Privilegovaní uživatelé (tedy vaši administrátoři, síťoví správci a jiní IT odborníci) hrají zásadní roli v životním cyklu každé organizace. Lidé se zvýšenými přístupovými právy pracují s citlivými daty, kritickými systémy a cennými aktivy. Proto je třeba je komplexně sledovat. Co se nám osvědčilo v praxi? Pojďte se začíst do dalšího článku.
Schopnost monitorovat a řídit aktivity privilegovaných uživatelů navíc patří mezi hlavní požadavky zákonů a standardů kybernetické bezpečnosti, jako je zákon o kybernetické bezpečnosti (ale také mezinárodně uznávané PCI DSS , HIPAA , SOX a NIST 800-53).
PUM, PAM a jiné
Udělejme si napřed pořádek v terminologii:
- PUM – Privileged User Management > správa privilegovaných uživatelů
- PAM – Privileged Access Management > správa privilegovaných účtů
- PIM – Privileged Identity Management > správa privilegovaných identit
Jde o 3 různá řešení pro řízení a správu přístupu, která můžeme používat k vytvoření strategie zabezpečení účtů a uživatelů. Dnešní řešení a přístupy k monitorování aktivity uživatelů jsou poměrně flexibilní a umožňují soustředit se na to, na čem nejvíce záleží. Vždy je ale co zlepšovat. Náš seznam níže se týká 10 nejlepších osvědčených postupů pro PUM.
1. Zapomeňte na částečné sledování
Sledování aktivity uživatelů je náročné na zdroje. Potřebujeme shromáždit velké množství nejrůznějších dat, přenést je z monitorovaných koncových bodů na server nebo cloud a uložit je. A čím více uživatelů hlídáme, tím více zdrojů využíváme. Z tohoto důvodu mnoho organizací volí částečné monitorování a sleduje pouze specifické typy dat, systémů, událostí a aktivit. Nám se tento přístup neosvědčil.
Poloviční opatření jsou totiž v kybernetické bezpečnosti nebezpečnou volbou. Pokud jde o privilegované uživatele, rozhodně. Vždyť mohou mít trvalý a téměř neomezený přístup k nejdůležitějším částem podnikové sítě. Dává proto smysl bedlivě sledovat každou jejich akci.
Až budete činit strategické bezpečnostní rozhodnutí, zvolte raději řešení, které zaznamenává veškerá data. Ideálně v lehkých formátech, včetně snímků obrazovky nebo videozáznamů. A když v těch záznamech budete moci snadno vyhledávat, zjistíte rychle, že i to je velká výhoda.
2. Řekněte ne neomezeným privilegiím
Udržování dostatečné úrovně monitorování privilegovaných uživatelů není jednoduché. Jinými slovy – čím méně privilegovaných uživatelů je ve vaší organizaci a čím méně oprávnění mají, tím snazší je náležitě je monitorovat.
Kybernetičtí útočníci se často zaměřují na privilegované uživatele. Je to chytré, protože jejich účty obsahují klíče k cenným informacím. Zlomyslní zasvěcenci (toto pojmenování nás baví) s neomezenými oprávněními mohou také změnit systémové protokoly, aby zakryli své zločiny. Zvažte proto udělení omezených privilegií pouze úzkému okruhu zaměstnanců a pouze na omezenou dobu a přitom bedlivě sledujte každého z nich.
Existuje několik přístupů, které můžete implementovat: princip nejmenšího privilegia , architekturu nulové důvěryhodnosti , just-in-time PAM a tak dále. Klíčem je ujistit se, že ani privilegovaní uživatelé nemají přístupová oprávnění neomezená nebo trvalá.
3. Zbavte se stínových adminů
Účty, které mají stejná přístupová oprávnění jako správci, ale nejsou zahrnuty do monitorovaných skupin správců (např. správci domény), se obvykle nazývají stínoví správci. Lidská chyba, pohodlnost, důvody mohou být rozličné… Privilegovaní uživatelé každopádně často přidělí ostatním uživatelům stejné úrovně oprávnění, kteréjaké mají oni sami. Setkáváme se ale s tím, že přidělování oprávnění tímto způsobem není vždy řádně monitorováno a spravováno.
Špatně monitorované a spravované účty s přístupovými právy správce představují významnou hrozbu. Zpráva IBM Security X-Force Insider Threat Report z roku 2021 ukazuje, že 80 % bezpečnostních incidentů způsobených zasvěcenými osobami přímo či nepřímo souviselo s účty se zvýšenými oprávněními. Z tohoto důvodu je zajištění plné viditelnosti nad všemi privilegovanými účty pro zajištění kybernetické bezpečnosti organizace zásadní.
Důležité je nejen věnovat pozornost aktivitě privilegovaných účtů, ale také jejich vytváření a mazání. Hledejte řešení, která dokážou analyzovat všechny síťové účty, a objevte ty s oprávněními na úrovni správce. Jakmile odhalíte všechny privilegované účty, ujistěte se, že jste smazali ty nepoužívané a zbytek nakonfigurujte tak, aby nebylo možné delegovat uživatelská oprávnění nebo vytvářet nové stínové administrátory.
4. Sledujte využití zařízení USB
Víme, že víte. Přesto se nepřestáváme divit, kolik organizací využívání externích datových úložišť nemonitoruje. Zákeřný zasvěcenec přitom může použít USB disk jako nástroj k úniku a kompromitaci citlivých dat, ke krádeži duševního vlastnictví vaší společnosti nebo k provedení předem naprogramované strategie útoku. Chcete-li zajistit maximální ochranu vašich datových souborů, je důležité sledovat všechna zařízení USB zapojená do sítě.
Dává logikuJe logické zvážit nasazení nástrojů pro monitorování zařízení USB, které umožňují dostávat upozornění pokaždé, když je připojeno podezřelé zařízení USB, schvalovat nebo zakazovat určité typy zařízení USB a průběžně sledovat všechna připojení.
5. Věnujte zvýšenou pozornost sdíleným privilegovaným účtům
Jsme pravidelně svědky toho, že některé společnosti používají sdílené privilegované účty ke zjednodušení pracovního postupu správy, čímž do svých IT infrastruktur neúmyslně zavádějí rizika kybernetické bezpečnosti.
Přestože jsou sdílené účty pohodlné, brání procesu monitorování a auditování aktivity uživatelů. Je totiž těžké bez použití specifických nástrojů odlišit akce jednoho uživatele od druhého.
Využití sekundárního ověřování uživatelů jako dalšího bezpečnostního opatření pomáhá jasně rozlišit všechny uživatele sdíleného účtu a zároveň sledovat a efektivně auditovat jejich aktivitu.
6. Sledujte neschválená vzdálená přihlášení
Čím více máte vzdálených pracovníků, tím více souvisejících bezpečnostních problémů může vzniknout.
Organizace běžně poskytují vzdálený přístup ke svým datům různým skupinám uživatelů: klasickým zaměstnancům, pracovníkům na částečný úvazek a subdodavatelům. Pokud tito uživatelé mají přístup k jakémukoli druhu citlivých informací, zvažte implementaci softwaru pro monitorování vzdálené plochy. Budete je moci pečlivě sledovat.
U privilegovaných uživatelů je žádoucí také monitorovat a zaznamenávat relace protokolu RDP (Remote Desktop Protocol), a to stejným způsobem jako místní relace. Zvažte také nastavení přísných pravidel, pro které systémy a data jsou vzdálená přihlášení povolena, a vytvoření seznamů povolených IP adres.
7. Zabraňte úpravám protokolů a záznamů
V závislosti na úrovni svých oprávnění mohou privilegovaní uživatelé měnit nebo odstraňovat různé protokoly a záznamy. Na úrovni sítě lze tento problém vyřešit poskytnutím neomezeného přístupu k systémovým protokolům pouze určité roli nebo přísně omezené skupině uživatelů.
Pokud jde o výběr řešení pro monitorování aktivity uživatelů, je důležité vybrat takové, které ve výchozím nastavení brání úpravám protokolů nebo sestav. Jen tak si můžeme být jisti, že se záznamy nikdo nemanipuluje.
8. Sledujte anomálie
I když se vlk schovává v rouše beránčím, stále zůstává vlkem. Chování legitimního uživatele se výrazně liší od chování vnějšího útočníka nebo škodlivého insidera. Mezi běžné příklady anomálií chování uživatelů patří:
- Přihlášení nebo odhlášení ze systému v neobvyklých hodinách.
- Pokus o přístup k dříve nepoužívaným nebo omezeným systémům.
- Používání podezřelého softwaru.
- Připojování podezřelých vyměnitelných zařízení.
- Nahrávání velkých objemů dat na neznámá místa.
K detekci abnormálního chování uživatelů sítě nasazujeme technologii provádějící analýzu chování uživatelů a entit (UEBA). Jejím prostřednictvím vytváříme pro každého uživatele nebo entitu v systému základní profil chování. Na základě těchto profilů poté analyzujeme aktivitu uživatele a entity a rozlišujeme normální (bezpečnou) aktivitu od abnormální (potenciálně podezřelé) aktivity. Pokud chcete zachytit jakékoliv anomálie v činnostech vašich privilegovaných uživatelů, implementaci podobných technologií jednoznačně doporučujeme.
9. Provádějte pravidelná školení v oblasti kybernetické bezpečnosti
Pro efektivní monitorování privilegovaných uživatelů je zásadní organizování školení o povědomí v bezpečnosti. Uživatelé bez patřičných znalostí nemusí rozumět nutnosti je monitorovat a mohou se dokonce pokusit oklamat nebo sabotovat implementované bezpečnostní nástroje a zásady.
Zvyšování povědomí zaměstnanců o kybernetické bezpečnosti může snížit počet chyb, kterých se privilegovaní uživatelé dopouštějí. Přiměje je také si více uvědomovat privilegia, která jim byla udělena, a zvýší jejich ochotu dodržovat zavedené postupy kybernetické bezpečnosti. Když si také vaši zaměstnanci uvědomí, jak identifikovat hrozby kybernetické bezpečnosti, s větší pravděpodobností si všimnou podezřelé aktivity a upozorní vás na ni.
Protože většině organizací chybí zdroje a časové kapacity, dali jsme dohromady řadu online bezpečnostních kurzů. V případě zájmu vaše pracovníky rádi vzděláme osobně – naši specialisté se mohou dostavit přímo k vám. Pro kybernetickou bezpečnost totiž není nic důležitějšího, než informovaní a odolní zaměstnanci.
10. Nikdy si nedávejte pauzu
V neposlední řadě by monitorování privilegovaných uživatelů nikdy nemělo být považováno za jednorázovou událost. Pokud je monitorování aktivity uživatelů prováděno pouze občas, byť pravidelně, nezajistí plnou viditelnost akcí uživatele ani náležitě neochrání kritická data.
PUM je nepřetržitý proces a měl by být neustále vylepšován. Ujistěte se, že jste zrevidovali své privilegované uživatelské postupy monitorování a správy a vylepšili je o nejlepší postupy.
Nám se jako platforma pro řízení vnitřních rizik, monitorování všech typů uživatelů a správu přístupu ke kritickým systémům, aplikacím a datům osvědčil systém Ekran. Umožňuje implementovat všechny osvědčené postupy pro PUM, které jsme popsali výše, a poskytuje bohatou sadu funkcí pro správu vnitřních hrozeb.