Хоча зовнішні атаки на кібербезпеку та шкідливе програмне забезпечення потрапляють у сенсаційні заголовки, найбільша загроза безпеці більшості організацій походить від довірених інсайдерів з привілейованим доступом до конфіденційних даних. Звіт Cybersecurity Insider про інсайдерські загрози за 2020 рік показує, що 68% організацій повідомляють, що інсайдерські атаки стають все частішими й що вони відчувають себе вразливими до них.
Загроза безпеці від постійних привілеїв
Одним з основних принципів безпеки даних є надання найменш привілейованого доступу, що зменшує поверхню ризику, дозволяючи використовувати певні привілеї лише для певних цілей. Однак цей принцип легко порушується постійними привілеями – привілеями облікового запису, які завжди доступні, навіть коли вони не потрібні, що створює постійно доступну поверхню для атаки.
Використання облікових записів з постійними привілеями дуже поширене. Зокрема, багато організацій видають привілейовані облікові записи всім адміністраторам, помилково вважаючи, що їм потрібен необмежений доступ для ефективного виконання своєї роботи. Ці облікові записи часто включають доступ до більшої кількості систем, ніж потрібно, і завжди доступні для використання, що порушує принцип найменших привілеїв.
Поки існують облікові записи (і, відповідно, привілеї) – ризик безпеки залишається.
Що таке дозволи just-in-time?
Модель дозволів just-in-time (JIT) зменшує поверхню атаки на привілеї лише в той час, коли привілеї активно використовуються, на відміну від цілодобової поверхні атаки, коли привілеї завжди увімкнені.
Коли користувачеві потрібно виконати дію, що вимагає підвищених привілеїв, він заповнює запит, в якому описує завдання і ресурси, необхідні для його виконання. Якщо запит схвалено, користувачеві надається тимчасова ідентичність з достатніми привілеями (JEP) для виконання завдання. Коли завдання виконано, посвідчення вимикається або видаляється.
Однак важливо знати, що не всі рішення з JIT-доступом насправді зменшують площу поверхні атаки. Деякі вендори створюють облікові записи, які надаються користувачам за запитом, але після використання вони залишаються активними з усіма дозволами, а не вимикаються або видаляються. Це часто стосується інструментів керування привілейованим доступом (PAM) та сховищ паролів.
Поки існують привілейовані облікові записи, всі ризики постійних привілеїв залишаються у системі.
Чому дозволи just-in-time важливі для організації?
Надійно впроваджені дозволи JIT мають безліч переваг:
- Посилення кібербезпеки. Дозволи JIT значно знижують ризик викрадення зловмисниками облікових даних і використання їх для доступу до конфіденційних даних або переміщення через ІТ-екосистему. Це також знижує ризик зловживання обліковими даними, як зловмисного, так і необережного, з боку власників облікових записів.
- Спрощене адміністрування. Впровадження управління привілейованими обліковими записами JIT дозволяє адміністраторам швидко отримувати доступ до необхідних ресурсів, усуваючи при цьому всі завдання управління, пов’язані з постійними обліковими записами, наприклад, часту зміну паролів.
- Відповідність нормативним вимогам. Реалізація принципу найменших привілеїв та встановлення контролю над привілейованими обліковими записами є вимогами всіх основних нормативних актів з комплаєнсу. Аудитори звертають особливу увагу на ці сфери, і прогалини можуть призвести до великих штрафів. Усунення постійних привілейованих облікових записів допоможе уникнути аудиторських перевірок.
Підходи до надання дозволів на адміністрування за принципом just-in-time
Існує кілька різних підходів до надання дозволів за принципом just-in-time. Слід шукати той, який найкраще збалансовує безпеку, ризики та операційні цілі організації. Також варто враховувати зусилля, які знадобляться для зміни поточних процедур.
- Тимчасове розширення. Власному обліковому запису користувача надаються додаткові дозволи на обмежений період часу. Після закінчення цього часу додатковий доступ відкликається.
- Посередництво та видалення доступу. Створюється один або декілька постійних привілейованих облікових записів, а їхні облікові дані зберігаються в центральному сховищі. Користувачі повинні надати обґрунтування при запиті на використання одного з облікових записів для доступу до певних систем протягом певного періоду часу.
- Нульові постійні привілеї. Постійних привілейованих облікових записів не існує. Натомість тимчасові привілейовані облікові записи вмикаються або створюються на основі конкретних потреб і знищуються або вимикаються після використання. Привілейований доступ потрібно запитувати на час, необхідний для виконання певного завдання, яке вимагає підвищених дозволів для конкретної системи, бази даних або програми. Якщо запит схвалено, доступ надається. Після завершення завдання доступ відкликається.
Переваги фреймворку Zero Trust
В рамках постійної стратегії управління ризиками та безпеки даних організації, потрібно працювати над тим, щоб досягти мети нульових постійних привілеїв. Відмова від постійного привілейованого доступу на користь JIT-дозволів допоможе гарантувати, що системи та дані будуть доступні лише тоді, коли на це є вагома причина.
Якісне рішення нульових постійних привілеїв може допомогти компанії впровадити кілька найкращих практик Zero Trust, в тому числі й такі:
- Розподіл обов’язків. Жоден користувач чи пристрій не повинен мати повного доступу до всіх ІТ-джерел.
- Найменш привілейований доступ. Користувачі та пристрої повинні мати доступ лише до тих ресурсів, які їм потрібні.
- Мікросегментація. ІТ-середовище має бути розділене на різні зони безпеки, які вимагають окремої авторизації.
- Доступ just-in-time. Користувачі та пристрої отримують підвищений доступ лише тоді, коли це потрібно, і лише на той час, на який це потрібно.
- Аудит та відстеження. Ведеться журнал кожного запиту на отримання розширеного доступу, незалежно від того, чи був цей доступ наданий і коли він був скасований.
Як Netwrix може допомогти
Програмне забезпечення Netwrix Privilege Secure та Netwrix Password Secure замінює постійні привілейовані облікові записи на привілейований доступ just-in-time. Адміністраторам надається рівно стільки привілеїв, скільки потрібно для виконання конкретного завдання, і лише на той час, поки це завдання не буде виконано. В результаті не існує високопривілейованих облікових записів, які хакери можуть зламати, а власники облікових записів – випадково чи навмисно використати не за призначенням.
