W raporcie „X-Force Threat Intelligence Index 2024” firma IBM wskazuje, że aż 30% incydentów cyberbezpieczeństwa zaobserwowanych przez zespół X-Force dotyczyło nadużyć związanych z ważnymi kontami. Oznacza to wzrost o 71% w stosunku do 2023 roku. Zainteresowanie wykorzystywaniem takich kont przez cyberprzestępców, jako punktów wejścia, rośnie, dlatego firmy powinny rozwijać swoje kompetencje w zakresie zarządzania uprawnieniami.

 

Odpowiedzią na tę formę zagrożeń jest Privileged Identity Management. To zespół procedur, które pozwalają prowadzić nadzór nad tożsamościami użytkowników uprzywilejowanych, tzn. posiadających rozszerzony zakres uprawnień.

 

Na PIM składają się określone działania:

 

• zarządzanie tożsamościami i rolami użytkowników uprzywilejowanych,


• powiązywanie konkretnych działań z danymi użytkownikami,


• ograniczenie uprawnień użytkowników do niezbędnego minimum,


• nadzór nad aktywnością użytkowników uprzywilejowanych,


• reagowanie na incydenty.

 

Zarządzanie tożsamościami użytkowników uprzywilejowanych chroni przed nieautoryzowanym dostępem do wrażliwych zasobów, nadużyciami uprawnień przez byłych lub obecnych pracowników czy wykorzystaniem ich kont do cyberataków na infrastrukturę organizacji.

   

Według raportu „2023 Identity Security Threat Landspace Report” przygotowanego przez CyberArk, aż 77% programistów ma nadmierne uprawnienia, co czyni ich atrakcyjnymi celami dla cyberprzestępców. 63% badanych firm przyznaje natomiast, że dostęp do ich wysoce wrażliwych zasobów nie jest odpowiednio chroniony. Rozwiązaniem tych problemów może być wdrożenie systemu Privileged Access Management, który pozwala zarządzać dostępami użytkowników posiadających wysoki poziom uprawnień.

 

W ramach systemu PAM użytkownicy, którzy wymagają dostępu uprzywilejowanego, są identyfikowani i traktowani według zasad zgodnych z polityką bezpieczeństwa firmy. Procedury bezpieczeństwa obejmują m.in. uwierzytelnianie wieloskładnikowe lub rotację haseł.

 

Działania w ramach PAM powinny obejmować:

 

• zapewnianie dostępu Just-in-Time dla użytkowników uprzywilejowanych,


• bieżące monitorowanie sesji użytkowników uprzywilejowanych,


• wykrywanie i analiza niepokojącej aktywności użytkowników uprzywilejowanych,


• wdrożenie uwierzytelniania wieloskładnikowego,


• sprawdzanie zgodności,


• przygotowywanie raportów.

   

PIM koncentruje się na zarządzaniu uprzywilejowanymi tożsamościami. Skupia się przede wszystkim na określeniu i kontroli tego, kto ma dostęp do zasobów wymagających podwyższonych uprawnień. Pozwala na automatyzację procesów związanych z przyznawaniem, modyfikowaniem i odbieraniem dostępu dla wybranych użytkowników.

 

PAM z kolei skupia się na bieżącym zarządzaniu dostępami do zasobów przez użytkowników, którzy posiadają wysoki poziom uprawnień. Narzędzia PAM monitorują aktywność uprzywilejowanych użytkowników, co pozwala m.in. cofać nieużywane dostępy. Rejestrują też ich działania np. poprzez nagrywanie sesji. Daje to możliwość audytowania i śledzenia aktywności użytkowników w celu wykrycia źródła awarii lub błędów. Ułatwia również wykrywanie podejrzanych i potencjalnie niebezpiecznych działań użytkowników, jeszcze zanim doprowadzą one do niechcianych konsekwencji. PAM minimalizuje ryzyko ataków zewnętrznych i pozwala zapobiec nadużyciom wewnętrznym.

 

Systemy PIM i PAM mogą działać komplementarnie. PIM ustala tożsamość użytkowników posiadających rozszerzone uprawnienia, podczas gdy PAM reguluje to, w jaki sposób udzielany jest im dostęp. Jeszcze innym rozwiązaniem jest PUM (ang. Privileged User Management) – które odnosi się do istniejących kont, np. administratorów. Często są one współdzielone przez wielu użytkowników, dlatego PUM skupia się bardziej na kontroli nad nimi i ich poświadczeniami, a nie na uwierzytelnieniach samych użytkowników i ich dostępów.

 

Różnice między tymi systemami się zacierają i coraz częściej można się spotkać z kompleksowymi produktami typu all-in-one, które zapewniają funkcjonalności PIM, PAM i PUM w ramach jednej platformy.

 

Rozwiązania te sprawdzają się też przy nadzorowaniu zewnętrznych podmiotów, które otrzymały dostęp do zasobów organizacji, np. zdalnych administratorów lub programistów. W przypadku awarii, błędów czy wycieku danych organizacji łatwiej jest udowodnić, że incydent nastąpił właśnie z winy zewnętrznego dostawcy. Może to stanowić podstawę do wysunięcia ewentualnych roszczeń, co pomoże uchronić firmę przed stratami.

 

Wszystkie wspomniane rozwiązania pozwalają wprowadzić restrykcyjne podejście do bezpieczeństwa sieciowego, jakim jest Zero Trust Network Access. W czasach rosnących cyberzagrożeń, powszechnego zastosowania chmur publicznych i współdzielenia zasobów jest ono lepszą opcją niż model „zamku i fosy”, który opiera się na zabezpieczeniach na brzegu sieci.

   

Środowiska chmurowe oferują dostęp do ogromnej ilości usług z różnymi formami kontroli dostępu. Granice między zwykłymi użytkownikami a administratorami często nie są tak wyraźne, jak w przypadku usług lokalnych. Ręczne zarządzanie dostępami i nadzorowanie działań użytkowników z podwyższonym poziomem uprawnień byłyby zbyt czasochłonne i kosztowne. Systemy PIM i PAM pozwalają zarządzać uprawnieniami na bieżąco, w sposób scentralizowany i z wysokim poziomem automatyzacji. Zapewniają też narzędzia do nadzorowania zachowań uprzywilejowanych użytkowników i ułatwiają zapewnienie zgodności.

 

Systemy PIM i PAM działają w modelu Zero Trust, który zakłada, że nie można mieć zaufania do żadnego użytkownika. Wymaga on, aby każdy dostęp został właściwie poświadczony. Zwiększa to bezpieczeństwo zasobów znajdujących się w chmurze lub środowisku hybrydowym. W połączeniu z systemem SIEM, wykorzystywanym w ramach SOC, rozwiązania PIM i PAM poprawiają ochronę przed wieloma rodzajami ataków cybernetycznych wymierzonymi w środowiska chmurowe.

   

Ilustracją zastosowania PIM w firmie jest stworzenie systemu przydzielającego uprawnienia użytkownikom w ramach konkretnych ról. Przykładowo:

 

• Specjalista ds. zabezpieczeń może zdefiniować listę osób, które przyjmują określoną rolę i otrzymują związane z nią uprawnienia.


• Użytkownik przyjmujący daną rolę musi wysłać prośbę o jej przydzielenie, w której zawierać się będzie czas trwania i uzasadnienie dostępu. Żądanie może zostać rozpatrzone automatycznie lub wymagać będzie ręcznego potwierdzenia.


• Przy zatwierdzeniu wniosku, system PIM przesyła poświadczenie do sesji użytkownika, potwierdzając tym samym jego uprawnienia.


• Po upływie określonego czasu lub spełnieniu innych warunków, np. wygaśnięciu sesji, PIM cofa uprawnienia przypisane do danej tożsamości i zapisuje dane o zdarzeniu w celu przygotowania raportu.

 

Taki mechanizm można rozbudować o PAM, wprowadzając uwierzytelnienie dwuskładnikowe, monitoring bieżącej aktywności pod kątem podejrzanych zachowań i bezpieczne przechowywanie uwierzytelnień podczas sesji.

 

Systemy do zarządzania uprawnieniami warto integrować z rozwiązaniami, takimi jak Network Access Control, które umożliwia kontrolowanie dostępu do sieci na poziomie urządzeń, czy system IAM, pozwalający na szersze zarządzanie dostępami.

   

Rozwiązania PIM, PAM i PUM pozwalają na kompleksowe zarządzanie uprawnieniami na poziomie tożsamości, dostępów i kont. Powinny stanowić uzupełniające się komponenty kompleksowego systemu bezpieczeństwa cybernetycznego, działającego w modelu Zero Trust. Netia ma w swojej ofercie rozwiązania tej klasy, które pozwalają na zarządzanie uprawnieniami na wielu poziomach, a także doświadczenie w dostarczaniu ich klientom.

 

Wdrażanie systemów PIM, PAM i PUM należy zacząć od przygotowania planu. Mogą w tym pomóc specjaliści Netii od bezpieczeństwa cybernetycznego, którzy szczegółowo określą potrzeby przedsiębiorstwa w tym obszarze. Wszystkie wdrażane rozwiązania z zakresu cyberbezpieczeństwa powinny być elementami szerszej, dobrze przemyślanej strategii. Zarządzanie uprawnieniami warto też uzupełnić o rozwiązania z zakresu Managed UTM, które zapewniają m.in. VPN, Firewall, Intrusion Prevention System i szereg innych przydanych narzędzi.

 

Istotne jest zrozumienie tego, jakie zagrożenia mogą występować w związku z zarządzaniem uprawnieniami, dlatego nad procesem wdrażania i integracji nowych systemów powinni czuwać wykwalifikowani specjaliści od cyberbezpieczeństwa, np. pracownicy Netia SOC, którzy stanowią świetne wsparcie dla firm w zakresie ochrony infrastruktury oraz posiadanych zasobów IT.

 

Po zakończeniu wdrożenia należy przetestować systemy i uruchomić je najpierw dla ograniczonej liczby użytkowników, a jeśli testy przebiegną pomyślnie, wówczas organizacja może swobodnie korzystać z nowych rozwiązań. Specjaliści Netii mogą przeprowadzić testy podatności w firmie, które wskażą słabe punkty i obszary do poprawy.