Przez długi czas punkty końcowe były zabezpieczane przez rozwiązania antywirusowe, których działanie polegało na identyfikacji sygnatur złośliwego oprogramowania oraz białych i czarnych listach. To podejście okazało się nieskuteczne, gdyż chroniło tylko przed znanymi exploitami. Dlatego podjęto próbę obrony także przed nieznanymi zagrożeniami, w czym pomaga m.in. uczenie maszynowe. Narzędzia, takie jak EDR (Endpoint Detection and Response), mają korelować zdarzenia i wykrywać podejrzaną aktywność. Jednak nadal skupiają się one na identyfikowaniu zagrożeń, a nie skutecznej ochronie systemu od wewnątrz. Oferują zatem reaktywność zamiast proaktywności.

I tym sposobem dochodzimy do narzędzi EPM (Endpoint Privilege Management), a więc nowej generacji zabezpieczeń, których zadaniem jest stworzenie „bariery immunologicznej” dla punktów końcowych. Zamiast w mało skuteczny sposób próbować identyfikować atak i następnie go blokować, EPM zatrzymuje wszystko, co nie jest dla „organizmu” naturalne. W efekcie w chronionych systemach mogą mieć miejsce tylko legalne procesy.

To nowe podejście ma szczególne znaczenie w przypadku urządzeń końcowych, przy użyciu których pracownicy zdalni (albo zewnętrzni wykonawcy) uzyskują dostęp do zasobów firmy. Zakłada ono wprawdzie, że każdy system może zostać zaatakowany, ale dzięki właściwym wewnętrznym zabezpieczeniom można ataku uniknąć. A jeśli nawet miałoby do niego dojść, to tylko poza firmową siecią. To jest możliwe, ponieważ ochrona punktów końcowych w EPM opiera się na zasadzienajmniejszego uprzywilejowania (Principle Of Least Privilege). Co oznacza, że bez praw administratora intruz albo złośliwe oprogramowanie nie będą w stanie uzyskać uprawnień niezbędnych do uruchamiania procesów i aplikacji.

Zasada wprowadza porządek, przyznając właściwe prawa odpowiednim użytkownikom i we właściwym kontekście. Eliminuje nadmierne uprzywilejowanie użytkowników na urządzeniach końcowych, by złośliwe oprogramowanie nie było w stanie uszkodzić systemu albo wykradać krytycznych danych. Umożliwia także usunięcie wszystkich lokalnych kont administratora w celu wzmocnienia ochrony. A dzięki blokowaniu kryptograficznych API, systemy stają się odporne na ransomware, cryptojacking i inne rodzaje złośliwego kodu.

Egzekwowanie zasady najmniejszego uprzywilejowania użytkowników to krok we właściwym kierunku, ale wciąż niewystarczający. Chodzi o to, by systemy były w stanie same chronić się przed zagrożeniami. Dlatego najskuteczniejsze rozwiązania EPM skupiają się na uprawnieniach nie na poziomie użytkowników, ale procesów i aplikacji. Wdrażana w ten sposób ochrona daje dużo większy zakres kontroli i bezpieczeństwa.

Szczegółowa ochrona na poziomie procesów z jednej strony zapewnia użytkownikowi dostęp do wszystkich narzędzi niezbędnych do wydajnego i niezakłóconego wykonywania jego zadań, z drugiej zaś dba o to, by udostępnione mu oprogramowanie nie było w stanie zaszkodzić systemowi, gdy napastnik zdoła przełamać jego zabezpieczenia.

Principle of Least Privilege w praktyce

Właśnie tak działa rozwiązanie WALLIX BestSafe, które – wdrażając zasadę najmniejszego uprzywilejowania – zwiększa bezpieczeństwo punktów końcowych. Skutecznie zapobiega między innymi atakom wykorzystującym malware, uruchamianym i rozprzestrzeniającym się na urządzeniach przy użyciu kont administratora. BestSafeuzupełnia zatem o ochronę EPM pozostałe narzędzia bezpieczeństwa oferowane przez francuskiego producenta.

Łącząc rozwiązania Bastion i BestSafe, oferta PAM-PEDM (Privileged Access Management and Privilege Elevation and Delegation Management) daje firmom dążącym do centralizacji zarządzania zasobami cyfrowymi możliwość stosowania zasady najmniejszego uprzywilejowania w kontroli nad dostępem i kontami uprzywilejowanymi. To szczególnie ważne w kontekście zgodności z regulacjami, takimi jak RODO czy NIS.

Dodatkowe informacje: Paweł Rybczyk, Territory Manager CEE & CIS, WALLIX, prybczyk@wallix.com