Jak kontrolować dostęp administratorów do zasobów? - safesqr | we make your cybersec

Bezpieczny dostęp do zasobów

Jak kontrolować dostęp administratorów do zasobów?

Wyzwanie

Uregulowanie uprawnień administratorów i osób z dostępem uprzywilejowanym do zasobów firmowych stanowi ważny element budowy bezpieczeństwa organizacji. Przekonała się o tym jedna z firm produkcyjnych, w której uprawnienia do zasobów były nadawane na podstawie wniosków opisowych. Przegląd uprawnień odbywał się raz w roku i był prowadzony w arkuszu excel.

Wkrótce po odejściu dyrektora produkcji do innej organizacji okazało się, że stosowane przez konkurencję wzornictwo oraz oferta bardzo upodobniły się do tych stosowanych przez opisywaną firmę. Po tym wydarzeniu organizacja mocno przyjrzała się procedurze nadawania uprawnień osobom z dostępem uprzywilejowanym.

Czy organizacja była w stanie obniżyć ryzyko wystąpienia tej sytuacji i uchronić się przed wyciekiem wrażliwych produkcyjnie danych? Czego zabrakło aby właściwie zarządzić dostępem do danych?

  • Brak rozwiązania służącego do uwierzytelniania wieloskładnikowego.
  • Brak rozwiązań do zarządzania tożsamością oraz dostępem uprzywilejowanym.
  • Brak zabezpieczeń między danymi dostępnymi w chmurze a urządzeniem końcowym.
Professional,It,Engineers,Working,In,System,Control,Center,Full,Of

Rozwiązanie

Podstawową zasadą obniżania ryzyka w kontekście nadawania dostępów jest zasada minimalnego dostępu, zwana też zasadą “najmniejszego uprzywilejowania”. Zgodnie z nią akces do zasobów, nawet osób wysoko postawionych w organizacji powinien być ograniczony do niezbędnego minimum umożliwiającego im pracę. Tak precyzyjne zarządzanie nadawaniem uprawnień oraz dostępów jest możliwe między innymi dzięki narzędziom klasy IAM/AM (Identity Access Management/Access Management). Tego typu rozwiązania pozwalają nadzorować takie aspekty jak: kto loguje się do systemu, w jakim celu to robi, skąd następuje logowanie, do jakich zasobów ma uprawnienia, kto je nadał i kiedy to zrobił. Narzędziem, które służy realizacji tych zadań jest NetIQ Identity and Access Management od Microfocus.

Aby uniknąć wizyt “niechcianych gości”, w przypadku osób z dostępem uprzywilejowanym, należy także zadbać o pełną weryfikację użytkownika podczas logowania. Na pierwszym etapie warto zastosować uwierzytelnianie wieloskładnikowe realizowane przez narzędzia klasy MFA – Multi-Factor Authentication. Dzięki nim użytkownik logujący się do zasobów firmy nie tylko musi potwierdzić swoją tożsamość poprzez wpisanie loginu i hasła, ale również  powinien posiadać np. urządzenie fizyczne, na które wysyłany jest kod weryfikacyjny. Przykładem rozwiązania klasy MFA jest SecurID SSO od RSA.

 

Ochronę newralgicznych danych przechowywanych w chmurze zapewnia także narzędzie typu CASB (Cloud Access Security Broker). Jest ono pomostem pomiędzy chmurą, a urządzeniem końcowym i umożliwia wgląd w to, jak zasoby chmurowe są przetwarzane na urządzeniach użytkowników. Szyfruje dane tak aby nie mogły być wykorzystane w systemach zewnętrznych w sposób niezgodny z politykami bezpieczeństwa. Pozwala także na ich klasyfikację, dzięki czemu próba wyniesienia poufnych informacji w nieokreślone przez polityki miejsca docelowe, kończy się zablokowaniem połączenia. CASB pozwala kontrolować, w jaki sposób poszczególni użytkownicy przetwarzają dane w chmurze i czy robią to w sposób dozwolony, nawet kiedy korzystają z urządzeń mobilnych niezabezpieczonych przez firmę. Narzędziem klasy CASB, które realizuje to zadanie jest CloudSOC CASB od Broadcom.

Ważnym składnikiem, który jest wykorzystywany do budowy pełnego bezpieczeństwa w dostępie do zasobów administratorów i osób uprzywilejowanych  jest narzędzie klasy PAM (Privileged Access Management) – do zarządzania tymże dostępem. Narzędzia tego typu służą do tzw. inteligentnej kontroli uprawnień. Dostęp do zasobów administratorów nadawany jest tylko na określony czas ze szczegółowym określeniem zakresu możliwych aktywności. Zagadnienia związane z zarządzaniem dostępem uprzywilejowanym nie dotyczą wyłącznie osób fizycznych, ale również systemów oraz aplikacji. Narzędziem klasy PAM, o którym warto pamiętać jest CyberArk PAM – moduł w ramach kompleksowej platformy do zarządzania tożsamością CyberArk.

Office,Colleagues,Having,Casual,Discussion,During,Meeting,In,Conference,Room.

Efekty

Dzięki wdrożeniu narzędzi MFA, IAM/AM, CASB i PAM organizacja jest w stanie w pełni zarządzać uprzywilejowanym dostępem do zasobów. Zarządzanie jest możliwe zarówno na poziomie samego logowania, jak i autoryzacji użytkowników, poświadczeń oraz przetwarzania danych w sposób zgodny z politykami bezpieczeństwa. Tym samym organizacja ma pełny wgląd w to, co dzieje się w chmurze bez obaw, że dane trafią w niewłaściwe ręce.

Czekamy na Twoje pytania

Sprawdź inne wyzwania cybersec

Wykrywanie i reakcja na zagrożenia
Jak zautomatyzować i przyspieszyć pracę SOC?
Bezpieczeństwo danych i sieci
Jak zabezpieczać wrażliwe dane przed utratą i kopiowaniem?
Podnoszenie świadomości użytkowników
Jak uchronić organizację przed phishingiem?
Bezpieczeństwo chmury
Jak chronić dane w chmurze?
Lock,Button,On,The,Keyboard.,Toned,Image.

Zadbaj z nami o swoje cyberbezpieczeństwo

skontaktuj się z nami