Kdo so privilegirani uporabniki in zakaj je pomembno, da vemo, kaj počnejo v našem omrežju.

 

Informacijsko – komunikacijski sistemi so skozi čas postali pomemben, če že ne osrednji del življenja na vseh tržnih segmentih (javni upravi, zdravstvu, industriji…). V splošnem je njihova glavna naloga vezana na operiranje s podatki, kar pomeni njihovo prejemanje, hranjenje, obdelavo, analizo in nenazadnje tudi proizvajanje in pošiljanje, bodisi osnovnih podatkov, ali podatkov namenjenih kasnejši obdelavi v drugih sistemih. Enako pomembno kot sama vsebina, ki jo podatki prenašajo, je tudi njihova varnost in zaščita pred nepooblaščenimi dostopi.  

 

Potrebe po tem praktično obstajajo od samega začetka civilizacije, ko so že ločevali, komu se določeni podatki zaupajo oz. kdo je do njih upravičen in kdo ne. Kar v IKT svetu predstavlja analogijo z uporabo uporabniških računov. Kasneje se je pojavila še potreba po tem, da poleg imena za dostop do podatkov oseba potrebuje še dodatno besedo oz. geslo, na podlagi katerega so npr. Rimljani ločevali prijatelje od sovražnikov (če si geslo poznal si bil prijatelj, sicer sovražnik). Odkar se izvaja prenos podatkov, obstajajo tudi omejitve do kolikšne količine in katere vrste podatkov ima nekdo dostop.

  • Privilégij-a m (ẹ́)
    mn. posebna pravica, ugodnost, ki omogoča določenemu družbenemu sloju, skupini ljudi ali posamezniku poseben, boljši položaj: dati, izgubiti privilegij; uživati privilegije; boriti se za privilegije / diplomatski, politični privilegiji (SSKJ).
  • Privilegiran uporabnik – oseba, ki ima z vidika dostopa do informacijskega sistema več pravic kot ostali uporabniki (sistemski administratorji, vzdrževalci opreme…).
  • Privilegiran uporabniški račun – uporabniški račun z največ/neomejenimi pravicami na sistemu, napravi (‘admin’, ‘root’, super…).

Kateri so privilegirani uporabniški dostopi?

V informacijsko – komunikacijskih sistemih je situacija danes enaka. Vsakemu uporabniku (fizični osebi) je dodeljen pripadajoči uporabniški račun, ki je zaščiten z ustreznim geslom. Vsakemu uporabniškemu računu so dodeljene pravice, na podlagi katerih je definirana količina in skupina podatkov, do katerih lahko dostopa. Uporabnikom z največ/vsemi pravicami pravimo privilegirani uporabniki, njim pripadajoči uporabniškim računom pa privilegirani uporabniški računi. Primeri uporabniških računov z več pravicami so:

  • lokalni administratorji (niso vezani na osebo, imajo pa z vidika sistema največ pravic, npr. ‘root’),
  • domenski administratorji (največ pravic po celotni domeni),
  • ‘break glass’ računi (sicer neprivilegirani uporabniki z administratorskimi pravicami v izrednih situacijah),
  • storitveni računi,
  • aplikacijski računi (uporabljeni s strani aplikacij za dostop do podatkov npr. v bazi podatkov).

Z vidika informacijske varnostni uporabniki z več pravicami predstavljajo večjo varnostno grožnjo, zato je potreba po nadzoru in upravljanju takšnih uporabniških računov nujna. Priporočljivo je, da se takšne račune uporablja samo, ko je to res nujno potrebno, v minimalnih časovnih okvirjih. Iz tega naslova se je v IKT sistemih formiral skupek strategij in tehnologij za nadzor in upravljanje nad tovrstnimi računi, ki mu pravimo PAM (Privileged Access Management).

 

Izzivi, ki jih lahko uspešno naslovite z rešitvijo PAM

 

#1 Pomanjkanje vidljivosti in sledljivosti

Pogosto se zgodi, da osebe zapustijo organizacijo, njihovi uporabniški računi pa iz takšnih in drugačnih razlogov niso odstranjeni in posledično še vedno veljavni. Zaradi neaktivnosti jim administratorji običajno ne namenjajo pozornosti, zato je njihova izraba v hekerske namene zelo pogosta. Bivšim zaposlenim lahko takšni ‘pozabljeni’ računi še vedno omogočajo neomejen dostop do sistemskih virov.

 

#2 Prekomerno podeljevanje pravic

Nad prekomernim številom pravic se uporabniki običajno ne pritožujejo, zato administratorji za ta problem velikokrat niti ne vedo. Vloga posameznika v podjetju se lahko spremeni, s čimer bi mu bilo določene pravice potrebno odvzeti, vendar se zaradi slabega pregleda in decentraliziranega nadzora to pogosto pozabi storiti.

 

#3 Ročno/decentralizirano upravljanje uporabniških računov

Z decentralizacijo uporabniških računov preko več platform se izgublja sledljivost nad njimi in pravicami, ki so jim dodeljene. Posledično prihaja do prekomernega podeljevanja pravic, ki smo ga omenili že v prejšnji točki. V človeški naravi je, da iste poverilnice uporabimo na več različnih sistemih in jih poredko spreminjamo oz. sploh ne. V praksi to pomeni, da lahko kraja poverilnic enega računa ogrozi tudi varnost ostalih, ki uporabljajo enake poverilnice. Ta problem enostavno rešimo z avtomatiziranim spreminjanjem gesel.

 

#4 Skupni uporabniški računi/gesla 

Določeni uporabniški računi, kot so lokalni administratorji sistemov (npr. ‘root’ ali ‘admin’), so za vse uporabnike, ki se nanje povezujejo, skupni. To pomeni, da akcij kasneje ni možno več enostavno povezati z uporabnikom, ki jih je izvedel, s tem pa je tudi izgubljena revizijska sled.

 

#5 Dodeljevanje dostopa tretjim osebam

Zunanji izvajalci za vzdrževanje potrebujejo dostop do točno določene opreme v omejenih časovnih okvirjih s polnimi pravicami. To sistemskim administratorjem predstavlja izziv, ker računov s polnimi pravicami ne želijo ali pa ne smejo deliti z zunanjimi uporabniki. Reši ga PAM, ki obenem zagotavlja tudi revizijsko sled za primer nepričakovanih/nezaželjenih prekinitev delovanja, ki bi lahko bile posledica človeškega dejanja.

 

#6 Zagotavljanje skladnosti z regulativami

Podatki oseb so danes zaščiteni s t. i. regulativami, ki vsebujejo pravila glede varstva osebnih podatkov (GDPR). S PAM izvajamo varovanje pred nepooblaščenim dostopom do občutljivih podatkov, hkrati pa hranimo ustrezne revizijske sledi, ki omogočajo kasnejšo identifikacijo oseb/aplikacij, ki bi pravila kršila.

 

Razlika med PAM in IAM?

PAM in IAM (Indentity and Access Management) sta sistema, ki ju zaradi podobnosti pogosto zamenjujemo. Oba namreč obravnavata uporabniške račune, njihove pravice in dostope do sistemov. Kljub temu, sta si sistema precej različna, saj je PAM primarno namenjen zaščiti in nadzoru privilegiranih uporabnikov t. j. uporabnikov z več pravicami in posledično omogočenemu dostopu do občutljivejših podatkov, IAM pa ureja dostope vsakodnevnim uporabnikom. Glavna pomanjkljivost sistemov IAM v primerjavi s sistemi PAM je pomanjkanje vidljivosti, sledljivosti in beleženja dostopov privilegiranih uporabniških računov do baz podatkov in aplikacij.

 

Če primerjamo dostop uporabnikov do aplikacije preko obeh sistemov z dostopom oseb v trgovino, so uporabniki, ki jih obravnava IAM tiste osebe, ki v trgovino vstopajo skozi glavna vrata, medtem ko uporabniki, ki jih obravnava PAM, vstopajo skozi službeni vhod. Jasno je, da imajo osebe, v tem primeru zaposleni, ki vstopajo skozi službeni vhod, več pravic kot osebe, ki vstopajo skozi glavni vhod, torej kupci.

 

IAM omogoča, da zaposlenemu na podlagi identitete dovolimo dostop do poštnega predala in občutljivejšega sistema, kot je CRM in podobno. PAM izbranim osebam omogoča administratorski dostop do nastavitev poštnega strežnika z uporabo administratorskega računa.

 

Zakaj nadzirati dostop do infrastrukture IT?

S tem ko zavarujete privilegirane uporabniške dostope, poskrbite za zaščito strateških podatkov podjetja in ključnih virov. Ko imate odgovore na Kdo?, Kdaj? in Kaj? je bilo spremenjeno na infrastrukturi, imate odgovore na več vprašanj glede skladnosti, hkrati pa zagotavljate nemoteno delovanje poslovnih procesov in dnevnih aktivnosti.

 

Prispevek je pripravil Matevž Kuhelj.