Security World

Čtěte také: Omezte nadměrná práva privilegovaným uživatelům (1)

 

Vytvořte si dlouhodobou i krátkodobou strategii. I když může vaše organizace řešit konkrétní bolavá místa – negativní výsledek auditu pro konkrétní platformu nebo ve firemní skupině, provozní problémy s manuálními procesy, přerušení produkce nebo neúmyslný či záměrný únik dat způsobený někým se sdíleným pověřením – je absence technologie PIM obvykle systémovým problémem, který se dotýká všech podnikových systémů.

Pokud si vyberete konkrétní produkt PIM k vyřešení určitého omezeného cíle (například projít příštím auditem nebo řídit přístup k systému CRM), můžete nakonec koupit řešení, které nebude splňovat všechny vaše potřeby.

„Sdílené účty představují téměř stejné riziko nezávisle na tom, zda je to sdílený účet pro správu databáze (DBA), který poskytuje přístup k databázi, nebo administrátorský účet pro směrovače Cisco nebo sdílený účet správce e-mailu pro Exchange Server,“ prohlašuje Adam Bosnian, výkonný viceprezident společnosti Cyber-Ark. „Pokud mohu použít systém jako správce k provedení své práce, mám v rukách mocný nástroj a mohu také způsobit skutečné škody.“

Dokud nepoužijete globální přístup, nebudete chápat, jak jsou vaše nesourodé systémy vzájemně propojeny a jak na sobě vzájemně závisejí. Nepodaří se vám vytvořit zásady a procesy, které vytvoří efektivní základ pro program privilegovaných identit.

Do nástroje PIM tedy investujte s přihlédnutím k celé problematice. Podívejte se na to zeširoka a vytvořte celopodnikovou strategii. Poté můžete stanovit priority, kde začnete svou implementaci – na základě jakých systémů, aplikací, platforem a tříd privilegovaných uživatelů (například správci systémů Windows či správci DBA), kde je největší riziko, co ovlivní nejvíce uživatelů atd.

Použijte vícefázový přístup založený na široké dlouhodobé strategii. Každá fáze je významným projektem a bude těžit ze silného celkového nasměrování a zkušeností z předchozích fází.

„Musíte se na to podívat komplexně, protože v odděleních IT je vše propojeno se vším,“ prohlašuje Jeff Nielsen, viceprezident inženýrství společnosti BeyondTrust. „Je zde finanční databáze připojená k databázi CRM, která je propojena s aplikací pro zpracování objednávek. Citlivá data se nacházejí v celém řetězci.“

Rozsáhlý plán s postupnou implantací také pomůže demonstrovat auditorům, že máte použity programy a nástroje, které nedostatky vyřeší podle předem daného plánu.

Vyžadujte pokrytí celé platformy. Globální strategie vyžaduje globální použitelnost. V počáteční fázi se například můžete zaměřit na správu systémů Windows, ale co účty unixových a linuxových serverů, které plánujete řešit ve třetím čtvrtletí? Používá vaše firma standardně jednu databázovou platformu či dodavatele síťové infrastruktury, nebo v dohledné budoucnosti očekáváte heterogenní prostředí? Jak sloučení a akvizice firem ovlivní typy účtů, které budete muset spravovat?

„Viděli jsme některé aplikace, které nezvládnou celý rozsah Unixu a Linuxu nebo dokonce dokážou pracovat jen se systémem Windows či nezvládnou SQL Server,“ uvádí analytička zabezpečení informací v oné velké družstevní záložně, která využívá produkty firmy Lieberman Software.

Také zvažte obtížnost a náklady zahrnuté při podpoře zákaznických aplikací.

Využijte integraci se svými dosavadními prostředky – PIM neexistuje ve vákuu. Konkrétně zajistěte, aby produkty PIM bezproblémově pracovaly s vašimi existujícími systémy správy identit (IdM, Identity Management) a adresáři při automatickém poskytování a odebírání uživatelských práv v souladu s podnikovými zásadami.

Tyto zásady by se měly odrážet ve členství ve skupinách Active Directory a v dalších zvolených adresářových repozitářích a také v poskytování práv na základě rolí prostřednictvím vašeho systému IdM.

Systém PIM by měl provádět aktualizaci automaticky v reálném čase nebo co nejblíže reálnému času, aby se změny odrazily ve členství ve skupinách, v přiřazení skupin a v individuálních uživatelských rolích. Tato přiřazení mohou být vysoce dynamická, jak zaměstnanci přicházejí a odcházejí či mění pracovní pozice v rámci organizace nebo jak jim jsou podle potřeby přiděleny dočasné role.

Jedním ze základních rozdílů mezi produkty IdM a PIM je problém sdílení privilegovaných účtů, protože nemohou být svázány s jednotlivcem. PIM tento problém řeší eliminací potřeby sdílených účtů a jejich sdílených hesel kontrolou přístupu na základě individuálních funkcí definovaných podle jejich rolí. Tak těsná integrace s IdM je důležitá, pokud má PIM efektivně automatizovat a pojmout celý podnik využitím současných mechanizmů a zásad pro identity.

Tyto zásady a jejich přidružené procesy by měly zahrnout dobře definované pracovní postupy pro potvrzování změn, které lze efektivně automatizovat, takže dalším klíčovým prvkem, po kterém je dobré se poohlížet, je těsná nativní integrace s tzv. tiketovými systémy. Když například správce požaduje autorizaci změny sady pravidel pro skupinu firewallů, spustí jeho požadavek přístupu dobře definovaný a automatizovaný pracovní postup schvalování na základě zásad, který je řízen prostřednictvím tiketového systému.

Integrace systému SIEM (správa událostí a bezpečnostních informací) může být také velmi cenná. Protože PIM váže správcovská privilegia k jednotlivcům, může SIEM korelovat tuto informaci s daty z jiných systémů zabezpečení k detekci a analýze anomálií a případně nalézt propojení záškodnických aktivit s jednotlivci namísto se sdílenými anonymními účty. Nebo pokud uživatel nezískal privilegovaný přístup prostřednictvím PIM, může to odhalit hackera nebo automatizovaný útok.

 

Příště se podíváme, jak vyhodnocovat současné procesy a jak lze v této oblasti využít outsourcingových služeb.

autor Neil Roiter