Počet kybernetických útokov voči organizáciám sa z roka na rok zvyšuje. Mení sa aj spôsob a cieľ útokov, od krádeží dát sme sa postupom času dostali k aktuálne najväčšej hrozbe, ransomware útokom. Ide o útok vedený s cieľom zašifrovať dáta a vydierať majiteľov systémov o nemalú čiastku pre ich obnovu.
Ilustračné foto: Gerd Altmann z Pixabay
Spomeňme na útoky na slovenské nemocnice, ktoré vyradili z prevádzky kľúčové IT systémy a celé oddelenia nemohli pracovať, pacienti boli prevážaní do iných nemocníc. Aby totiž mohol záškodník napáchať škodu, musí využiť nejakú zraniteľnosť systému a jednou z nich je neriadená správa prístupov do IT systémov. Viete kam presne majú prístup vaši zamestnanci, aké ďalšie typy účtov vo vašej organizácii používate a kto je ich vlastník? Ak nie, ako chcete útoku efektívne predchádzať?
Pandémia ešte viac umocnila možnosť práce so vzdialeným prístupom (VPN, RDP, ssh, a pod…) zamestnancov a vzdialenú plochu využíva čoraz viac externistov. Otázkou však je, ako často sa takéto udelenia certifikujú, kto ich vôbec povolil a s akou platnosťou. Občas sa stane, že aj IT začne podliehať zotrvačnosti zabehnutých procesov.
„Predstavme si, že sme naozaj pod útokom. Útočník kompromitoval účet nášho administrátora. Kam všade sa teraz môže dostať? Dokážeme ho odstrihnúť bez toho, aby sme zastavili beh firmy a spôsobili prevádzkové straty? V takých chvíľach môže ísť o minúty, ktoré vo výsledku ušetria aj milióny,“ hovorí Mgr. Marcel Poul, riaditeľ realizácie projektov v BCV solutions, dodávateľa riešení identity a access managementu a softvérovej integračnej platformy.
S poriadkom v prístupoch do systému pomôže pomôcť identity management softvér (IdM). Ako pomôže IdM narovnať účty?
Identity manager má niekoľko základných princípov, ktoré udržia vaše prístupy v perfektnej kondícii. Postará sa o centrálnu správu a prehľad o všetkých účtoch v organizácii. Stanovuje jednoznačnú zodpovednosť za pridelenie prístupu. Vďaka IdM je možný aj rýchly audit všetkých spravovaných účtov. Samozrejmosťou je aj automatizácia niektorých procesov, ako je napríklad tvorba či odmazávanie prístupu na základe jasne definovaných pravidiel.
Na aké účty sa často zabúda?
Pokiaľ riešime správu prístupov, potom každého napadnú účty zamestnancov. „Áno, mať prehľad o účtoch zamestnanca je základ pre kvalitné identity manažment. Avšak okrem bežných účtov máme aj také, na ktoré sa často zabúda, a napriek tomu sú zaujímavé. Veľakrát pre útočníkov ešte oveľa zaujímavejší ako účet radového zamestnanca,“ prezrádza Mgr. Marcel Poul z BCV solutions.
Účty externistov
Nielen zamestnanci vykonávajú prácu v rámci firemných IT systémov. Veľmi početnou skupinou užívateľov sú externisti, medzi ktorých počítame napríklad externých dodávateľov, ktorí bývajú zriedka kedy centrálne evidovaní. Ďalej to sú stážisti, tí bývajú často evidovaní v personálnom systéme. Často to sú kontraktori, ktorí však práve v personálnom systéme nebývajú a potom to môžu byť aj účty partnerských spoločností.
„Nielen, že externisti bývajú zriedkakedy evidovanie na jednom mieste, zabúda sa hlavne na ich včasné ukončovanie a revíziu ich prístupov. Vzdialené prístupy, ktoré často používajú, sú vydávané na dlhú dobu, niekedy neobmedzene. Jednou z najhorších praktík správy účtov externistov je vydávanie zdieľaných prístupových účtov – napríklad jeden účet pre celú partnerskú firmu. Pri prípadných problémoch potom nie je vôbec zrejmé, kto a kedy prípadný zásah vykonal,“ vysvetľuje Mgr. Marcel Poul z BCV solutions.
Vzdialené prístupy
Špeciálny typ účtov, ktorý využívajú ako interní zamestnanci, tak externisti, sú vzdialené prístupy. Evidencia vzdialených prístupov a ich starostlivá správa by mala byť jedným zo základov identity manažmentu. „Stanice, z ktorých sa do internej siete vzdialene pristupuje sú totiž málokedy spravované danou firmou, je teda potrebné sa k nim správať nanajvýš nedôverčivo a pri prípadnej kompromitácii byť schopní ich rýchlo zablokovať,“ upozorňuje Poul z BCV Solutions, www.bcvsolutions.eu.
Privilegované účty
Sem môžeme počítať účty s vyššími privilégiami, než majú bežní používatelia. Často ide o účty, pod ktorých právami bežia napríklad IT služby v organizácii alebo účty pre administráciu nejakého systému. Správu špeciálnych účtov môže v základe zabezpečiť identity manažment – udrží prehľad o tom, kto a kedy ho založil a aké má napríklad skupiny v doméne AD a kto je vlastník (fyzická osoba) daného účtu. Pokiaľ daný vlastník odíde, IdM vyzve oprávnené osoby k nastaveniu nových vlastníkov tak, aby v organizácii nezostávali špeciálne účty mimo evidencie.
Real time riadenie prístupu k privilegovaným účtom, ako je možnosť dočasne pod účtom pracovať, potom rieši špecializovaný softvér PAM (privileged access management).
Dočasné a testovacie účty
Veľký problém sú účty, ktoré niekto vytvoril len na určité krátkodobé použitie alebo rýchle testovanie bez toho, aby ich následne zmazal. Toto „smetí“ nielen že zneprehľadňuje správu účtov, ale často nie je známy ani ich majiteľ a účel. Pri kompromitácii potom vôbec nie je jednoduché
určiť rozsah napáchaných škôd. V organizáciách sa vyskytujú rôzne typy účtov as ohľadom na kyberbezpečnosť je nutné sa nimi zaoberať. Neriadenie prístupov nielenže znepríjemňuje prácu IT pracovníkom, ale môže predstavovať pomerne nemalú bezpečnostnú hrozbu.
Zdroj: BCV Solutions