Права адміністратора – це палиця з двома кінцями: хоча ІТ-фахівці потребують підвищених прав для виконання своєї роботи, ці привілеї можуть бути використані не за призначенням самими адміністраторами, а також зловмисниками, які скомпрометували їхні акаунти.
Перший крок для захисту від цих ризиків досить простий: зменшити кількість облікових записів адміністраторів, відмовивши бізнес-користувачам у правах локального адміністратора. Хоча користувачі часто чинять опір цьому заходу, вони зазвичай не потребують прав локального адміністратора для виконання своєї роботи, а вилучення цих прав обмежує можливості, які отримають зловмисники, заволодівши їхнім обліковим записом. Наприклад, вони не зможуть встановити кейлогери або запустити шкідливе програмне забезпечення.
Але залишаються ще й інші облікові записи з підвищеними привілеями в ІТ-середовищі, які становлять ще більший ризик. Ці облікові записи надають права, які насправді потрібні їхнім власникам для виконання покладених на них обов’язків, таких як коригування конфігурації інфраструктури, створення облікових записів для нових співробітників або скидання паролів користувачів. Тому організації не можуть просто відкликати ці підвищені права, так само як вони видаляють права локального адміністратора; їм також потрібен механізм надання підвищених привілеїв, коли це необхідно.
Ефективним підходом для вирішення цієї проблеми є нульові постійні привілеї (zero standing privileges, ZSP). Вони замінюють ризиковані привілейовані облікові записи тимчасовим доступом «just-in-time». У цій статті пояснюється, як працюють нульові постійні привілеї і як вони долають проблеми, притаманні традиційним підходам до управління привілейованим доступом (PAM).
Чому класичні рішення PAM залишають величезну площу для атак?
Традиційні рішення управління привілейованим доступом призначені для того, щоб допомогти організаціям захистити облікові записи з підвищеними правами доступу. Зазвичай організації мають десятки або навіть сотні таких облікових записів. Традиційні рішення PAM часто зберігають облікові дані привілейованих облікових записів у сховищі паролів. Уповноважені особи щодня перевіряють свої облікові дані, щоб отримати адміністративний доступ до систем, якими вони керують, наприклад, до певної бази даних або системи на кшталт Active Directory.
Однак спроба жорстко контролювати привілейований доступ за допомогою традиційних методів PAM, таких як сховище паролів, залишає значні ризики для безпеки. Коли повноважні облікові записи існують постійно, ці постійні привілеї завжди вразливі до зловживань з боку їхніх власників або з боку зловмисників.
Більше того, навіть за наявності суворого контролю доступу, вони мають тенденцію до накопичення набагато більшого обсягу прав, ніж насправді потрібно. Як наслідок, вони стають легкою здобиччю для зловживань з боку їхніх власників та поглинання зловмисниками. Дійсно, облікові дані адміністратора є головною мішенню зловмисників, оскільки вони дають їм можливість отримати привілейований доступ до конфіденційних даних, систем та інших критично важливих ІТ-ресурсів.
Що таке нульові постійні привілеї?
Нульові постійні привілеї (zero standing privileges) – це сучасний підхід до PAM, який долає недоліки традиційних інструментів. Його мета – звести кількість облікових записів з підвищеними привілеями до нуля, наскільки це можливо. Замість цього привілейований доступ надається лише тоді, коли він необхідний, точно відповідає поточній роботі та автоматично видаляється одразу після її завершення. Як результат, така стратегія дає змогу зменшити площу поверхні атаки та знизити ризик витоку даних і перебоїв у роботі. А завдяки суворому контролю привілейованого доступу інструменти нульових постійних привілеїв є цінним компонентом моделі кібербезпеки Zero Trust.
Роль касира в роздрібному бізнесі є корисною аналогією. Більшу частину часу касовий апарат залишається зачиненим. Він відкривається лише тоді, коли транзакція вимагає доступу касира до нього. Після завершення транзакції шухляда знову автоматично замикається. Як і у випадку з нульовими постійними привілеями, немає постійної кнопки, яку касир може натиснути, щоб відкрити шухляду, коли забажає.
Приклад нульових постійних привілеїв
Щоб побачити, як працюють нульові постійні привілеї наведено приклад, що відбувається, коли адміністратору на ім’я Роман потрібно отримати привілейований доступ до чутливого ІТ-ресурсу, щоб виконати призначене завдання:
- Роман надсилає запит, в якому детально описує завдання та привілеї, необхідні для його виконання.
- Коли запит схвалено, рішення створює тимчасовий обліковий запис з достатніми привілеями для виконання завдання.
- Завдання виконується або інтерактивно Романом (наприклад, за допомогою RDP до сервера), або системою від його імені (наприклад, шляхом перезавантаження сервера).
- Коли завдання виконано, тимчасовий ідентифікатор видаляється автоматично.
Ключові елементи нульових постійних привілеїв
Як видно з прикладу, модель нульових постійних привілеїв базується на наданні обмеженого доступу на обмежений проміжок часу. Відповідно, інструменти нульових постійних привілеїв повинні надавати як доступ «just-in-time» (JIT), так і достатній рівень привілеїв (найменші привілеї).
- Доступ JIT – користувачі не мають постійних привілейованих облікових записів. Замість цього їм надається підвищений доступ, коли це потрібно, і лише на час, необхідний для виконання їхнього конкретного завдання.
- Принцип найменших привілеїв – диктує, що кожному обліковому запису надаються лише ті права доступу, які необхідні для виконання покладених на нього завдань. Рішення нульових постійних привілеїв повинні дотримуватися цього принципу під час надання привілеїв JIT і надавати користувачеві лише ті права доступу, які йому потрібні для роботи з конкретними програмами, системами або іншими ІТ-ресурсами, необхідними для виконання поставленого завдання.
Додаткові цінні можливості нульових постійних привілеїв
Розширені рішення нульових постійних привілеїв пропонують додаткові цінні можливості, такі як:
- Робочі процеси запитів і затвердження – у більшості випадків запит на привілейований сеанс повинен бути розглянутий відповідним співробітником, який може схвалити або відхилити його. Автоматизовані робочі процеси спрощують цей процес і тому можуть бути життєво важливими для прийняття та затвердження рішень.
- Моніторинг сеансів у реальному часі – безперервний моніторинг привілейованої активності необхідний для виявлення та усунення підозрілої поведінки, помилок та інших потенційно шкідливих дій у реальному часі.
- Запис і відтворення сеансів – можливість переглядати записи сеансів є безцінною для розслідувань та індивідуальної підзвітності. А наявність повного аудиторського сліду привілейованої діяльності може знадобитися під час аудиту на відповідність вимогам.
Як Netwrix може допомогти
Рішення Netwrix, як Netwrix Privilege Secure та Netwrix Password Secure дозволяють впровадити найкращі практики PAM та зменшити ризики, пов’язані з привілейованим доступом. Вони ідентифікують постійні привілеї та замінюють їх на доступ, який надається вчасно і в необхідному обсязі. Вони також забезпечують автоматизовані робочі процеси запитів/затверджень і дозволяють відстежувати, реєструвати та відтворювати привілейовані сеанси, щоб мати можливість перехоплювати загрози до їх ескалації.
