Poradnik zakupowy Gartner dla Privileged Access Management charakteryzuje zarządzanie kontami i sesjami uprzywilejowanymi (PASM) jako podkategorię zarządzania dostępem uprzywilejowanym (PAM). Podczas gdy PAM obejmuje kontrolowanie i zabezpieczanie dostępu uprzywilejowanego dla użytkowników, kont i systemów w ogólności, PASM koncentruje się na zarządzaniu, monitorowaniu i zabezpieczaniu kont uprzywilejowanych i sesji, podczas których konta te są używane. Dzięki PASM możesz kontrolować i śledzić realną aktywność kont uprzywilejowanych w czasie rzeczywistym. Rozwiązania PASM mogą usprawnić zarządzanie kontami uprzywilejowanymi, rejestrować działania użytkowników w sesjach uprzywilejowanych i kończyć je w przypadku wykrycia podejrzanej aktywności. W tym artykule chcielibyśmy skupić się właśnie na zarządzaniu kontami uprzywilejowanymi jako koncepcji, a nie konkretnie na systemach typu PAM.
Wdrożenie PASM może być skomplikowane, jeżeli nie zastosujemy odpowiedniego podejścia. Poniżej przedstawiliśmy sześć podstawowych najlepszych praktyk, od których warto zacząć, aby bezpiecznie i skutecznie zarządzać kontami i sesjami uprzywilejowanymi.
1. Automatyzacja wykrywania i zarządzania kontami uprzywilejowanymi
Zautomatyzowanie wykrywania kont uprzywilejowanych jest we wdrażaniu PASM kluczowym krokiem. W miarę rozwoju infrastruktury IT organizacji tworzone są w nich nowe konta uprzywilejowane. jeżeli pozostaną niezarządzane lub nieznane zespołom IT, mogą stanowić poważne zagrożenie dla bezpieczeństwa. Zautomatyzowane wykrywanie umożliwia organizacji ciągłą identyfikację wszystkich istniejących kont uprzywilejowanych, w tym niezarządzanych. Po odkryciu wszystkich kont uprzywilejowanych można zacząć zarządzać nimi w jednym miejscu, np. ustawiając bezpieczne hasła, ograniczając dostęp użytkowników i konfigurując harmonogramy rotacji haseł.
2. Egzekwowanie zasady najmniejszych wymaganych uprawnień
Zasada najmniejszych uprawnień ma na celu zminimalizowanie ryzyka związanego z nadmiernymi uprawnieniami dostępu. Zapewnia, iż użytkownicy, aplikacje i systemy uzyskujące dostęp do uprzywilejowanych kont mają tylko minimalne uprawnienia, niezbędne do wykonywania przypisanych zadań. Ograniczając dostęp w taki sposób, można zmniejszyć narażenie wrażliwych zasobów zarówno na zewnętrznych atakujących, jak i zagrożenia wewnętrzne. Aby skutecznie egzekwować zasadę Least Privilege, najważniejsze jest ciągłe przeglądanie i dostosowywanie uprawnień dostępu do kont w oparciu o zmiany ról pracowników i potrzeby organizacji.
3. Wdrożenie bezpiecznego zarządzania hasłami
Bezpieczny proces zarządzania hasłami jest niezbędny do ochrony kont uprzywilejowanych i łagodzenia ryzyka związanego z naruszonymi poświadczeniami. Rozwiązania do zarządzania hasłami pomagają wdrażać solidne polityki, aby mieć pewność, iż hasła na kontach uprzywilejowanych są skomplikowane i chronione. Ogranicz dostęp do haseł kont uprzywilejowanych do jak najmniejszej liczby osób. Regularnie zmieniaj hasła do kont, zgodnie z częstotliwością odpowiadającą profilowi ryzyka bezpieczeństwa i potrzebom zgodności Twojej organizacji.
4. Wykorzystanie uwierzytelniania wieloskładnikowego
Uwierzytelnianie dwuskładnikowe (2FA) dodaje uzupełniającą warstwę zabezpieczeń do kont uprzywilejowanych. Wymagając wielu form weryfikacji użytkownika, 2FA utrudnia atakującym dostęp do kont uprzywilejowanych, choćby jeżeli ich dane uwierzytelniające zostaną naruszone. Należy wdrażać rozwiązania cyberbezpieczeństwa, które obsługują 2FA jako część procesów zarządzania tożsamością i dostępem, aby zabezpieczyć konta uprzywilejowane.
5. Zarządzanie dostępem uprzywilejowanym just-in-time
Wdrożenie zarządzania dostępem uprzywilejowanym just-in-time (JIT PAM) może również pomóc w zabezpieczeniu kont uprzywilejowanych i sesji. Kluczową ideą JIT PAM jest to, iż użytkownikowi udzielany jest dostęp do konta uprzywilejowanego tylko wtedy, gdy go potrzebuje, na minimalny czas wymagany do wykonania określonego zadania, po czym dostęp ten jest natychmiast odwoływany. Eliminując przedłużający się, niepotrzebny dostęp uprzywilejowany do krytycznych danych i systemów, JIT PAM może pomóc zminimalizować ryzyko nieautoryzowanego dostępu i niewłaściwego wykorzystania uprawnień. choćby jeżeli konto uprzywilejowane zostanie naruszone, JIT PAM zapewnia, iż okno możliwości atakującego jest ograniczone do najkrótszego możliwego okresu.
6. Monitoring i rejestracja sesji uprzywilejowanych
Monitorując i rejestrując sesje użytkowników uprzywilejowanych, uzyskujesz kompleksowy obraz działań kont uprzywilejowanych w punktach końcowych organizacji. Monitorowanie działań kont uprzywilejowanych pomaga identyfikować podejrzane zachowania użytkowników i reagować na nie, zapobiegając w ten sposób zagrożeniom wewnętrznym, atakom na konta naruszone i innym rodzajom aktywności, które mogą zaszkodzić organizacji. Z kolei nagrania sesji uprzywilejowanych pozwalają utworzyć i zachować niezawodny ślad audytu, przydatny zarówno dla potrzeb cyberbezpieczeństwa, jak i działań na rzecz zgodności.
Podsumowanie
Metodologia PASM umożliwia rozwijanie cyberbezpieczeństwa w organizacji, zapobieganie zagrożeniom, ochronę krytycznych danych i spełnianie wymagań zgodności. Pomaga łagodzić ryzyko związane z kontami uprzywilejowanymi i sesjami użytkowników. Najlepsze praktyki wymienione wyżej pozwolą w prostszy sposób przejść przez uciążliwy proces wdrażania tego modelu.
