W naszym ostatnim artykule (Co dla IAM oznacza Zero Trust?) sporo miejsca poświęciliśmy zagadnieniom związanym ze strategią Zero Trust, która w obszarze zarządzania tożsamością i dostępem stała się w ostatnich latach bardzo popularna. Jednym z kluczowych elementów tej strategii jest reguła „Least Privilege”, która redukuje ryzyko związane z nadmiernym przypisaniem uprawnień, wykorzystywane do przeprowadzenia udanych ataków na organizację klienta. Zgodnie z tą regułą powinniśmy nadawać minimalne uprawnienia dla tożsamości pracowników, kontraktorów czy usług, pozwalające im na realizację zlecanych zadań. Takie podejście jest niezwykle skuteczne w zmniejszaniu przestrzeni zagrożenia. Przykładowo w jednym z raportów wykazano, iż samo odebranie użytkownikowi uprawnień administratora w przypadku rozwiązań firmy Microsoft pozwala zmniejszyć ryzyko udanego ataku z wykorzystaniem krytycznych luk o 88%, a gdyby wyeliminowano w ogóle możliwość korzystania z konta lokalnego administratora, to wykorzystanie wszystkich luk bezpieczeństwa można byłoby zmniejszyć o 80% („2019 Microsoft Vulnerabilities Report: Key Findings”). Należy również podkreślić, iż uprawnienia lokalnego administratora Windows są tutaj tylko przykładem i powinniśmy w tym miejscu stosować szersze kryteria obejmujące każdy rodzaj dostępu uprzywilejowanego bez względu na system operacyjny czy aplikację. Pokazuje to również, jak wiele można osiągnąć, stosując w praktyce prostą zasadę – nieprzydzielenia nadmiarowych uprawnień.
Jak zredukować ryzyko związane z wykorzystaniem nadmiarowych uprawnień?
Oczywiście niemożliwe jest całkowite wyeliminowanie wykorzystania dostępu uprzywilejowanego, ponieważ czy to w trakcie standardowych czynności, czy prac związanych z usuwaniem nagłych awarii, dostęp taki jest niezbędny. Mamy też wbudowane konta uprzywilejowane, których nie możemy się pozbyć – musimy je bardzo dobrze zabezpieczać przed nieautoryzowanym dostępem.
Istnieje kilka sposobów na ograniczenie ryzyka związanego z dostępem uprzywilejowanym, czyli wykorzystaniem uprawnień wyższych niż standardowe, a są to na przykład metody takie jak:
- ochrona kont uprzywilejowanych z wykorzystaniem rozwiązań klasy PAM,
- analiza ról i automatyzacja zarządzania uprawnieniami z wykorzystaniem systemów IGA\IAM.
W większości przypadków firmy wybierają rozwiązania PAM i starają się zabezpieczyć przed nadmiarowym wykorzystaniem dostępu uprzywilejowanego poprzez zastosowanie rozwiązań polegających na nagrywaniu sesji zestawionej do systemu czy aplikacji z wykorzystaniem konta uprzywilejowanego. o ile jednak nie idzie z tym w parze ochrona poświadczeń takiego konta, to jest to rozwiązanie niekompletne. Pisząc „ochrona”, mamy na myśli zmianę hasła po wygaśnięciu sesji, kontrolowanie dostępu do hasła, dostęp do hasła na wniosek, zarządzanie kluczami SSH i inne metody związane z ochroną dostępu do takiego konta) – czyli to, co jest domeną kompletnych rozwiązań PAM (Co to jest PIM? Co to jest PAM? Co to jest PSM? Co to jest zarządzanie kontami uprzywilejowanymi?). Organizacje, które wdrożyły rozwiązania klasy PAM, mogą jednak pójść krok dalej i wziąć pod uwagę jeszcze jeden aspekt związany z ograniczeniem uprawnień nadawanych kontom, mianowicie przydzielanie ich na określony czas. Zwróćmy uwagę, iż choćby w przypadku zastosowania systemów klasy PAM, uprawnienia kont uprzywilejowanych zwykle zostają tym kontom przydzielone na stałe, co oznacza, iż te konta są zawsze włączone, mają cały czas ten sam zestaw uprawnień, który może być wykorzystany przez siedem dni w tygodniu 24 godziny na dobę, co stanowi duże ryzyko dla organizacji.
Czym adekwatnie jest Just-in-Time (JIT) i jak to działa?
Just-in-Time to taktyka zakładająca, iż dostęp uprzywilejowany albo podwyższone uprawnienia niezbędne do realizacji danych czynności są nadane tylko na określony czas, w którym zadania te muszą być zrealizowane. Zauważmy, iż może to dotyczyć zarówno kont pracowników, jak i kont aplikacji, usług czy serwisów, i w każdym z tych przypadków czas ten może być inny. Jak wiemy, realizacja czynności administratora nie wymaga tego, żeby uprawnienia administracyjne były nadane na np. całe 8 godzin pracy w dni robocze – możemy ten czas skrócić do niezbędnego minimum i jednocześnie zmniejszyć okienko czasowe, w którym intruz może wykorzystać uprawnienia przejętego konta. Sytuacja jest inna w przypadku kont serwisowych czy technicznych, gdzie czas ten jest zwykle dłuższy, ale tutaj duże znaczenie ma wcześniej opisana zasada nienadawania uprawnień nadmiarowych oraz prawidłowe zarządzanie takimi kontami w kontekście ich okresowej weryfikacji i wyłączania kont niewykorzystywanych.
Just-in-Time oznacza również, iż uprawnienia powinny być nadane tylko w określonym celu i kontekście – czyli musimy spełnić określone warunki, takie jak np. odpowiedni wniosek o dostęp do konkretnego zestawu aplikacji i czynności administracyjnych. Realizacja takiego wniosku od strony technicznej powinna być w pełni automatyczna i raportowana, co możliwe jest do spełnienia z wykorzystaniem rozwiązań klasy PAM lub z wykorzystaniem w pewnym zakresie systemów IAM\IGA. Po zatwierdzeniu wniosku włączane jest (lub tworzone) odpowiednie konto, które dodawane jest do określonych grup w celu podwyższenia uprawnień lub nadawane mu są odpowiednie prawa w celu realizacji określonych czynności uprzywilejowanych. Następnie realizacja czynności jest rejestrowana z poziomu rozwiązania PAM. Po wygaśnięciu okienka czasowego konto jest usuwane z grup, wyłączane (albo usuwane) i tym samym niemożliwe staje się jego wykorzystanie.
Dlaczego powinniśmy rozważyć wdrożenie Just-in-Time (JIT)?
Implementacja założeń JIT jest naturalnym rozwinięciem zarządzania dostępem uprzywilejowanym i pozwala na automatyzację tworzenia i usuwanie uprawnień uprzywilejowanych na określony czas, a tym samym redukuje okres, w którym możliwe staje się wykorzystanie podatności związanych z danym dostępem uprzywilejowanym. JIT umożliwia również wymuszenie stosowania w organizacji pełnej zasady najmniejszego dostępu, będącej składnikiem strategii Zero Trust, czyli między innymi eliminacji stale włączonych wektorów ataków w postaci dostępnych cały czas dla użytkownika kont uprzywilejowanych. W końcu wdrożenie Just-in-Time pozwala na zwiększenie produktywności poprzez uproszczenie czynności związanych z przyznawaniem dostępu uprzywilejowanego dla użytkowników końcowych.
Jeżeli jesteście zainteresowani sposobami implementacji JIT w Waszej organizacji, zapraszamy do kontaktu z firmą Prolimes (www.prolimes.com).