Producent uważa, że od zasady ograniczonego zaufania nie powinno być wyjątków. Żadne działanie nie jest uznawane za bezpieczne, dlatego zawsze weryfikuje się tożsamość i uprawnienia osoby, która je inicjuje. Wszyscy użytkownicy, wewnętrzni i zewnętrzni, mogą uzyskać dostęp do zasobów i usług IT tylko pod warunkiem, że udzielą systemowi zarządzania uprzywilejowanym dostępem (Privileged Access Management) odpowiedzi na pytania dotyczące podejmowanej akcji: kto, co, gdzie, kiedy i w jaki sposób. Oprócz tego niezbędne jest wykorzystanie systemu wieloskładnikowego uwierzytelniania.

Procesy skutecznie zablokowane

WALLIX BestSafe to rozwiązanie typu EMS (Endpoint Management Solution), w którym zastosowano tzw. zasadę najmniejszego uprzywilejowania. Zgodnie z nią każdy użytkownik, aplikacja i proces mają dostęp tylko do tych informacji i zasobów, które są niezbędne do wykonania konkretnej operacji. 

Ograniczenie to nie ma żadnego wpływu na biznesową działalność pracowników. Administratorzy w dziale IT mają zagwarantowane proste zarządzanie bezpieczeństwem urządzeń końcowych, a wszyscy użytkownicy – komfort pracy. Mogą normalnie pracować, uruchamiać wymagające uprawnień aplikacje korporacyjne, a nawet instalować oprogramowanie z firmowej witryny, pod warunkiem, że nie jest ono zablokowane dla danego użytkownika przez dział IT. Nowość stanowi jedynie to, że do wszystkich tych operacji nie muszą mieć uprawnień administratora.

Po wdrożeniu oprogramowania BestSafe administratorzy mają dwie operacje do przeprowadzenia. Muszą zmienić ustawienia systemowe tak, by nikt nie miał uprawnień administracyjnych, a następnie zainstalować agenta BestSafe na urządzeniach końcowych. Od tego momentu sprzęt jest chroniony przed wszystkimi atakami, które można przeprowadzić, jedynie z konta administratora (ransomware, cryptojacking i inne rodzaje złośliwego kodu). Dzięki temu żadna aplikacja, żaden proces ani żaden użytkownik nie będzie w stanie wykonać operacji, do których nie jest uprawniony.

Tego typu ochrona jest możliwa dzięki innowacyjnemu mechanizmowi stworzonemu przez programistów firmy WALLIX. Agent oprogramowania BestSafe działa jak kolejna aplikacja i przechwytuje inne programy jeszcze przed ich połączeniem się z interfejsem API systemu Windows. Następnie przeprowadza analizę, aby sprawdzić, jaką operację program ma wykonać, przez kogo został uruchomiony a także z jakimi interfejsami API ma się połączyć.

Operacja ta przeprowadzana jest zgodnie z regułami zdefiniowanymi wcześniej w polityce bezpieczeństwa, które określają, czy dany proces może być dalej wykonywany, czy też należy go zablokować i uniemożliwić wszelkie wywołania interfejsu API. BestSafe zapewnia także monitorowanie działania programu, jeśli zachodzi podejrzenie, że jest on złośliwy.

 

Stan zabezpieczeń dostępu do zasobów IT, zapewnianych przez usługę WALLIX Trustelem, prezentowany jest w przejrzysty sposób w panelu zarządzania. 

 

 

Trzy pytania do…

Pawła Rybczyka, Territory Managera CEE/CIS, WALLIX

WALLIX sugeruje klientom przyjęcie strategii „zero trust”. Na czym ona polega?

Przypadki naruszenia bezpieczeństwa danych najczęściej mają miejsce w wyniku nadużycia uprawnień do korzystania z nich. Dlatego coraz popularniejszy staje się model, w którym w firmowej infrastrukturze z założenia jest blokowany dostęp do wszystkich zasobów, a udostępnianie aplikacji i danych należy prowadzić ze szczególną ostrożnością. Oczywiście, w tym modelu zarządzania ochroną każdy pracownik musi mieć stały dostęp do pewnych zasobów, zgodnie z pełnioną w firmie rolą, ale bardzo skrupulatnie należy sprawdzać, kto, gdzie, kiedy i w jaki sposób z nich korzysta.

Zatem wymaga się od użytkowników nie tylko udowodnienia, kim są, ale również, w jakim celu zamierzają korzystać z danych i jakie mają do tego uprawnienia. W jaki sposób to wyegzekwować?

Dzięki oprogramowaniu należącemu do grupy produktów Privileged Access Management, czyli umożliwiających zarządzanie dostępem uprzywilejowanym. Jego działanie bazuje na czterech podstawowych założeniach: użytkownik musi udowodnić, kim jest, musi mieć niezbędne uprawnienia dostępu do danego zasobu, okoliczności uzyskania dostępu muszą być odpowiednie, a wszystkie działania muszą być monitorowane i rejestrowane w celu umożliwienia ewentualnego śledztwa i audytu.

Czy proces logowania w przypadku strategii „zero trust” jest taki jak zwykle, czyli polega wyłącznie na podaniu nazwy użytkownika i hasła?

Niestety, ten zestaw danych jest najczęściej kradziony w branży IT, szczególnie podczas ataków phishingowych lub w wyniku przejęcia bazy danych z serwerów służących do uwierzytelniania. Dlatego uważamy, że jedynym skutecznym sposobem ograniczenia skutków takich kradzieży jest uwierzytelnianie wieloskładnikowe, to znaczy wykorzystanie nie tylko tego, co się wie, ale także czegoś, co się ma, czyli tymczasowego kodu. Może on być udostępniony w różny sposób – w fizycznym tokenie, za pomocą aplikacji mobilnej, wiadomości SMS lub e-mail. Strategia „zero trust” opiera się na założeniu, że wyjątkowo mało prawdopodobne jest, aby przestępca ukradł zarówno dane uwierzytelniające użytkownika, jak i fizyczne urządzenie, na które otrzymuje on dodatkowy kod.

 

 

W chmurze też jest bezpiecznie

Rozwiązanie WALLIX Trustelem powstało w reakcji na wyzwania rynkowe, przed którymi stoją dziś działy IT, dotyczące zapewniania dostępu zarówno do zasobów wewnętrznych przedsiębiorstwa, jak i znajdujących się w chmurze. To usługa typu IDaaS (ID as a Service), która zabezpiecza przed nadużyciami związanymi z tożsamością użytkowników dzięki zastąpieniu prostych haseł wzmocnionym, obowiązującym we wszystkich firmowych systemach uwierzytelnianiem. Zapewnia różnorodne funkcje zarządzania dostępem, takie jak: baza tożsamości i danych logowania użytkowników do aplikacji, pojedyncze logowanie (Single Sign-On), synchronizacja katalogów firmowych, kontekstowa kontrola dostępu, wieloskładnikowa autoryzacja (w tym FIDO) oraz zarządzanie i monitorowanie 24/7.

Priorytetem dla użytkowników jest łatwość dostępu do systemów IT i komfort korzystania z nich. Twórcy usługi Trustelem uszanowali to. Po zalogowaniu się do niej każdy może bezpiecznie uruchamiać aplikacje, których ikony wyświetlane są na pulpicie (ich lista zmieniana jest w zależności od tzw. kontekstu sieciowego, czyli np. sposobu, w jaki użytkownik łączy się z siecią). Możliwe jest też skonfigurowanie usługi w taki sposób, aby zaraz po zalogowaniu się użytkownika uruchamiany był konkretny program. W każdym przypadku jednak uwierzytelnianie dokonywane jest w ramach usługi Trustelem, działającej jako zaufana strona trzecia. 

Podczas uzyskiwania dostępu do oprogramowania z urządzenia podłączonego do domeny Active Directory użytkownicy są automatycznie uwierzytelniani za pomocą funkcji Integrated Windows Authentication. Zaszyfrowany token Kerberos jest wysyłany do Trustelem i sprawdzany przez kontroler domeny. Po jego zatwierdzeniu usługa umożliwia bezpieczny dostęp do pulpitu użytkownika lub wybranej aplikacji. Natomiast jeśli w danym momencie urządzenie nie jest podłączone do domeny Active Directory, użytkownik może się uwierzytelnić hasłem wykorzystywanym w tej usłudze. Ważny jest tu fakt, że hasła z serwera Active Directory nigdy nie są przechowywane przez Trustelem, zawsze są sprawdzane w czasie rzeczywistym przez jeden z kontrolerów domeny.

Do najbardziej stresujących sytuacji, z jakimi mają do czynienia użytkownicy aplikacji i usługi cyfrowych, zaliczyć można  zapomnienie hasła. Konieczność obsługi tego typu zgłoszeń jest dla działu IT stratą czasu i generuje dodatkowe koszty. Tymczasem narzędzie Trustelem Reconnect umożliwia użytkownikom samodzielne resetowanie hasła do Active Directory po uwierzytelnieniu się za pomocą jednego z kilku alternatywnych rozwiązań, takich jak aplikacja mobilna Trustelem Authenticator, SMS, klucz zabezpieczający FIDO, ustanowione wcześniej pytania weryfikujące itp.

Usługa Trustelem została zaprojektowana tak, aby korzystanie z niej było proste i intuicyjne także dla administratorów. Jej konsola web umożliwia ustawienie synchronizacji katalogów, zarządzanie cyklem życia kont użytkowników zewnętrznych i aplikacji, tworzenie i dostosowywanie reguł dostępu do zasobów, monitorowanie aktywności użytkowników oraz zapewnienie bezpiecznego dostępu do danych audytowych. Wiele narzędzi, zarówno dystrybuowanych w modelu SaaS, jak i wdrażanych lokalnie, jest wstępnie zintegrowanych z Trustelem (m.in. Office 365, G Suite, Salesforce, Dropbox). Usługa ta może być zintegrowana z każdą aplikacją zgodną ze standardami SAML, OpenID Connect lub OAuth.

 

Dodatkowe informacje:

Paweł Rybczyk, Territory Manager CEE/CIS, WALLIX,

prybczyk@wallix.com