A hibrid munkamodellek felé történő elmozdulás kiterjesztette a munkakörülményeket, növelve az informatikai csapatok terheit, akik azért küzdenek, hogy ellenállóak maradjanak a megnövekedett támadási felületekkel szemben. A vállalat informatikai infrastruktúrájába való behatoláshoz mindössze egyetlen kompromittált identitás kell.
Tehát mik azok a vállalati identitások?
Azok a felhasználói nevek, jelszavak, hálózatok, végpontok, alkalmazások stb., amelyek átjáróként szolgálnak az üzleti szempontból érzékeny információkhoz. A vállalati identitások védelme jól meghatározott identitás- és hozzáférés-kezelési (IAM) stratégiát igényel.
Mi az IAM stratégia?
Az IAM-stratégia úgy működik, hogy megfelelő hozzáférést biztosít a megfelelő embereknek az identitásuk hitelesítése engedélyezése révén. Valójában egy ideális és átfogó IAM-stratégia kidolgozása kritikus fontosságú a vállalatok számára a támadások meghiúsítása és az ellenálló infrastruktúra fenntartása érdekében.
Az IAM szükségessége
Az identitások hatékony kezelése megfelelő IAM-stratégián keresztül biztosítja a biztonságos felhasználói hozzáférési munkafolyamatok kialakítását a szervezetekben. Az IAM zökkenőmentes élményt kínál a végfelhasználók számára, és csökkenti az IT-csapatok terheit. Ezenkívül alapjául szolgál a kiváltó okok hatékony elemzéséhez olyan adatsérülések esetén, amelyek gyakran a feltört hitelesítő adatok miatt fordulnak elő, és gyorsabb enyhítési folyamatot tesz lehetővé.
Hogyan működik az IAM?
Amikor az adatokhoz való hozzáférésről van szó, az IAM kétirányú megközelítést alkalmaz: hitelesítést és engedélyezést.
A hitelesítés a felhasználói azonosság ellenőrzésének folyamata. Pontosabban ez az adatkészletbe való belépési mód hitelesítő adatok segítségével. A felhasználók hitelesítésének többféle módja van:
- Hitelesítés az elsődleges hitelesítő adatokkal (felhasználónevek és jelszavak)
- Egyszeri bejelentkezés (SSO) több felhasználói fiókhoz
- Többtényezős hitelesítés (MFA) OTP-ken, biometrikus adatokon stb.
Az engedélyezés a felhasználói hozzáférés érvényesítésének és szabályozásának folyamata. Ez általában az identitásirányítás és adminisztráció (IGA) és a privileged access management (PAM) segítségével történik, amelyek integrált hozzáférés-kezelő egységként működnek.
Például az online vásárlás során a felhasználó fizetési átjáróhoz való hozzáférését a 16 számjegyű kártyaszám és a kártyaellenőrzési érték (CVV) ellenőrzése hitelesíti. Ezen adatok feldolgozása után ellenőrzik a kártya érvényességét és a pénzeszközök rendelkezésre állását, és engedélyezik a hozzáférést a fizetés teljesítéséhez.
Az e folyamatok közötti megfelelő egyensúly megteremtése megőrzi az adatok bizalmas kezelését, ezáltal megfékezi a külső beavatkozást, illetve a rosszindulatú bennfentesek felhasználói hitelesítő adataival való visszaélést.
Bemutatkozik az IGA és a PAM
Az IAM általában előre meghatározott irányelvekből, bevált gyakorlatokból és munkafolyamatokból áll, amelyek szabályozzák a felhasználói hozzáférési tevékenységeket a szervezeten belül. Az IAM lényegében két modulból áll: IGA-ból és PAM-ból.
Az IGA az IAM egyik tudománya, amely központosított keretet biztosít a vállalati identitáskezeléshez. Az IGA jellemzően felhasználói fiókok létrehozását, hozzáféréseik biztosítását, szabályozását és auditálását foglalja magában. Az IGA biztosítja az IAM hatékony végrehajtását, valamint megfelel az audit és a megfelelőség követelményeinek.
A PAM az IAM egyik tudománya, amely lehetővé teszi a kiemelt identitások biztonságos kezelését. Mivel az eszkalált hozzáférést nem lehet minden felhasználónak biztosítani, a PAM-megoldások úgy működnek, hogy a legkevesebb privilégiumot és Zero Trust adminisztrátori hozzáférést kínálnak a felhasználóknak, teljes mértékben az érdemek alapján.
Például egy alkalmazott felvételi folyamata egy IGA keretrendszer hatálya alá tartozik. Ez magában foglalja az alkalmazotti azonosító kiosztását, a végpontok hozzárendelését, a felhasználói fiókok és hitelesítő adatok létrehozását, valamint a vállalati erőforrásokhoz való hozzáférés biztosítását.
Ha azonban az alkalmazott szerepköre kizárólagos hozzáférést igényel kritikus informatikai végpontokhoz, például szerverekhez, adatbázisokhoz, adatközpontokhoz és hálózati eszközökhöz, akkor a PAM kerül szóba. A PAM a kritikus hozzáférési követelményekkel rendelkező felhasználókat szolgálja ki, és részletes hozzáférés-felügyeleti mechanizmusokat tartalmaz, amelyek biztosítják, hogy csak az adminisztratív felhasználók férhessenek hozzá az üzleti szempontból érzékeny információkhoz.
Egyszerűen fogalmazva, míg az IGA az átfogó hozzáférés biztosításával és szabályozásával foglalkozik a szervezeten belül, addig a PAM a privilegizált identitásokhoz való adminisztratív hozzáférés biztosításával és szabályozásával foglalkozik.
Részletesebben a PAM-ról
A PAM egy kiberbiztonsági stratégia, amelynek célja, hogy biztonságos és kiterjesztett felhasználói hozzáférést biztosítson kiváltságos személyazonosságokhoz.
A kiváltságos identitásokat új fizetőeszközként emlegetik; vagyis ez a legegyszerűbb módja a vállalkozás korlátlan kritikus információiban való navigálásra. A szolgáltatásfiókok, jelszavak, hitelesítési tokenek és SSH-kulcsok néhány példa az ilyen identitást azonosító értékekre.
A kiváltságos felhasználó lehet emberi vagy nem emberi felhasználó, aki biztonságos hozzáféréssel rendelkezik a végpontokhoz, például adatbázisokhoz, hálózatokhoz, felhőalkalmazásokhoz stb. Ahogy a vállalkozások egyre több érzékenyebb adatot kezelnek, a biztonságos környezet fenntartása érdekében elengedhetetlen a hozzáférhetőség korlátozása.
Hogyan kapnak hozzáférést a privilegizált felhasználók az ilyen kritikus adatokhoz? Digitális entitások, például felhasználónevek, jelszavak és egyéb hitelesítő adatok a vállalati erőforrásokhoz való biztonságos hozzáférés átjárójává válnak.
Privilegizált identitások kezelése PAM segítségével
A kiváltságos identitások kezelésének hagyományos módszerei a jelszótárolók körül forogtak. A hibrid végpontok és a felhőalapú alkalmazások számának növekedésével azonban fontos, hogy a szervezetek átvegyék a legkisebb jogosultság elvét, amely leszűkíti a kritikus adatok támadási felületét azáltal, hogy szerepalapú korlátozott hozzáférést biztosít a vállalati erőforrásokhoz.
Az informatikai csapatokon túlmutató kiváltságos hozzáférési körnek köszönhetően az identitások problémamentes kezelése olyan stratégiákat igényel, amelyek túlmutatnak a hagyományos hitelesítő adattároláson.
Hogyan tud változást elérni a PAM?
- A PAM több szintű hozzáférést kínálva védi a szervezet eszközeit, így a kritikus rendszereket csak a privilegizált felhasználók számára teszi elérhetővé.
- A PAM megfelelő megvalósítása ellenőrzést biztosíthat az érzékeny fiókok felett, és megakadályozhatja a belső fenyegetések előfordulását azáltal, hogy szabályozza és auditálja a privilegizált hozzáférést a vállalaton belül.
- A jól megtervezett PAM-program a felhasználó kiemelt tevékenysége előtt, alatt és után auditálási folyamatokat tartalmaz, így biztosítva a biztonságos vállalati környezetet.
A PAM szükségessége: Üzleti felhasználási esetek
1. Forgatókönyv: A fejlesztők megosztják kódrészleteiket a fejlesztői fórumokon, miközben figyelmen kívül hagyják az ezekben a szkriptekben megbúvó érzékeny információkat, például hitelesítési tokeneket, privát kulcsokat és így tovább. Ez kritikus adatokat fedhet fel bárkinek, akinek rosszindulatú szándéka van.
Megoldás: A PAM-megoldást telepítő IT-csapatok automatikus jelszó-visszaállítási folyamatot kezdeményeznek, amely új jelszót generál, és megvédi a kritikus információkat a nyilvános hozzáféréstől. Így a hitelesítő adatok tudatos vagy véletlen felfedésére tett kísérletek hiábavalónak bizonyulnak, mivel azok már nem érvényesek. A vállalati végpontok érintetlenek maradnak.
2. Forgatókönyv: Amikor az alkalmazottak elhagyják a szervezetet, az informatikai csapatoknak gondoskodniuk kell hozzáférési jogosultságaik visszavonásáról vagy átruházásáról. Az állandó jogosultságok, amelyek „mindig be vannak kapcsolva”, és folyamatosan elérhetők aktív felhasználó nélkül, növelhetik a kiberfenyegetések kockázatát. Ezek a támadók könnyen elérhető, édes gyümölcsei, és korlátlan elérhetőségük miatt kritikus vállalati adatok kerülhetnek felszínre.
Megoldás: A PAM eszköz lehetővé teszi az informatikai csapatok számára, hogy biztosítsák a meglévő jogosultságok visszavonását és átadását egy másik jogosult felhasználónak. Ez megakadályozza, hogy rosszindulatú bennfentesek kihasználják a volt alkalmazott felhasználói hitelesítő adatait.
Egy ideális PAM program kellékei
Egy ideális PAM-programnak figyelemmel kell lennie a privilegizált identitások életciklusára, és a következő szakaszokon kell keresztülmennie:
- Felfedezés: A PAM kezdeti lépése az összes kiemelt identitás azonosítása vagy felfedezése a szervezeten belül. Ez elősegíti a fejlődést és a hozzáférés további elosztását a megfelelő felhasználók és felhasználói csoportok között.
- Tárolás: Az azonosított identitásokat a rendszer egy titkosított digitális tárolóban tárolja az ismételt hozzáférés és a hatékony kezelés érdekében. Adatszivárgás esetén a megfelelően tárolt adatok gyorsabb helyreállítást tesznek lehetővé.
- Kezelés: A vállalati identitáskészlet megfelelő kezelést igényel, rendszeres integritás-ellenőrzések és a normák betartása révén. Ez segít a bizalomépítésben, és lehetővé teszi a hatékony döntéshozatalt.
- Kormányzás: Minden kiemelt adathoz való hozzáférést a kérelmező érdemei és kérelmei alapján kell szabályozni és végrehajtani.
- Audit: A PAM lehetővé teszi a szervezet számára, hogy újra megvizsgálja az összes felhasználói tevékenységet, mélyrehatóan betekintést nyújtva a mi, ki, mikor és hogyan kiváltságos hozzáférésbe, megkönnyítve a megfelelőségi szabványok betartását.
A PAM-megoldás alapjai
A PAM alapelve az, hogy megelőzze a kiberfenyegetéseket, ahelyett, hogy mérsékelné azokat az inváziókat, amelyek már a szervezet hírnevét is megrontották. Figyelembe véve ezeket a követelményeket egy ideális PAM-megoldásnak a következőket kell tennie:
- Támogassa a hibrid munkát azáltal, hogy egyetlen kattintással biztonságos hozzáférést biztosít a távoli erőforrásokhoz.
- Azonosítsa a biztonsági szürkezónát azáltal, hogy mélyreható betekintést nyújt a kiváltságos hozzáférési tevékenységekbe.
- Biztosítsa a rendszeres forgatást és a kiváltságos hitelesítő adatokhoz való biztonságos hozzáférést.
- Az auditálási és megfelelőségi követelmények betartásának katalizálása.
- A kiváltságos hozzáférési biztonság kiterjesztése a szervezet összes üzleti funkciójára.
- Kiemelt hozzáférési biztonság biztosítása a belső keretrendszerekhez, a folyamatos integrációhoz és folyamatos telepítéshez (CI/CD), folyamatautomatizáláshoz és még sok máshoz.
- Az ipari szabályozások és megfelelőségi szabványok betartása érdekében kínáljon ellenőrzéseket.
A kiváltságokkal való visszaélés súlyos következményekkel járhat a vállalkozások számára, beleértve a bevétel- és jó hírnév elvesztését. A PAM-megoldásba való befektetés lehetővé teszi az informatikai csapatok számára, hogy kezeljék és automatizálják kiváltságos hozzáférési rutinjaikat, ezáltal kiegészítve PAM-stratégiájukat. Ezenkívül a PAM-megoldások valós idejű, gyakorlati betekintést nyújtanak a privilegizált hozzáférési tevékenységekbe, hogy segítsék a biztonsági események hatékony kezelését és megelőzését.
Forrás: ManageEngine
