Image
19.10.2016 0 Comments

PR: PAM – správa privilegovaných účtov

Prečo neukladať heslá v Exceli?

Skratka PAM v nadpise znamená Privileged Account Management, čiže správa privilegovaný účtov. Takto sa zvyknú označovať nástroje na zabezpečenie a správu prístupových údajov.  administrátorských, servisných a aplikačných účtov.

V podnikovej praxi sa často stretávame s uchovávaním týchto pre bezpečnosť informačných systémov kľúčových informácií v textových súboroch, excelovských listoch, prípadne v aplikáciách typu KeePass alebo LastPass.

Tieto spôsoby  uloženia nespĺňajú bezpečnostné požiadavky voči aktuálnym hrozbám, zle sa spravujú, prakticky neexistuje žiadna automatizácia zmien hesiel ani dostatočné auditné záznamy. Navyše nie je možné nastavenie požadovaných prístupov k jednotlivým informáciám.

Až 62% narušení bezpečnosti je spojené so zneužitím prístupov k privilegovaným účtom, pričom medzi infiltráciou a odhalením útočníka uplynie v priemere 240 dní. Pritom až 60% zraniteľností sa dá zmierniť, alebo odstrániť obmedzením privilegovaných práv používateľov.

Jedným z kvalitných a bezpečných riešení, ktorá rieši naznačené problémy je bezplatná aplikácia Secret Server od spoločnosti Thycotic. https://www.alef.com/sk/thycotic.c-300.html  Tento komplexný nástroj dostatočne zabezpečí citlivé informácie, poskytne vám detailný audit o prístupe, automatizuje správu a použitie týchto účtov. Secret Server generuje dostatočne silné heslá, ktoré nepotrebujete poznať ani si ich nikam zaznamenať.

Secret Server od spoločnosti Thycotic umožní vo firmách a organizáciách aplikovať elementárne zabezpečenia na privilegované účty, ktoré sú stále častejšie cieľom kybernetickým útokom.

Secret Server je aplikácia, ktorá beží pod Microsoft IIS serverom a dáta bezpečne uchováva v databázach Microsoft SQL Servera. Všetky citlivé údaje sú v databáze zašifrované pomocou metódy AES 256. Webový prehliadač je predvolená možnosť ako pristupovať k tejto aplikácii zo strany používateľa. Štandardne je podporovaný Internet Explorer, Google Chrome a Firefox. Ďalej je možné využiť aplikáciu pre smartfóny alebo desktopovú  aplikáciu. Veľkou výhodou je možnosť využiť API a integrovať tak funkcie Secret Serveru do vašich aplikácií a skriptov.

Užívateľa pristupujúceho k Secret Serveru je štandardne možné overovať proti Microsoft Active Directory a to ideálne v kombinácii s dvojfaktorovým overovaním. Filozofia oprávnenia v aplikácii je založená na RBAC (Role-based access control) modeli a doplnená o jednotlivé sady prístupov pre každú citlivú informáciu. Je teda možné na základe rolí priradiť jednotlivé oprávnenia užívateľovi. Samotné citlivé informácie je možné ukladať do priečinkov v stromovej štruktúre a riadiť ďalej oprávnenie pre každú zložku alebo jednotlivú citlivú informáciu. Možnosť dediť oprávnenia v rámci stromu je potom samozrejmosťou. Vďaka tomuto systému je teda možné jasne určiť kto má akú úlohu v rámci aplikácie a kto môže k akej citlivej informáciu pristúpiť.

Secret Server nie je len bezpečná databáza citlivých údajov a prístupových informácií. Jeho najväčšou devízou je možnosť využitia bezpečnostných funkcií a automatizovaných úloh k lepšiemu zabezpečeniu týchto účtov.

Medzi tieto funkcie patria najmä:

  • Pokročilé metódy pre zabezpečenie prístupu k samotnému heslu. Možnosť zmeniť heslo pre uložený účet po každom jeho použití. Možnosť zažiadanie o prístup k heslu (zo strany používateľa) a následné schválenie (zo strany vlastníka). Možnosť vynútiť komentár pri každom použití hesla.
  • Možnosť automaticky otvárať konzoly pre správu systémov a aplikácií. Medzi tieto konzoly patria napríklad Microsoft RDP, Microsoft SQL Server Management Studio, SSH konzoly (Putty), Microsoft PowerShell. Je možné využiť rozšírenia do prehliadačov, ktoré automaticky doplní prihlasovacie údaje do webových formulárov. Ďalej je možné definovať vlastné konzoly. Vďaka tejto funkcii nepotrebuje administrátor poznať samotná heslá, pretože sa konzola automaticky otvorí a doplní uložené informácie.
  • Možnosť využiť Secret Server ako proxy pre RDP a SSH spojenie. Je teda možné na koncových systémoch povoliť iba spojenie iniciovaná zo strany samotného Secret Servera.
  • Možnosť nahrávať aktivitu v jednotlivých RDP a SSH spojeniach. Vďaka tejto funkcii sa Vám budú uchovávať záznamy vo forme videa. Je možné sledovať tieto konzoly naživo a v prípade nežiaduce aktivity prerušiť spojenie a tým odoprieť prístup. V prípade SSH je možné uchovávať textové záznamy vstupu a výstupu v konzole.
  • Možnosť automatickej zmeny hesla a periodického overovania platnosti hesla. Vďaka týmto funkciám je možné dodržať požadované bezpečnostné politiky na zmenu hesiel a zároveň zachovať vysokú komplexnosť a dĺžku hesla. Pravidelné overovanie platnosti hesla Vám zabezpečí, že nedošlo k pokusu o neautorizovanú zmenu hesla zo strany prípadného útočníka.
  • Možnosť automatického vyhľadávania privilegovaných účtov. Vďaka tejto funkcie je možné periodicky kontrolovať stroje uložené v Active Directory, prípadne podľa definovaného sieťové segmentu a kontrolovať vznik nových privilegovaných účtov. Pomocou sady pravidiel je možné tieto účty zároveň automaticky uložiť do Secret Servera a aplikovať na ne automatickú zmenu hesiel podľa požadovaných politík.
  • Možnosť správy aplikačných účtov. Ak používate aplikačné účty (pre Windows Services, Scheduled Tasks a alebo v IIS Application Pools) a máte ich uložené v ActiveDirectory, je pravidelná zmena hesla problém. V prípade, že by ste zmenili heslo v ActiveDirectory k takémuto účtu, je nutné dané heslo zadať v koncových systémoch pri danej aplikácii. Secret Server umožňuje automaticky zmeniť heslo a následne toto heslo propagovať na naviazané aplikácie automaticky.
  • Možnosť implementácie so SIEM. Secret Server odosiela všetky auditné informácie v štandarde syslog a je možné ich potom spracovávať v SIEM systémoch. Pre Splunk existuje pripravená aplikácia, ktorá vám pomôže začať spracovávať tieto informácie.
  • Možnosť konfigurácie vysokej dostupnosti. Štandardne sú podporované všetky natívne funkcie Microsoft SQL pre replikáciu a zrkadlenie databáz. Ďalej je možné mať samotné aplikačné servery v režime vysokej dostupnosti a potom pomocou štandardných load-balancing technológií zabezpečiť vysokú dostupnosť.

Vďaka Thycotic Secret Serveru je možné aplikovať vysokú úroveň zabezpečenia pre privilegované účty a zároveň automatizovať najčastejšie úlohy s týmito prístupmi.

Veľkým prínosom je možnosť cielene zmeniť heslá, ku ktorým mal prístup administrátor, ktorý opúšťa spoločnosť a tým sa teda chrániť pred cielenými útokmi zo strany bývalých zamestnancov, prípadne bývalých dodávateľov technológií. Podobný nástroj by dnes mal byť štandardom na každom IT oddelení a nielen na IT.

Vďaka Secret Serveru je možné sa zbaviť papierikov s heslami na monitoroch bežných užívateľov. Na učtárni už nebude potrebné si poznamenávať PIN kódy k jednotlivým kartám do bánk. Zdieľaná heslá marketingových účtov k sociálnym sieťam nebude potrebné zložito dohľadávať.

Secret Server spoločnosti Thycotic ponúka jedinečné riešenie správy hesiel pre IT administrátorov a bezpečnostných špecialistov enterprise organizácií. Vytvára elementárnu bezpečnostnú vrstvu, ktorá chráni pre kybernetickými útokmi zameranými na privilegované účty a tým zvyšuje bezpečnosť rizikových dát. Naviac je všetko možné ovládať z jednej konzoly a tak popri zvýšeniu úrovne zabezpečenia ušetriť čas a náklady.


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Biznis

Šiesty ročník STARTUP AWARDS pozná víťazov a obsahom aj návštevnosťou prekonal všetky predchádzajúce

06.12.2016 00:15

Tohtoročné Startup Awards, ktoré sa konali v piatok 2. decembra v bratislavskom Istropolise, už majú svojich víťazov. V súťaži vyberala zahraničná odborná porota spomedzi dvanástich nápadov celkom v š ...

Biznis

Amazon bude prevážať dáta v kamiónoch. Chce tak ušetriť čas

05.12.2016 10:02

Na svojej používateľskej konferencii re:Invent predstavil Amazon nový spôsob, ako môžu zákazníci presúvať veľké objemy dát do jeho cloudovej služby Amazon Web Services (AWS). Pre veľké firmy, ktoré c ...

Biznis 1

Xiaomi vraj neutrpí poklesom predaja smartfónov, živia ho iné zdroje

02.12.2016 00:19

Prepad predaja smartfónov na čínskom trhu nebude mať významný dosah na spoločnosť Xiaomi, pretože bude kompenzovaný predajom inteligentných domácich spotrebičov a príjmami zo softvéru. Povedal to star ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá