S růstem komplexity IT prostředí a tlakem na dodržování legislativních požadavků roste význam a důležitost systematického řízení privilegovaných přístupů (tzv. Privileged Access Management, PAM). Tyto přístupy představují kritický vektor pro možné zneužití, ať už ze strany kyberútočníků, nebo samotných správců. A právě proto by jejich správa neměla být opomíjena ani v prostředí firem a institucí s jinak pokročilými bezpečnostními politikami. I toto téma zaznělo na odborné konferenci Kyberbezpečnost 2025 Ostrava díky Radku Kuglerovi ze společnosti COMGUARD. Co se posluchači dověděli?
Privilegované účty jsou bezpečnostní riziko
Privilegované účty umožňují neomezený přístup k operačním systémům, síťovým zařízením, databázím nebo aplikačním vrstvám. Tradičně jsou tyto účty sdílené, málo monitorované a často jsou i mimo rozsah běžného řízení identity. Ve výsledku proto organizace často ztrácí přehled o tom, kdo a kdy vykonával činnosti s dopadem na kritické systémy. Nedostatečná kontrola těchto účtů zvyšuje pravděpodobnost úspěšného útoku, znemožňuje forenzní analýzu a porušuje zásady bezpečnostního řízení dle existujících i chystaných legislativních rámců.
Závažnost problému navíc roste v prostředí, kde se kombinují interní a externí správci, cloudové služby, vývojové prostředí a provozní infrastruktura. Bez jednotné správy přístupů vznikají fragmentovaná oprávnění. A jejich správa pak není škálovatelná ani bezpečná.
PAM v kontextu kybernetické bezpečnosti
Řešení typu PAM slouží jako bezpečnostní kontrola nad těmi nejcitlivějšími činnostmi v organizaci. V moderním přístupu k zabezpečení (např. Zero Trust Architecture) je řízení privilegovaných účtů zcela zásadní. Zero Trust předpokládá, že žádný subjekt – tedy ani uživatel, ani zařízení, ani proces – není implicitně důvěryhodný. V tomto paradigmatu je nutné veškerý privilegovaný přístup explicitně schválit, ověřit a monitorovat.
Kromě silné autentizace (včetně multifaktorových metod) a principu nejmenších oprávnění (tzv. Principle of Least Privilege, POLP) umožňuje PAM zavedení modelu tzv. Just-in-Time přístupů. V nich jsou oprávnění udělována pouze na přesně stanovenou dobu a pro konkrétní úlohu. Každá aktivita je tak auditovatelná, přístupy lze omezit dle kontextu a všechny operace i zpětně analyzovat.
Wallix PAM: Případová implementace systematického přístupu
Řešení Wallix PAM od společnosti COMGUARD má architekturu plně integrovatelné platformy umožňující řídit přístupy ke všem úrovním infrastruktury – od síťových prvků přes aplikační servery až po databáze a systémové účty. Klíčovou výhodou představuje jeho schopnost poskytovat dočasné přístupy na základě schvalovacího procesu a centrální správu přihlašovacích údajů bez nutnosti jejich sdílení s uživateli.
Z technického hlediska odděluje identitu uživatele od samotného privilegovaného účtu, a tím eliminuje problém sdílených identit typu root nebo admin. Umožňuje zaznamenávat aktivitu v reálném čase, vytvářet auditní záznamy přístupových relací a propojit se s nadřazenými systémy, jako jsou SIEM nebo systém řízení incidentů (SOAR). Je proto nejen reaktivním, ale současně i prediktivním prvkem v bezpečnostní infrastruktuře.
Doporučení: Začněte řídit privilegované přístupy systematicky
Efektivní řízení privilegovaných přístupů by dnes mělo být považováno za základní bezpečnostní kontrolu, nikoliv za volitelné opatření. Z pohledu kybernetické bezpečnosti je implementace tohoto nástroje nejen cestou ke splnění regulatorních požadavků (např. dle NIS2 nebo nového Zákona o kybernetické bezpečnosti), ale především prostředkem k omezení provozních rizik a zvýšení provozní odpovědnosti.
Námi doporučený postup vychází z osvědčené praxe: Začněte identifikací a klasifikací kritických systémů a aktiv, která jsou spravována prostřednictvím privilegovaných účtů. Následně proveďte jejich revizi – kdo má ke kterým účtům přístup, jakým způsobem je tento přístup realizován a zda je možné jej zdokumentovat nebo auditovat. Na základě této analýzy zaveďte centrální řízení přístupů, postavené na principech Zero Trust (nedůvěřuj, ověřuj), POLP (nejmenší nutná oprávnění) a Just-in-Time přidělování práv. Důležité je nejen samotné omezení přístupů, ale i zavedení auditních mechanizmů, automatizovaného schvalování přístupů a schopnosti dohledat každou činnost provedenou pod privilegovaným účtem.
Systematické řízení přístupů je preventivní i reaktivní nástroj na vaší straně: Omezuje prostor pro útok a současně zvyšuje transparentnost i schopnost rychlé reakce při bezpečnostních incidentech.
Zajímá vás víc?
Obrátit se můžete přímo na našeho obchodního ředitele Radima Pracucha. Zavolejte na +420 724 065 027 nebo napište na pracuch@datasys.cz a zjistěte, jak DATASYS může pomoci zabezpečit právě vaši organizaci.