VERSLO TRIBŪNA

RĖMIMAS
  1. Pagrindinis
  2. Inovacijos
2024-09-11 05:00
„Santa Monica Networks“

Patikimas IT vartų sargas – PAM: saugo ir nuo įsilaužėlių, ir nuo baudų

Konstantinas Stonkus, bendrovės „Santa Monica Networks“ Tinklo ir kibernetinio saugumo sprendimų pardavimo vadovas.
Konstantinas Stonkus, bendrovės „Santa Monica Networks“ Tinklo ir kibernetinio saugumo sprendimų pardavimo vadovas.
Griežtėjantys kibernetinės saugos reikalavimai, įtvirtinami ES reguliavime, ir išties solidžios baudos už jų nesilaikymą verčia suklusti net verslus, kurių neįtikino augantys kibernetinio pažeidžiamumo mastai. Vienas efektyviausių įrankių, padedančių įgyvendinant naujos kartos saugumo nuostatus organizacijose, yra privilegijuotos prieigos kontrolė.

Jei organizaciją ir jos informacines sistemas lygintume su pastatu, tai būtų butas su daug kambarių, kuriuose laikomos įvairios vertybės. Kambarių durys nėra itin tvirtos, todėl patikimiausias būdas apsisaugoti nuo įsilaužėlių – įsistatyti neįveikiamas buto duris. Būtent tokią funkciją ir atlieka privilegijuotų naudotojų valdymo (PAM – angl. Privileged Access Management) įrankiai. 

„Norint užtikrinti kibernetinę saugą yra labai svarbu žinoti kas, kada, kur jungiasi ir ką daro prisijungę. Visuma, susidedanti iš galimybės prisijungti, slaptažodžių bei teisių, ir vadinama prieiga. Ypač aktualu kontroliuoti privilegijuotą prieigą: trečių šalių naudotojus bei tuos, kurie turi prieigas su padidintomis teisėmis – pavyzdžiui, IT sistemų administratorius. Tokių naudotojų prisijungimas yra tiesioginis grėsmės potencialas, nesvarbu, ar dėl piktavališko jų pačių veikimo, ar tiesiog praradus, o gal nusikaltėliams perėmus jų prisijungimo duomenis“, – dėsto Konstantinas Stonkus, kibernetinių grėsmių prevencijos bendrovės „Santa Monica Networks“ Tinklo ir kibernetinio saugumo sprendimų pardavimo vadovas. 

Teisingas prieigos kontrolės kultūros bei priemonių įgyvendinimas leidžia iki minimumo sumažinti rizikas, kylančias dėl neteisėtų veiksmų atlikimo teisėtai ar neteisėtai pasinaudojus prisijungimais.

Tokiai kontrolei užtikrinti ekspertai primygtinai rekomenduoja pasitelkti privilegijuotų naudotojų valdymo ir slaptažodžių valdymo įrankius – pavyzdžiui, industrijoje pirmaujančio gamintojo „CyberArk“ sprendimus. Ši bendrovė sukūrė PAM, ir jau kone 3 dešimtmečius šis produktas yra bendrovės verslo ašis, o jo ištobulintas funkcionalumas laikomas auksiniu standartu privilegijuotos prieigos kontrolės srityje. 

Suvaldyta aukštos rizikos prieiga 

PAM sistema tarnauja kaip išmanus skydas, užkertantis kelią visiems, norintiems patekti į IT sistemas. Jungtis prie jų jis leidžia tik turinčius tam teisę, naudotojo tapatybę patvirtinus kelių faktorių tapatybės nustatymo priemonėmis, prieš tai kruopščiai juos užregistravęs, pagal nustatytą tvarką gavęs patvirtinimą ir suteikęs vienkartinę prieigą. Be to, PAM seka kiekvieną prisijungusio naudotojo žingsnį, įrašo jo veiksmus ir gali automatiškai sustabdyti arba nutraukti sesiją, jei kyla pagrįstų įtarimų apie neteisėtą veiklą. 

„Tarsi vaizdo stebėjimo sistema, tik kur kas išmaniau fiksuojanti ir kontroliuojanti ne veiksmą fizinėje teritorijoje, o prisijungimus prie IT sistemų“, – vaizdžiai lygina K. Stonkus. 

Beje, visų veiksmų įrašymo funkcija leidžia PAM naudoti ir kaip mokymų medžiagą – pavyzdžiui, atėjus naujam darbuotojui jam patogu peržiūrėti įrašus ir susipažinti su būsimomis užduotimis.  

Viena esminių PAM funkcijų, be stebėjimo, yra paskyrų galinėse sistemose bei slaptažodžių valdymas. Besijungiantis naudotojas gali net nežinoti prisijungimų duomenų: juos sistema generuoja personalizuotai, realiuoju laiku (just in time principu) ir tik su tomis teisėmis, kurios reikalingos užduočiai atlikti. Tai reiškia, kad kitą kartą tas pats naudotojas, norėdamas prisijungti prie tos pačios sitemos, turės vėl praeiti autentifikavimo procedūrą ir bus prijungtas prie galinės sitemos su nauju slaptažodžiu. 

Tai taip pat reiškia, kad prisijungimo duomenys negalės būti nei kam nors perduoti, nei pamesti, nei pavogti ar kitaip prarasti – naudotojas jų nežino, nes jų paprasčiausiai... nėra. Absoliučiai kiekvienam prisijungimui PAM gali kurti unikalius vienkartinius slaptažodžius, gavusi nustatyto asmens patvirtinimą, o vėliau, naudotojui atsijungus, šią informaciją sunaikinti.   

Svarbu atminti, kad prie sistemų jungiasi ne tik žmonės – tarpusavyje ryšius palaiko ir mašinos (VM‘ai, serveriai, aplikacijos, servisai, konteineriai ir pan). Jų komunikacijos saugą taip pat būtina užtikrinti. 

„Būna, kad programų kūrėjai surašo slaptažodžius tiesiai į programinį kodą. Tai nesaugu, nes gavę prieigą prie kodo piktavaliai įgauna prieigą prie visų slaptažodžių, kuriuos gali toliau naudoti kenkėjiškai veiklai vykdyti. PAM visus programiniuose koduose naudojamus duomenis laiko vadinamajame seife (angl. vault) ir išduoda, kai jų prireikia. Šie slaptažodžiai taipogi reguliariai keičiami, ko negalima pasakyti apie programiniuose koduose įrašytus duomenis.  Taigi PAM atlieka ne tik naudotojų kontrolę, bet padidina ir tarpmašininio bendravimo saugumą“, – aiškina K. Stonkus. 

Įtiks ir auditui: jokių „pamirštų“ naudotojų ar tiekėjų 

Toks tarp naudotojų ir įmonės sistemų budintis saugumo tarpininkas kaip PAM sumažina kibernetinio saugumo rizikas. Viena jų – „užmiršti“ naudotojai bei administratoriai, kurie jau seniai pasikeitę ar net palikę įmonę, tačiau vis dar išlaikę turėtas prieigos teises. Jomis pasinaudodami jie gali pasiekti organizacijos sistemas, duomenis, prie kurių neturi turėti prieigos. Įmonėje vykstant žmonių kaitai, žmonių migracijai tarp skyrių, pareigų, vykstant pokyčiams IT infrastruktūroje, teisių valdymo ir perteklinių teisių higiena neretai pasimiršta. Todėl prieigos valdymas yra dažna problema daugumoje įmonių. Šioje vietoje į pagalbą ateina PAM sprendimai. 

Antra vertus, svarbi ir esamų administratorių kontrolė. Neretai jie dėl patogumo linkę susikurti sau daugiau teisių nei leistų saugumo standartai. PAM šiuo atžvilgiu griežta: paskyrų ir teisių suteikimo procedūra aiškiai apibrėžia, kokio asmens patvirtinimą (dažniausiai ne vieną) reikia gauti, norint prisijungti prie konkrečios sistemos, ir kokius veiksmus ten galima daryti.   

Kitas svarbus aspektas – trečiųjų šalių prisijungimai, kurių saugumo lygį, neturėdama PAM, organizacija gali kontroliuoti labai ribotai. Su išoriniais naudotojais atsiranda tiekėjų grandinės atakų rizika, išauga nesankcionuotų veiksmų atlikimo ar prisijungimo duomenų vagystės grėsmė, ypač jei slaptažodžiai yra bendri. Dažniausiai trūksta ir matomumo,  įrašų apie trečių šalių veiklą prisijungus. 

Tuo tarpu PAM leidžia turėti saugiai valdomą privilegijuotą prieigą visoje IT infrastruktūroje: vietinėje, hibridinėje bei debesijų. 

„PAM vykdo maksimaliai saugią prieigos kontrolę prie galutinės sistemos, su personalizuotu slaptažodžiu ir antruoju autentifikavimo faktoriumi. Šis papildomas barjeras pakelia kibernetinio saugumo lygį iki auksinio standarto, ir tampa nebesvarbu, iš kurios vietos ir kokio įrenginio jungiamasi – tai galima daryti nors ir visiškai primityviai. Be to, atsiranda atsekamumas, visada aišku, koks konkrečiai žmogus jungėsi ir kokius veiksmus atliko. Tai patogu ir trečiajai šaliai, jai nereikia diegtis papildomos programinės įrangos, taip pat ženkliai supaprastėja tiekėjo teisės prisijungti suteikimo procesas“, – pabrėžia K. Stonkus. 

Galimybė nesudėtingai audituoti paskyras, peržiūrėti, ar nėra perteklinių teisių, reikalui esant patikrinti, kas kokią veiklą ir kur vykdė, perkelia įmonės kibernetinę priežiūrą į kitą saugumo lygį. Tai – ne tik tiesioginė nauda, bet ir prevencinė priemonė, sauganti nuo netikėtumų audito metu. 

PAM užtikrina, kad naudotojai jungiasi pagal aukščiausius saugumo standartus, todėl organizacija išvengs kaltinimų, jog naudojo lengvai pažeidžiamas sistemas arba turi daugybę „pamirštų dvasių“ – naudotojų, kuriems kažkada buvo suteikta laikina prieiga, tačiau pasibaigus projektui ar darbo sutarčiai, ją pamiršta panaikinti. Tokie pražiūrėjimai itin kliūna įmonėse sistemų auditą atliekantiems tikrintojams. 

Atitinka direktyvų reikalavimus 

PAM suteikia galimybę naudotojams jungtis personalizuotai ir maksimaliai saugiai, stebėti prisijungimus ir tai, kas vyksta naudotojui prisijungus, bei įrašyti visą šią veiklą. Šie funkcionalumai PAM paverčia ne tik vienu tinkamiausių įrankių zero trust politikai užtikrinti įmonėje. Platforma yra ir puikus įrankis norintiems įgyvendinti reguliacinę atitiktį bei išvengti grėsmingų finansinių nuostolių, reputacinės žalos bei verslo trikdžių ar net sustabdymo. 

Europos Sąjunga kryptingai griežtina kibernetinio saugumo standartus: artėjanti NIS 2 direktyva įveda asmeninę vadovo atsakomybę ir iki 10 mln. Eur. siekiančias baudas. Ir nors direktyvos techniniai ir organizaciniai reikalavimai dar nėra pilnai išgryninti, tačiau, pasak K. Stonkaus, apimtis tikrai matosi. Neabejojama, kad organizacijoms teks rimtai rūpintis slaptažodžių politikos, IT sistemų administratorių bei trečiųjų šalių kontrolės klausimais. 

„Šio privilegijuotų naudotojų valdymo įrankio dėka įmonė gali susitvarkyti naudotojų teisių „ūkį“  įsidiegdama pasaulyje pripažintas gerąsias praktikas – o tai ir yra visų NIS 2 reikalavimų esmė. Cyberark Identity Platform yra bene labiausiai išbaigta PAM ir tapatybės saugumo platforma rinkoje. Jos gamintojas visas jėgas skiria tik šio produkto vystymui ir jau daugelį metų yra srities lyderis. PAM padės užtikrinti, kad jūsų IT infrastruktūra nenukentėtų kažkam nusprendus pasinaudoti privilegijuotomis teisėmis ir atlikti kenkėjišką veiklą. Žinoma svarbu ir tai, kad sistema organizacijoje būtų įdiegta kokybiškai ir profesionaliai“, – tikina „CyberArk“ sprendimus diegiančios ir prižiūrinčios bendrovės „Santa Monica Networks“ Tinklo ir kibernetinio saugumo sprendimų pardavimo vadovas. 

REKOMENDUOJAME

52795
130817
52791