IT & systémy | IT bezpečnosť

Informačná bezpečnosť: najväčším rizikom sú privilegovaní používatelia a prístupy

Riadenie privilegovaných prístupov v organizáciách

Článok bol pôvodne publikovaný na portáli Infoware.

Ri­zi­kom je, ak pri­vi­le­go­va­ní pou­ží­va­te­lia svoj pri­vi­le­go­va­ný prís­tup zneu­ži­jú, prí­pad­ne ak dôj­de k zneu­ži­tiu pri­vi­le­go­va­né­ho prís­tu­pu inou neop­ráv­ne­nou oso­bou. Spo­mí­na­né hroz­by eš­te tro­chu na­be­ra­jú na vý­zna­me v sú­vis­los­ti s rôz­ny­mi mo­del­mi pre­vádz­ko­va­nia IT (rôz­ne ty­py sour­cin­gu, cloud com­pu­ting a pod.). Pri tých­to mo­de­loch sa stá­va eš­te me­nej zjav­ným, ako a kto všet­ko mô­že zís­kať pri­vi­le­go­va­ný prís­tup k in­for­má­ciám or­ga­ni­zá­cie.

Zá­važ­nosť ri­zík od­zr­kad­ľu­jú aj pri­bú­da­jú­ce bez­peč­nos­tné pred­pi­sy a štan­dar­dy. Rôz­ne kra­ji­ny a rôz­ne od­vet­via ma­jú de­fi­no­va­né dosť strik­tné po­žia­dav­ky na ria­de­nie a ochra­nu pred hroz­ba­mi pri­vi­le­go­va­ných prís­tu­pov.

Pre or­ga­ni­zá­cie exis­tu­jú te­da hneď dva dô­vo­dy, pre­čo si pri­vi­le­go­va­né prís­tu­py vy­ža­du­jú ne­ma­lú po­zor­nosť. Pr­vot­ne je to ri­zi­ko zneu­ži­tia a dru­hot­ne sú to pred­pi­sy a prí­pad­né san­kcie za ne­sú­lad s po­žia­dav­ka­mi.

Veľ­ké množ­stvo in­for­má­cií, veľ­ký po­čet miest a spô­so­bov ulo­že­nia a spra­co­va­nia in­for­má­cií, ako aj veľ­ký po­čet bo­dov a ka­ná­lov prís­tu­pu k in­for­má­ciám si vy­ža­du­je aj veľ­ký po­čet pri­vi­le­go­va­ných prís­tu­pov na rôz­nych úrov­niach. Vo všeo­bec­nos­ti mô­že byť pot­reb­né mať pou­ží­va­te­ľov s pri­vi­le­go­va­ným prís­tu­pom pra­cu­jú­cich v glo­bál­nom mó­de a geog­ra­fic­ky dis­lo­ko­va­ných, napr. pre nep­retr­ži­té pok­ry­tie či op­ti­ma­li­zá­ciu nák­la­dov.

Po­dob­né pred­pi­sy tý­ka­jú­ce sa pri­vi­le­go­va­ných prís­tu­pov de­fi­no­va­né lo­kál­ne zís­ka­va­jú vďa­ka glo­bál­ne­mu do­sa­hu IT glo­bál­ny vý­znam.

Kaž­do­pád­ne aj v tom naj­jed­no­duch­šom prí­pa­de má ria­de­nie pri­vi­le­go­va­ných prís­tu­pov nie­koľ­ko ne­vyh­nut­ných pred­pok­la­dov.

Pri­vi­le­go­va­ný prís­tup mô­že mať rôz­ne po­do­by, zá­vi­sí to od kon­krét­ne­ho sys­té­mu a je­ho špe­ci­fík. Je­ho naj­zák­lad­nej­ší­mi typ­mi sú pri­vi­le­go­va­né pou­ží­va­teľ­ské úč­ty, po­tom pri­vi­le­go­va­né sku­pi­ny a pri­vi­le­go­va­né ro­ly ale­bo iné špe­ci­fic­ké ob­jek­ty ria­de­nia prís­tu­pu, kto­ré sú aso­cio­va­né k úč­tom. Zlo­ži­tej­šie prí­pa­dy sú pri­vi­le­go­va­né prís­tu­py de­fi­no­va­né na zá­kla­de pra­vi­diel ale­bo zoz­na­mu po­vo­le­ných prí­ka­zov (napr. me­chan­izmus SU­DO pri sys­té­moch Po­six). Po­jem pri­vi­le­go­va­ný prís­tup mô­že byť v rôz­nych or­ga­ni­zá­ciách de­fi­no­va­ný rôz­ne. Zväč­ša však ide o vy­hra­de­ný prís­tup pre úz­ko ob­me­dze­nú sku­pi­nu osôb, kto­rý vy­ža­du­je špe­ci­fic­ké ria­de­nie.

Tu sa dos­tá­va­me k pr­vé­mu a zrej­me naj­dô­le­ži­tej­šie­mu bo­du pri ria­de­ní pri­vi­le­go­va­ných prís­tu­pov, kto­rým je de­fi­ní­cia pri­vi­lé­gií. Bez vy­me­dzenia zoz­na­mu pri­vi­lé­gií ne­má tak­mer zmy­sel pok­ra­čo­vať. De­fi­ní­cia pri­vi­lé­gií by správ­ne ma­la byť pod­chy­te­ná aj v inter­nom pred­pi­se (štan­dar­de), kto­rý je sú­čas­ťou bez­peč­nos­tnej do­ku­men­tá­cie. Pre rôz­ne sys­té­my a plat­for­my exis­tu­jú úč­ty, sku­pi­ny ale­bo ob­jek­ty, kto­ré sa ty­pic­ky (všeo­bec­ne) po­va­žu­jú za pri­vi­le­go­va­né, čas­to však exis­tu­jú aj ďal­šie, za­de­fi­no­va­né špe­ci­fic­ky pre pot­re­by da­nej or­ga­ni­zá­cie.

S de­fi­ní­ciou pri­vi­le­go­va­ných prís­tu­pov úz­ko sú­vi­sí aj de­fi­no­va­nie vlas­tní­ka ta­kých­to prís­tu­pov.

Ok­rem evi­den­cie pri­vi­le­go­va­ných prís­tu­pov a ich vlas­tní­kov vo for­me do­ku­men­tu ale­bo zoz­na­mu je dob­ré mať tú­to in­for­má­ciu za­zna­če­nú aj pria­mo v sys­té­moch, kde sa ob­jek­ty vy­tvá­ra­jú, resp. v sys­té­me na sprá­vu (pri­vi­le­go­va­ných) prís­tu­pov.

Na efek­tív­ne vy­ko­ná­va­nie sprá­vy pri­vi­le­go­va­ných prís­tu­pov tre­ba mať aj jed­noz­nač­ne sta­no­ve­né­ho me­no­vi­té­ho vlas­tní­ka (iden­ti­tu) pre kaž­dý pou­ží­va­teľ­ský účet. To­to je prin­cíp, kto­rý pla­tí pre všet­ky úč­ty v sys­té­moch (nie­len pri­vi­le­go­va­né), a to z dô­vo­du za­bez­pe­če­nia in­di­vi­duál­nej zod­po­ved­nos­ti. Sa­moz­rej­me, exis­tu­jú rôz­ne spô­so­by (tech­nic­ké a pro­ce­du­rál­ne), ako to za­bez­pe­čiť. Kaž­do­pád­ne je na to pot­reb­ná v pr­vom ra­de evi­den­cia pou­ží­va­te­ľov (iden­tít). V kon­texte pri­vi­le­go­va­ných prís­tu­pov ho­vo­rí­me aj o ria­de­ní pri­vi­le­go­va­ných iden­tít.

Pod poj­mom ria­de­nie pri­vi­le­go­va­ných iden­tít mož­no te­da ro­zu­mieť pre­dov­šet­kým už spo­mí­na­né ne­vyh­nut­né pred­pok­la­dy (de­fi­ní­cia a evi­den­cia pri­vi­lé­gií a iden­tít) a všet­ky sú­vi­sia­ce opat­re­nia a pro­ce­sy. Sú­vi­sia­ce opat­re­nia a pro­ce­sy sa pod­ľa pou­ži­tia da­jú roz­de­liť do dvoch sku­pín - na pri­már­ne a se­kun­dár­ne.

Pri­már­ne opat­re­nia a pro­ce­sy:

  • Sprá­va iden­tít- pou­ží­va­te­lia (iden­ti­ty) mu­sia byť jed­noz­nač­ne iden­ti­fi­ko­va­ní a evi­do­va­ní, aby bo­lo mož­né nás­led­ne spra­vo­vať ich (pri­vi­le­go­va­né) prís­tu­py
  • Schva­ľo­va­cie WF na vy­tvo­re­nie (pri­vi­le­go­va­ných) úč­tov- úč­ty s pri­vi­le­go­va­ný­mi prís­tup­mi vy­ža­du­jú schvá­le­nie prís­luš­nou auto­ri­tou
  • Schva­ľo­va­cie WF na zme­nu a tran­sfer úč­tov, resp. pri­vi­le­go­va­ných prís­tu­pov- zme­ny úč­tov s pri­vi­le­go­va­ný­mi prís­tup­mi ale­bo zme­na vlas­tní­ka úč­tu vy­ža­du­jú schvá­le­nie prís­luš­nou auto­ri­tou
  • WF na blo­ko­va­nie a/ale­bo ma­za­nie úč­tov s pri­vi­le­go­va­ný­mi prís­tup­mi- ty­pic­ky auto­ma­ti­zo­va­né WF za­bez­pe­ču­jú­ce blo­ko­va­nie ale­bo od­ob­ra­tie pri­vi­le­go­va­ných prís­tu­pov v po­ža­do­va­ných prí­pa­doch
  • WF na auto­ma­ti­zo­va­nú ale­bo ma­nuál­nu zme­nu hes­la- pra­vi­del­né a auto­ma­ti­zo­va­né zme­ny hes­la v sú­la­de s po­li­ti­kou he­siel zni­žu­jú ri­zi­ko zneu­ži­tia
  • Ria­de­nie ro­lí (mo­del RBAC) a/ale­bo auto­ri­zá­cie- udr­žia­va­nie ak­tuál­ne­ho ka­ta­ló­gu ro­lí a auto­ri­zač­ných pra­vi­diel v sú­la­de s or­ga­ni­zač­ným mo­de­lom pris­pie­va ku kon­zis­ten­cii v ria­de­ní pri­vi­le­go­va­ných iden­tít

Se­kun­dár­ne (kon­trol­né) opat­re­nia a pro­ce­sy:

  • Po­rov­na­nie sta­vu s evi­den­ciou - po­rov­na­nie sta­vu úč­tov v sys­té­moch s cen­trál­nou evi­den­ciou úč­tov; pro­ces za­hŕňa de­tek­ciu neauto­ri­zo­va­ných zmien v sys­té­moch a rie­še­nie zis­te­ných roz­die­lov
  • Pra­vi­del­ná re­va­li­dá­cia pri­vi­le­go­va­ných prís­tu­pov- pro­ces pra­vi­del­nej va­li­dá­cie kon­ti­nuál­nej pot­re­by pri­de­le­ných pri­vi­le­go­va­ných prís­tu­pov
  • Pra­vi­del­ný a/ale­bo ad hoc audit auto­ri­zá­cie pri­vi­le­go­va­ných prís­tu­pov- pro­ces kon­tro­ly exis­ten­cie plat­nej auto­ri­zá­cie na pri­vi­le­go­va­né prís­tu­py; pro­ces za­hŕňa de­tek­ciu neauto­ri­zo­va­ných pri­vi­le­go­va­ných prís­tu­pov a rie­še­nie zis­te­ných roz­die­lov
  • De­tek­cia neauto­ri­zo­va­ných prís­tu­pov v reál­nom ča­se (sú­časť SIEM)- pro­ces na zber a vy­hod­no­co­va­nie uda­los­tí vrá­ta­ne uda­los­tí ve­dú­cich k zís­ka­niu pri­vi­le­go­va­né­ho prís­tu­pu; pro­ces mô­že za­hŕňať aj reak­ciu na ta­ké­to uda­los­ti

Uve­de­né se­kun­dár­ne pro­ce­sy za­bez­pe­ču­jú, že po­čas ce­lé­ho ži­vot­né­ho cyk­lu pri­vi­le­go­va­ných prís­tu­pov exis­tu­je plat­ná auto­ri­zá­cia na pri­de­le­né pri­vi­le­go­va­né prís­tu­py. Tie­to pro­ce­sy mô­žu mať rôz­ne za­de­fi­no­va­ný prie­beh pod­ľa po­trieb or­ga­ni­zá­cie, ale ma­li by pl­niť uve­de­ný hlav­ný účel.

Ria­de­nie pri­vi­le­go­va­ných prís­tu­pov by ne­ma­lo vý­znam bez mož­nos­ti zís­kať ak­tuál­ne in­for­má­cie a preh­ľa­dy. Naj­dô­le­ži­tej­šie sú dva ty­py in­for­má­cií - preh­ľa­dy de­fi­no­va­ných pri­vi­le­go­va­ných prís­tu­pov, ich vlas­tní­kov a pri­de­le­ných pri­vi­le­go­va­ných op­ráv­ne­ní a preh­ľa­dy sta­vu bež­iacich pro­ce­sov a ich vý­sled­kov po ukon­če­ní. Tie­to in­for­má­cie spo­lu mô­žu po­dať poh­ľad na cel­ko­vý stav ria­de­nia pri­vi­le­go­va­ných prís­tu­pov.

Ria­de­nie pri­vi­le­go­va­ných prís­tu­pov ne­mu­sí byť ne­vyh­nut­ne úpl­ne auto­ma­ti­zo­va­né či za­stre­še­né je­di­ným cen­trál­nym sys­té­mom. Pod­ľa roz­sa­hu tej­to agen­dy v da­nej or­ga­ni­zá­cii sa da­jú mno­hé opat­re­nia a pro­ce­sy za­bez­pe­čo­vať aj me­nej auto­ma­ti­zo­va­ný­mi pros­tried­ka­mi.

K vý­raz­né­mu zní­že­niu ri­zík, kto­ré pri­ná­ša­jú pri­vi­le­go­va­né prís­tu­py, mô­že pris­pieť kon­cept Cre­den­tials vault. Ten­to kon­cept sa vy­uží­va aj na zdie­ľa­né nep­ri­vi­le­go­va­né prís­tu­py tam, kde z ne­ja­ké­ho dô­vo­du ne­mož­no za­bez­pe­čiť in­di­vi­duál­ne vlas­tníc­tvo úč­tov, a te­da in­di­vi­duál­nu zod­po­ved­nosť. Prin­cíp je v tom, že kon­cept Cre­den­tials vault za­bez­pe­ču­je zvý­še­nú ochra­nu hes­la k pou­ží­va­teľ­ské­mu úč­tu a umož­ní je­ho pou­ži­tie v da­nom ča­se iba jed­né­mu kon­krét­ne­mu pou­ží­va­te­ľo­vi na zá­kla­de expli­cit­né­ho vy­žia­da­nia. Nao­pak, po pou­ži­tí hes­la opäť za­bez­pe­čí je­ho ochra­nu tým, že vo svo­jej ré­žii hes­lo zme­ní a ni­ko­mu ho ne­pos­kyt­ne až do naj­bliž­šej expli­cit­nej žia­dos­ti.

Kon­cept Cre­den­tials vault te­da v prí­pa­de pri­vi­le­go­va­ných prís­tu­pov vďa­ka kon­tro­le hes­la pri­dá­va zvý­še­nú úro­veň bez­peč­nos­ti a aj mož­nosť de­tail­né­ho audi­tu nak­la­da­nia s hes­lom pri­vi­le­go­va­né­ho úč­tu. V tom­to sme­re sa dá ísť o krok ďa­lej a prá­cu pri­vi­le­go­va­ných pou­ží­va­te­ľov dos­tať eš­te viac pod kon­tro­lu tým, že ne­bu­dú vô­bec dis­po­no­vať hes­lom k pri­vi­le­go­va­ným úč­tom, ale to­to za nich ochrá­ni sys­tém ES­SO (En­terpri­se Sing­le Sign-On). Ta­ký­to sys­tém po­tom mož­no pou­žiť aj na eli­mi­no­va­nie niek­to­rých ďal­ších ne­žia­du­cich ak­ti­vít.

Cre­den­tials vault je pre­dov­šet­kým veľ­mi uži­toč­ný tech­nic­ký kon­cept, ne­nah­rá­dza však pot­re­bu ria­de­nia auto­ri­zá­cie nad pri­vi­le­go­va­ný­mi prís­tup­mi (napr. cez mo­del RBAC a schva­ľo­va­cie WF).

Tak­po­ve­diac do do­ko­na­los­ti mož­no rie­še­nia na sprá­vu pri­vi­le­go­va­ných prís­tu­pov do­tiah­nuť tým, že sa to­to rie­še­nie pre­po­jí na jed­nej stra­ne s cen­trál­nym Sys­tem In­ven­to­ry (napr. CMDB) a na dru­hej stra­ne so sys­té­mom En­terpri­se Com­plian­ce Ma­na­ge­ment (ECM). Tak­to mož­no do­cie­liť, že ria­de­nie pri­vi­le­go­va­ných prís­tu­pov bu­de kom­plet­né (na­prieč ce­lým Sys­tem In­ven­to­ry) a ucho­pi­teľ­né vďa­ka mož­ným poh­ľa­dom na sú­lad s oča­ká­va­nia­mi, prí­pad­ne his­to­ric­ké tren­dy.

Šká­la mož­nos­tí na ria­de­nie pri­vi­le­go­va­ných iden­tít je te­da ši­ro­ká. Nie všet­ky mož­nos­ti svo­jou ná­roč­nos­ťou zod­po­ve­da­jú veľ­kos­ti a pot­re­bám kon­krét­nej or­ga­ni­zá­cie. Kľú­čo­vé je však dos­tať pod dos­ta­toč­nú kon­tro­lu as­poň uve­de­né ne­vyh­nut­né pred­pok­la­dy, kto­rý­mi sú de­fi­ní­cia a evi­den­cia pri­vi­le­go­va­ných prís­tu­pov a iden­tít. V lo­gic­kom sle­de po­tom pri­chá­dza­jú na rad pri­már­ne opat­re­nia a až nás­led­ne se­kun­dár­ne opat­re­nia a ďal­šie zlep­še­nia rie­še­nia. Or­ga­ni­zá­cia pot­re­bu­je vždy v tom­to sme­re nas­ta­viť pri­me­ra­né cie­le a ces­tu, ako sa k nim dop­ra­co­vať v realis­tic­kých kro­koch.

Tento článok sa páči

0

 luďom, hlasujte:


Počet komentárov: