Dell TPAM: w obronie administratorów i reputacji firmy
W kwietniu 2015 r. wykryto włamanie do sieci amerykańskiego Departamentu Spraw Wewnętrznych, w wyniku którego intruz uzyskał poufne dane milionów osób. Działanie hakera mogło zostać udaremnione w bardzo prosty sposób – dzięki wykorzystaniu rozwiązania Dell TPAM. Gwarantuje ono całkowite odseparowanie stacji roboczej, z której nawiązywane jest połączenie, od systemów, z jakimi się ona łączy.
Według informacji amerykańskiego Departamentu Bezpieczeństwa Wewnętrznego i FBI włamywacz najpierw uzyskał nieautoryzowany dostęp do bazy danych i ponad 4,2 mln rekordów z danymi pracowników. Ale na tym nie poprzestał – w drugim wykrytym przypadku atakujący miał bezpośredni dostęp do komputerów pracowników biura, co doprowadziło do znacznie większego wycieku informacji (dane ponad 21,5 mln osób). Do przeprowadzenia największego ujawnionego cyberataku na systemy informatyczne rządu Stanów Zjednoczonych wykorzystano przejęte login i hasło pracownika kontraktowego.
Przypadek włamania do amerykańskich serwerów nie jest niczym nowym. Jedynie jego skala czyni je spektakularnym i pokazuje wielkość zagrożenia. Istnieje jednak duża szansa na wyeliminowanie takich zagrożeń. Warto zatem poznać i zastosować zalecenia oraz najlepsze praktyki, które zapewniają ograniczenie ryzyka związanego z udostępnianiem systemów pracownikom firm zewnętrznych.
Nie dopuścić obcych
Niejednokrotnie po wygaśnięciu umowy konta współpracowników nie są wyłączane ani usuwane z katalogów korporacyjnych, takich jak np. Active Directory. Równie często konta te przez długi czas pozostają przypisane do grup, dzięki którym współpracownicy mieli zapewniony dostęp do określonych zasobów. Jednak najważniejsze, że takie rozwiązania jak katalog Active Directory nie obejmują swoim mechanizmem zarządzania lokalnymi kontami znajdującymi się w systemach operacyjnych (root, administrator), bazach danych (sa, sys, sysdba) i urządzeniach sieciowych (cisco, admin). A to do nich mają dostęp współpracownicy zewnętrzni, często z wykorzystaniem tych samych reguł bezpieczeństwa, jakie stosowane są w przypadku pracowników wewnętrznych.
Tego typu konta powinny być zarządzane za pomocą rozwiązań klasy Privileged Password Management, takich jak oprogramowanie Dell TPAM. Umożliwia ono pełną kontrolę dostępu do kont tzw. superużytkowników oraz zapewnia ochronę i zarządzanie hasłami do tych, często współużytkowanych, kont. Dzięki rozwiązaniu Dell TPAM administrator zyskuje pełną kontrolę nad tym, kiedy współpracownicy korzystają z uprzywilejowanych kont, a po każdym użyciu hasła do takiego konta, może być ono zmienione na zupełnie nowe.
Zaletą tej metody zarządzania jest również zgromadzenie w jednym miejscu informacji o tym, kto, kiedy i dlaczego uzyskał dostęp do konta uprzywilejowanego. Warto zwrócić także uwagę, że wybrane rozwiązanie powinno zapewniać interfejs programistyczny API umożliwiający integrację mechanizmu zarządzania hasłami i ich repozytorium z systemami i aplikacjami wykorzystywanymi w przedsiębiorstwie.
Ograniczenie dostępu do systemów osobom trzecim
Kluczowe systemy komputerowe każdej firmy powinny być umieszczone w strefach, do których żaden pracownik – wewnętrzny czy zewnętrzny – nie ma bezpośredniego dostępu. Nawet jeżeli posiada hasła do kont istniejących w tych systemach, jego sesje powinny być nawiązywane pośrednio, za pomocą rozwiązań typu proxy, umożliwiających odseparowanie stacji roboczej od serwera. Daje to gwarancję, że do serwera nie przeniknie potencjalnie zainfekowany kod.
Typową praktyką stosowaną w celu zapewnienia bezpiecznego nawiązywania połączenia z chronionymi serwerami jest uruchamianie proxy w sieci VPN. W ten sposób serwery zostają całkowicie odizolowane, a dostęp do nich możliwy jest tylko z adresów IP przypisanych do systemu proxy, co zapewniają odpowiednio skonfigurowane reguły polityki bezpieczeństwa na zaporach ogniowych. Rozwiązanie proxy musi zapewniać wprowadzenie mechanizmów kontroli nawiązywania sesji (np. konieczności uzyskania akceptacji nawiązania połączenia przez wyznaczoną osobę), czasu trwania sesji oraz weryfikacji tożsamości osoby nawiązującej sesję.
Dell TPAM jest przykładem systemu, który łączy wszystkie wymienione cechy. Korzyścią płynącą z zastosowania tego rozwiązania jest wyeliminowanie ryzyka uruchomienia ze stacji złośliwego oprogramowania, które może zostać wykorzystane do uzyskania nieautoryzowanego dostępu do monitorowanych serwerów. TPAM zapewnia również funkcje zarządzania hasłami do kont, za pomocą których zestawiane są połączenia z rejestrowaniem sesji – po zamknięciu sesji hasło może być automatycznie zmieniane.
Dell Total Privileged Account Management to system przeznaczony do:
• zarządzania kontami współużytkowanymi oraz hasłami do kont użytkowników,
• kontroli dostępu zewnętrznych dostawców,
• kontroli dostępu programistów do środowiska produkcyjnego, deweloperskiego
i testowego,
• kontroli kont użytkowników o najwyższych uprawnieniach (Super-User Privilege
Management) wykorzystywanych w systemach operacyjnych, aplikacjach, bazach
danych oraz urządzeniach sieciowych,
• monitorowania komend wykonywanych przez użytkowników w środowisku produkcyjnym,
• kontroli i audytu wykorzystania współużytkowanych haseł administracyjnych,
• rozwiązywania problemów z wbudowanymi hasłami uprzywilejowanych kont w skryptach oraz aplikacjach.
Bezpieczny TPAM
Oprogramowanie Dell TPAM zapewnia automatyzację, kontrolę, rejestrację i zabezpieczenie całego procesu przydzielania i udostępniania pracownikom oraz współpracownikom firmy poświadczeń koniecznych do wykonywania ich obowiązków. To sprawdzone w praktyce rozwiązanie, łatwe do zintegrowania z innymi systemami w środowisku klasy enterprise. Cechuje je maksymalny nacisk na kwestie bezpieczeństwa, bardzo krótki okres wdrożenia, bogate opcje konfiguracyjne oraz przystosowanie do pracy w rozproszonych centrach przetwarzania danych.
Jeżeli administratorzy w firmie klienta deklarują, że nie spotkali się z przypadkiem ataku za pomocą „skradzionego” konta, oznacza to tylko, że zarządzany przez nich mechanizm dostępu do kont uprzywilejowanych nie został jeszcze złamany. W klasycznej infrastrukturze nie wystarczy zastosowanie narzędzia, które tylko śledzi aktywność użytkowników korzystających z dostępu do kont. Konieczne jest posiadanie rozwiązania, które nie tylko rejestruje sesje, ale także aktywnie zarządza hasłami do kont uprzywilejowanych i eliminuje ryzyko wykorzystania ich do włamania. Niestety, każda firma powinna założyć, że jest stale narażona na atak i bez mechanizmów ochrony w każdej chwili może stać się jego ofiarą.
Dystrybutorem oprogramowania Dell Software jest wrocławska firma QuestDystrybucja. Jako oficjalny Partner Wsparcia Technicznego Dell Softwarei Value Added Distributor od ponad dziesięciu lat oferuje rozwiązania wspierające zarządzanie środowiskiem IT tego producenta. Quest Dystrybucja zajmuje się zarówno sprzedażą licencji i odnowy pomocy technicznej, jak też zapewnia wsparcie w zakresie implementacji i wykorzystania oferowanego oprogramowania. Inżynierowie dystrybutora wspierają partnerów w projektowaniu i wdrażaniu systemów zarządzania kontami uprzywilejowanymi (PAM) oraz tożsamością i dostępem (IAM). Mają wieloletnie praktyczne doświadczenie zebrane podczas pełnienia obowiązków architektów i analityków systemów oraz bezpośredniego udziału we wdrażaniu systemów zarządzania bezpieczeństwem dostępu do informacji oraz infrastruktury klucza publicznego (PKI).
Kradzież danych ponad 20 mln osób
9 lipca br. administracja prezydenta Stanów Zjednoczonych ujawniła, że prywatność ponad 21,5 mln osób została naruszona w efekcie spektakularnego włamania do federalnych systemów informatycznych, o wiele bardziej groźnego w skutkach, niż początkowo sądzono. Wynikiem incydentu była kradzież numerów ubezpieczenia społecznego (Social Security Numbers, odpowiednika polskiego PESEL-u), wzorów odcisków palców, adresów zamieszkania, historii chorób i innych prywatnych informacji ponad 19,7 mln obywateli (chodzi o osoby, które podlegały procedurom weryfikowania przez urzędników w przypadku ubiegania się o pracę w administracji prezydenta) oraz ponad 1,8 mln danych ich bliskich i znajomych. Według redaktorów „New York Times” kradzież ta miała związek z innym głośnym incydentem, w którym przestępcy zdobyli dane ponad 4,2 mln pracowników federalnych.
W obu przypadkach stwierdzono, że haker uzyskał dostęp do systemów informatycznych dzięki temu, że zdobył i wykorzystał login i hasło pracownika zewnętrznego.
Dodatkowe informacje:
Mariusz Przybyła,
konsultant IdM, Quest Dystrybucja,
Artykuł powstał we współpracy z firmami Dell Software i Quest Dystrybucja.
Podobne artykuły
Komputronik partnerem Dell na poziomie Titanium!
Komputronik Biznes dołącza do elitarnego grona Tytanowych Partnerów Dell Technologies. To prestiżowe wyróżnienie posiada zaledwie kilkanaście firm w Polsce.
Wszechobecne dane źródłem kłopotów
Cykl życia danych nigdy wcześniej nie był bardziej złożony. Powodem jest nie tylko ich ciągły przyrost, ale również „przemieszczanie się” po wielu różnych środowiskach.
Bezpieczeństwo infrastruktury krytycznej
Ochrona infrastruktury krytycznej zależy nie tylko od oceny ryzyka cyberzagrożeń dla jej integralności, znajomości wektorów ataku i zapewnienia bezpieczeństwa sieci informatycznej. Trzeba brać pod uwagę także awarie sprzętu, ryzyko błędu ludzkiego, klęski żywiołowe oraz przerwy w dostawie prądu.