamo v systémoch, kde sa objekty vytvárajú, resp. v systéme na správu (privilegovaných) prístupov.
Na efektívne vykonávanie správy privilegovaných prístupov treba mať aj jednoznačne stanoveného menovitého vlastníka (identitu) pre každý používateľský účet. Toto je princíp, ktorý platí pre všetky účty v systémoch (nielen privilegované), a to z dôvodu zabezpečenia individuálnej zodpovednosti. Samozrejme, existujú rôzne spôsoby (technické a procedurálne), ako to zabezpečiť. Každopádne je na to potrebná v prvom rade evidencia používateľov (identít). V kontexte privilegovaných prístupov hovoríme aj o riadení privilegovaných identít.
Pod pojmom riadenie privilegovaných identít možno teda rozumieť predovšetkým už spomínané nevyhnutné predpoklady (definícia a evidencia privilégií a identít) a všetky súvisiace opatrenia a procesy. Súvisiace opatrenia a procesy sa podľa použitia dajú rozdeliť do dvoch skupín - na primárne a sekundárne.
Primárne opatrenia a procesy:
- Správa identít-
používatelia (identity) musia byť jednoznačne identifikovaní a
evidovaní, aby bolo možné následne spravovať ich (privilegované)
prístupy
- Schvaľovacie WF na vytvorenie (privilegovaných)
účtov- účty s privilegovanými
prístupmi vyžadujú schválenie príslušnou autoritou
- Schvaľovacie WF na zmenu a transfer účtov, resp. privilegovaných
prístupov- zmeny účtov s privilegovanými
prístupmi alebo zmena vlastníka účtu vyžadujú schválenie príslušnou
autoritou
- WF na blokovanie a/alebo mazanie účtov s privilegovanými
prístupmi- typicky automatizované
WF zabezpečujúce blokovanie alebo odobratie privilegovaných
prístupov v požadovaných prípadoch
- WF na automatizovanú alebo manuálnu zmenu hesla- pravidelné a automatizované
zmeny hesla v súlade s politikou hesiel znižujú riziko zneužitia
- Riadenie rolí (model RBAC) a/alebo autorizácie- udržiavanie aktuálneho katalógu
rolí a autorizačných pravidiel v súlade s organizačným modelom
prispieva ku konzistencii v riadení privilegovaných identít
Sekundárne (kontrolné) opatrenia a procesy:
- Porovnanie stavu s evidenciou - porovnanie stavu účtov v systémoch
s centrálnou evidenciou účtov; proces zahŕňa detekciu neautorizovaných
zmien v systémoch a riešenie zistených rozdielov
- Pravidelná revalidácia privilegovaných prístupov- proces pravidelnej validácie
kontinuálnej potreby pridelených privilegovaných prístupov
- Pravidelný a/alebo ad hoc audit autorizácie privilegovaných
prístupov- proces kontroly
existencie platnej autorizácie na privilegované prístupy; proces
zahŕňa detekciu neautorizovaných privilegovaných prístupov a riešenie
zistených rozdielov
- Detekcia neautorizovaných prístupov v reálnom čase
(súčasť SIEM)- proces na zber
a vyhodnocovanie udalostí vrátane udalostí vedúcich k získaniu
privilegovaného prístupu; proces môže zahŕňať aj reakciu na takéto
udalosti
Uvedené sekundárne procesy zabezpečujú, že počas celého životného cyklu privilegovaných prístupov existuje platná autorizácia na pridelené privilegované prístupy. Tieto procesy môžu mať rôzne zadefinovaný priebeh podľa potrieb organizácie, ale mali by plniť uvedený hlavný účel.
Riadenie privilegovaných prístupov by nemalo význam bez možnosti získať aktuálne informácie a prehľady. Najdôležitejšie sú dva typy informácií - prehľady definovaných privilegovaných prístupov, ich vlastníkov a pridelených privilegovaných oprávnení a prehľady stavu bežiacich procesov a ich výsledkov po ukončení. Tieto informácie spolu môžu podať pohľad na celkový stav riadenia privilegovaných prístupov.
Riadenie privilegovaných prístupov nemusí byť nevyhnutne úplne automatizované či zastrešené jediným centrálnym systémom. Podľa rozsahu tejto agendy v danej organizácii sa dajú mnohé opatrenia a procesy zabezpečovať aj menej automatizovanými prostriedkami.
K výraznému zníženiu rizík, ktoré prinášajú privilegované prístupy, môže prispieť koncept Credentials vault. Tento koncept sa využíva aj na zdieľané neprivilegované prístupy tam, kde z nejakého dôvodu nemožno zabezpečiť individuálne vlastníctvo účtov, a teda individuálnu zodpovednosť. Princíp je v tom, že koncept Credentials vault zabezpečuje zvýšenú ochranu hesla k používateľskému účtu a umožní jeho použitie v danom čase iba jednému konkrétnemu používateľovi na základe explicitného vyžiadania. Naopak, po použití hesla opäť zabezpečí jeho ochranu tým, že vo svojej réžii heslo zmení a nikomu ho neposkytne až do najbližšej explicitnej žiadosti.
Koncept Credentials vault teda v prípade privilegovaných prístupov vďaka kontrole hesla pridáva zvýšenú úroveň bezpečnosti a aj možnosť detailného auditu nakladania s heslom privilegovaného účtu. V tomto smere sa dá ísť o krok ďalej a prácu privilegovaných používateľov dostať ešte viac pod kontrolu tým, že nebudú vôbec disponovať heslom k privilegovaným účtom, ale toto za nich ochráni systém ESSO (Enterprise Single Sign-On). Takýto systém potom možno použiť aj na eliminovanie niektorých ďalších nežiaducich aktivít.
Credentials vault je predovšetkým veľmi užitočný technický koncept, nenahrádza však potrebu riadenia autorizácie nad privilegovanými prístupmi (napr. cez model RBAC a schvaľovacie WF).
Takpovediac do dokonalosti možno riešenia na správu privilegovaných prístupov dotiahnuť tým, že sa toto riešenie prepojí na jednej strane s centrálnym System Inventory (napr. CMDB) a na druhej strane so systémom Enterprise Compliance Management (ECM). Takto možno docieliť, že riadenie privilegovaných prístupov bude kompletné (naprieč celým System Inventory) a uchopiteľné vďaka možným pohľadom na súlad s očakávaniami, prípadne historické trendy.
Škála možností na riadenie privilegovaných identít je teda široká. Nie všetky možnosti svojou náročnosťou zodpovedajú veľkosti a potrebám konkrétnej organizácie. Kľúčové je však dostať pod dostatočnú kontrolu aspoň uvedené nevyhnutné predpoklady, ktorými sú definícia a evidencia privilegovaných prístupov a identít. V logickom slede potom prichádzajú na rad primárne opatrenia a až následne sekundárne opatrenia a ďalšie zlepšenia riešenia. Organizácia potrebuje vždy v tomto smere nastaviť primerané ciele a cestu, ako sa k nim dopracovať v realistických krokoch.
Zvoľte si bezplatné zasielanie newslettera e-mailom alebo RSS správ a zostaňte informovaní o novom obsahu na CFO.sk.
Dajte nám vedieť Vaše pripomienky a podnety k portálu - napíšte nám na cfo@cfo.sk.