Wdrażając rozwiązanie PAM, osoby odpowiedzialne za cyberbezpieczeństwo szybko zapewnią przedsiębiorstwu kontrolę nad uprzywilejowanym dostępem. Ograniczą w ten sposób ryzyko wystąpienia ataku i innych incydentów związanych z naruszeniem bezpieczeństwa. Uprawnienia związane z dostępem dotyczą wielu obszarów – kont administracyjnych, systemowych i serwisowych, kontenerów, urządzeń i oprogramowania. Dlatego należy unikać przyznawania użytkownikom praw administratora i konieczne jest wprowadzenie przemyślanego modelu operacyjnego, obejmującego cały dostęp uprzywilejowany.

Kilka ważnych pytań

Najważniejszym celem każdego CISO (Chief Information Security Officera) jest ograniczenie wpływu wszelkich form naruszenia bezpieczeństwa na przedsiębiorstwo. Teoretycznie najlepiej byłoby, gdyby wszystkie miejsca, w których mogą pojawić się luki w ochronie, były przez cały czas zabezpieczone. W rzeczywistości – ze względu na takie czynniki jak wysokość budżetu, struktura firmy oraz zarządzanie dostępem – kierownictwo musi określić, jaki poziom ryzyka jest do zaakceptowania, jeśli przedsiębiorstwo ma działać sprawnie, ale też być właściwie chronione.
Panuje błędne przekonanie, że cyberbezpieczeństwo opiera się głównie na rozwiązaniach technicznych. Oczywiście, jest w dużej mierze od nich uzależnione, ale równie ważna, a może i ważniejsza od elementów sprzętowych i programowych, jest polityka bezpieczeństwa. To ustanawiane reguły określają, w jaki sposób dane rozwiązanie ma być wdrożone. Przykładowo firewall może zablokować próbę nieautoryzowanego przedostania się do sieci, ale jest bezużyteczny, jeśli nie ustalono, kto może konfigurować i modyfikować jego ustawienia.

Aby stworzyć politykę bezpieczeństwa, CISO muszą zadać sobie – i swoim zespołom – wiele pytań. Muszą też znaleźć na nie odpowiedzi. Tylko wtedy będą w stanie wdrożyć najbardziej skuteczne zabezpieczenia mające zapobiegać naruszaniu danych, systemów oraz zasobów. W przypadku dostępu uprzywilejowanego te pytania brzmią: kto, co, kiedy, gdzie i dlaczego? Zadane po angielsku tworzą regułę 5 x W (who, what, when, where, why). Krótko mówiąc, potrzebna jest szczegółowa wiedza o tym, kto, co, jak i do których elementów systemu ma dostęp, a także w jaki sposób.

Dostęp wymaga autoryzacji i rekomendowane jest stosowanie dwuskładnikowego uwierzytelniania (hasło + dodatkowy czynnik). Należy też zapewnić zarządzanie hasłami, ich rotacją i złożonością. Co ważne, w realizowaniu PAM trzeba sprawić, by użytkownikom przyznawany był najniższy poziom uprawnień, które wciąż umożliwiają wykonywanie przewidzianej pracy. Ma to kluczowe znaczenie dla bezpieczeństwa infrastruktury IT.

 

PAM i RODO

Zgodność z RODO zapewniona może być tylko wtedy, gdy firma korzystająca z systemów zarządzania danymi osobowymi ma zdolność do śledzenia i kontroli dostępu do nich. PAM ułatwia przeprowadzenie wewnętrznego audytu pod kątem spełniania wymagań RODO. Rozwiązanie to może na przykład wskazać osoby, które posiadając odpowiednie uprawnienia, mogą modyfikować zasady ochrony danych.
PAM zapewnia bardziej efektywne zarządzanie uprzywilejowanymi użytkownikami niż ręczne narzędzia i metody opracowywane ad hoc. Bez zautomatyzowanej i scentralizowanej kontroli przedsiębiorstwo nie jest w stanie rejestrować naruszających przepisy operacji wykonywanych przez uprzywilejowanego użytkownika.
Rozwiązanie PAM ułatwia także postępowanie według zaleceń RODO określonych terminem „Privacy by Design”. Menedżerowie IT oraz administratorzy bezpieczeństwa mogą wykorzystywać je do definiowania i egzekwowania mechanizmów kontrolnych realizujących założenia „prywatności już w fazie projektowania”. PAM zapewnia monitorowanie sesji z użyciem kont uprzywilejowanych, które naruszają te założenia, i ostrzega administratorów o takich działaniach.

 

Zapewnienie zgodności z przepisami

Ścisła, ale elastyczna kontrola dostępu uprzywilejowanego leży u podstaw zgodności z różnymi przepisami (compliance). Szybkie, ekonomiczne i wydajne osiąganie tego celu umożliwi właściwie wykorzystane rozwiązanie PAM. Przykładowo, usprawniając operacje, PAM skróci czas potrzebny na spełnienie wymogów zawartych w dokumentach takich jak RODO, ISO 27 001, dyrektywa NIS itp.

PAM obejmuje rozwiązania i procesy, które ułatwiają administratorom zarządzanie i śledzenie działań wszystkich użytkowników uprzywilejowanych. Takich, którzy dysponują prawami administracyjnymi, dającymi im dostęp do najważniejszych systemów i danych oraz ustanawiającymi nadzór nad nimi, np. za pomocą konfigurowania i usuwania kont na serwerze e-mail.

Przypadkowe lub celowe nadużycie uprzywilejowanego dostępu jest poważnym zagrożeniem dla przedsiębiorstwa, a także złamaniem obowiązujących je przepisów. W sytuacji, gdy praktycznie każdy system i urządzenie odgrywa w tym zakresie jakąś rolę, kontrola zarządzania uprawnieniami jest niezbędna. Intruz, któremu uda się podszyć pod uprzywilejowanego użytkownika, może wyrządzić poważną szkodę.

Dlatego rozwiązanie PAM powinno znajdować się w centrum polityki bezpieczeństwa, której celem jest zapewnienie zgodności z regulacjami. Ważne jest przy tym zrozumienie, że uprzywilejowanym użytkownikiem może być praktycznie każda osoba lub proces. Rozwiązanie PAM kontroluje z jednej strony uprzywilejowany dostęp pracowników, kontrahentów i zewnętrznych współpracowników oraz dostawców, z drugiej – działanie zautomatyzowanych systemów zarówno wewnątrz, jak i na zewnątrz przedsiębiorstwa.

Moduły rozwiązania Wallix Bastion

• Bastion Session Manager – monitoruje wymuszanie reguł polityki PAM, zapewnia podgląd sesji w czasie rzeczywistym oraz ich rejestrowanie. Session Manager może być zintegrowany z innymi narzędziami ochronnymi, takimi jak systemy Security Automation and Orchestration, które służą do powiadamiania o podejrzanych działaniach związanych z kontami.

• Bastion Password Manager – wymusza stosowanie reguł polityki PAM, chroni systemy przed dostępem osób wykorzystujących skradzione lub wygasłe hasła. Zapewnia automatyczną rotację haseł, funkcję Application to Application Password Management, szyfrowanie haseł oraz inne zabezpieczenia. Moduł Password Vault przechowuje hasła w bezpiecznym, certyfikowanym „skarbcu”, a przy tym egzekwuje reguły polityki PAM zabraniające fizycznego resetowania lub nadpisywania hasła.

• Bastion Access Manager – pełni funkcję centralnego punktu dostępu w środowisku rozproszonych instalacji, zapewnia kontrolę dostępu do kont uprzywilejowanych za pomocą jednego interfejsu.

 

Nie ma cyberbezpieczeństwa bez PAM

Zarządzanie dostępem uprzywilejowanym to jedna z najbardziej skutecznych metod zabezpieczania systemów IT. Rozwiązanie Wallix Bastion jest niezbędne w arsenale narzędzi, którymi powinien dysponować CISO.

Utrzymanie równowagi pomiędzy wydajnością i bezpieczeństwem jest trudnym zadaniem. Jednakże skuteczna kontrola dostępu umożliwia jednoczesne zwiększenie zarówno efektywności, jak i ochrony systemów oraz danych. Wallix Bastion ułatwia zarządzanie uprzywilejowanym dostępem bez zakłóceń w codziennym funkcjonowaniu przedsiębiorstwa, a także bez dużego zaangażowania działu IT. W rezultacie zapewnia bezpieczeństwo i zgodność z przepisami, a także utrzymanie optymalnej produktywności w całej firmie.
Narzędzia z oferty firmy Wallix umożliwiają dynamiczne definiowanie i egzekwowanie reguł polityki dostępu uprzywilejowanego, a przez to minimalizują występujące zagrożenia. Dzięki niemu zapewnione jest także szczegółowe dokumentowanie sesji wykorzystujących konta uprzywilejowane.

Dzięki rozwiązaniu Wallix Bastion możliwe jest wdrożenie silnych, a jednocześnie elastycznych reguł polityki PAM, ułatwiających zwiększanie cyberbezpieczeństwa i osiąganie celów biznesowych.

Dodatkowe informacje: Paweł Rybczyk, Territory Manager CEE & CIS, Wallix, prybczyk@wallix.com