Kas tai? Eksperto įžvalgos

IT administratoriai – ne vieninteliai, dėl kurių reikia privilegijuotų prieigų apsaugos

Reklama publikuota: 2021-10-01 05:00
„Blue Bridge“ Infrastruktūros valdymo sprendimų skyriaus vadovas Algirdas Lunys.
svg svg
„Blue Bridge“ Infrastruktūros valdymo sprendimų skyriaus vadovas Algirdas Lunys.

Nors privilegijuotų paskyrų saugumas – viena populiariausių kibernetinio saugumo temų, dažnai pamirštama, kad privilegijuoti naudotojai tai ne tik IT administratoriai, turintys prieigą prie visų veiklai kritinių sistemų ir juose saugomų duomenų, bet apskritai bet kuris darbuotojas, turintis teises prisijungti ir atlikti įvairius pakeitimus įmonės sistemose, vykdyti finansinius mokėjimus, teikti pasiūlymus pirkimuose ir kt. Pavyzdžiui, marketingo skyrius administruoja jūsų įmonės socialinius tinklus, o buhalteriai – finansinių duomenų ir apskaitos sistemas. Lietuvoje vykusių kibernetinio saugumo incidentų patirtis rodo, kad ir šie darbuotojai gali būti nelojalūs, o įsilaužėliai pirmiausia taikosi būtent į jų prisijungimo duomenis.

Nelaukite, kol jūsų organizacijos duomenys bus pavogti, imkitės veiksmų dabar!

Bendri slaptažodžiai – patogu, bet pavojinga

Susidomėjimas privilegijuotų paskyrų administravimo problemomis kilo atkreipus dėmesį į paplitusius ir daugelyje organizacijų įsišaknijusius IT administratorių įpročius dalytis bendrais slaptažodžiais jungiantis prie sistemų, IT įrangos, debesijos paslaugų ir t. t.

Vėliau pastebėta, kad panašius slaptažodžių saugojimo įpročius turi ir kiti įmonės specialistai. Taip atsiranda visam skyriui ar pareigoms bendras prisijungimas prie socialinių tinklų, vidinių sistemų, internetu pasiekiamų SaaS programų ir t. t., o tai kelia ne ką mažesnę grėsmę. Kai kada situacija net dar blogesnė: prisijungimai prie sistemų – naudotojo vardas ir slaptažodis – „tradiciškai“ saugomi visiems pasiekiamoje vietoje, kad bet kuris darbuotojas galėtų su jais prisijungti.

Viena vertus, tokios praktikos neabejotinai patogios ir padeda darbuotojams sutaupyti laiko ir nepamiršti slaptažodžių, tačiau, kita vertus, šie įpročiai – didžiausia ir lengviausiai išnaudojama grėsmė įmonės duomenimis, finansams bei reputacijai.

Įpročiai, padėję susikurti įsilaužimo technikai

Kaip pastebi „Blue Bridge“ kibernetinio saugumo ekspertas Kęstutis Meškonis, ypač aiškią grėsmę principas „kaip patogiau“ kelia kalbant apie privilegijuotas IT specialistų paskyras. Pavyzdžiui, neretai IT administratoriai įpranta su tais pačiais slaptažodžiai jungtis prie visų lygių sistemų bei mašinų, o slaptažodžiai keliauja iš rankų į rankas ir nekeičiami metų metais. Specialistas neslepia, kad net teko susidurti su situacija, kai prisijungimai prie administratorių paskyrų buvo nekeičiami dešimtmečiais.

Šie ydingi slaptažodžių administravimo įpročiai yra tokie gajūs ir dažni, kad padėjo susikurti populiariai „horizontalaus judėjimo“ įsilaužimo technikai, kai įsilaužėlis, naudodamasis vogtais kredencialais, gali greitai ir nepastebimai judėti iš vienos sistemos į kitą, vogti kitus kredencialus, turinčius dar aukštesnes prieigos teises ir tokiu būdu plėsti savo nelegalią prieigą.

Kaip pabrėžia K. Meškonis, šis įsilaužimo būdas nebūtų įmanomas, jeigu visos paskyros turėtų unikalius slaptažodžius.

Sprendimas, galintis pakeisti slaptažodžių kultūrą

Slaptažodžių ir kitų prisijungimo duomenų, vadinamų kredencialų, saugojimo įpročiai – dalis bendresnės kultūros, todėl spręsti šią problemą reikėtų kompleksiškai. Pavyzdžiui, ieškant įrankių, kurie paskatintų keisti įpročius arba panaikintų daugiausiai laiko atimančius slaptažodžių saugumo žingsnius.

Kaip pastebi „Blue Bridge“ Infrastruktūros valdymo sprendimų skyriaus vadovas Algirdas Lunys, tokiu sprendimu vis dažniau tampa privilegijuotų prieigų valdymas (angl. Privileged access management (PAM)). PAM kategorijos sprendimai – tai centralizuotos slaptažodžių ir kitų identifikacijos duomenų saugojimo sistemos, kurios pasižymi universalumu. Tai reiškia, kad PAM padeda neapsunkinant darbuotojų kasdienio darbo užtikrinti jų saugumą, veiksmų matomumą ir kontrolę.

„Net geriausia slaptažodžių politika dažniausiai neveikia susidūrus su žmogiškuoju faktoriumi. Reikalavimas reguliariai atnaujinti slaptažodžius ir užtikrinti jų sudėtingumą daugeliui darbuotojų, tarp jų ir IT administratoriams, nėra patogus, todėl jo nesilaikoma. Su PAM ši problema išsprendžiama – slaptažodžių rotacija gali vykti automatiškai, užtikrinant slaptažodžių kompleksiškumą. Be to, galima pasirinkti PAM nustatymus, pagal kuriuos naudotojai net nematys slaptažodžio ir prie sistemų jungsis ne tiesiogiai, o per PAM“, – pasakoja pašnekovas ir priduria, kad tas pats principas galioja ir antrojo autentifikavimo faktoriaus reikalavimui. Jo naudojimas turint PAM – privalomas.

Didesnis IT tiekėjų veiksmų atsekamumas

Greta bazinio privilegijuotų naudotojų paskyrų apsaugos, ypatingą dėmesį PAM sprendimai leidžia skirti būtent IT administratorių paskyroms. Tokiu būdu apsisaugoma nuo grėsmių, kurias kelia neprižiūrimos prieigos prie aplikacijų, debesijos paslaugų, duomenų bazių ir įvairių administravimo tarnybų.

 „PAM leidžia ne tik visapusiškai valdyti IT administratorių paskyras pagal iš anksto nustatytas taisykles (nuolat automatiškai rotuojami kompleksiniai slaptažodžiai, prisijungimas tik su dviejų faktorių autentifikavimu, darbo sesijų įrašymas ir t. t.), bet ir lengvai panaikinti privilegijuotą naudotoją vos darbuotojui išėjus iš darbo. Tad sumažinama slaptažodžių nutekėjimo galimybė ne tik dėl išorinių, bet ir vidinių grėsmių, pavyzdžiui, buvusių darbuotojų ne lojalumo“, – pabrėžia A. Lunys.

Įmonėms, įsigyjančioms dalį IT paslaugų iš trečiųjų šalių, PAM taip pat aktualus. „Turint PAM galima užtikrinti kur kas saugesnį samdomų sistemų kūrėjų ar IT tiekėjų prisijungimą prie jautrių sistemų, IT įrangos ir t. t. Kadangi šiuolaikiniai PAM sprendimai turi IT administratorių darbo sesijų įrašymo ir klaviatūros paspaudimų fiksavimo funkcijas, visada galima peržiūrėti, kas buvo prisijungęs prie sistemos, kokius veiksmus atliko ir t. t. Tai liečia ne tik vidinius įmonės specialistus, bet ir išorinius IT tiekėjus“, – komentuoja A. Lunys.

Svarbios ne tik funkcijos, bet ir pasitikėjimas gamintoju

Ką reikėtų turėti omeny planuojant įsigyti PAM? A. Lunys pastebi, kad PAM kategorijos sprendimų pasirinkimas išties platus – nuo atvirojo kodo iki prestižinio „Gartner“ kvadranto lyderių.

„PAM – tai vieta, kurioje, perkeltine prasme, saugome raktus nuo savo namų – privilegijuotų naudotojų slaptažodžius, todėl kad ir kokį sprendimą pasirinktumėte, svarbiausia, kad juo pasitikėtumėte“, – pabrėžia pašnekovas ir pasidalija „Blue Bridge“ patirtimi: „Pavyzdžiui, viena iš priežasčių, kodėl rekomenduojame „Thycotic“ PAM sprendimą, yra tai, kad šis JAV gamintojas turi tarptautinės IT sprendimų saugumo „The Common Criteria“ programos sertifikatą, liudijantį, kad sprendimas buvo detaliai įvertintas akredituotojoje laboratorijoje, atitinka tarptautinius standartus, yra skaidrus bei saugus ir funkciniu, ir kitais požiūriais“, – pasakoja A. Lunys ir priduria, kad atitikimas „The Common Criteria“, „The Federal Information Processing Standard 140-1“ (FIPS 140-1) ir kitokiems daugelio Vakarų šalių pripažįstamiems saugumo standartams taip pat galėtų būti vienas iš PAM pasirinkimo kriterijų.

Antrasis žingsnis renkantis PAM, anot pašnekovo, galėtų būti pažintis su kibernetinį saugumą reguliuojančiais teisės aktais – ne tik nacionaliniais, bet ir tarptautiniais. Jų reikalavimus irgi galima naudoti kaip bazinių kriterijų sąrašą.

Kalbėdamas apie PAM diegimą, A. Lunys pasidalija įžvalga, kad nors daugumai klientų nekyla didesnių priežiūros iššūkių, vis dėlto reikėtų pasirūpinti, kad tiekėjas apmokytų jūsų IT personalą, kaip prižiūrėti PAM.

„Dar geriau, jeigu tiekėjas galėtų ne tik paruošti naudojimui PAM, bet ir parengti slaptažodžių bei privilegijuotų prieigų politiką, atitinkančią kliento poreikius. Toks pasirengimas leistų sutaupyti laiko ir greitai bei paprastai startuoti su šiuo sprendimu“, – pažymi „Blue Bridge“ atstovas.

Pasirinkite jus dominančias įmones ir temas – asmeniniu naujienlaiškiu informuosime iškart, kai jos bus minimos „Verslo žiniose“, „Sodros“, Registrų centro ir kt. šaltiniuose

Gauk nemokamą VERSLO naujienlaiškį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:














Svarbiausios dienos naujienos trumpai:



 
Rašyti komentarą 0
IT administratoriai – ne vieninteliai, dėl kurių reikia privilegijuotų prieigų apsaugos Verslo tribūna

Nors privilegijuotų paskyrų saugumas – viena populiariausių kibernetinio saugumo temų, dažnai pamirštama, kad...

Pakeliui į tvarų verslą: laikas keisti normas ir nusisukti nuo neatsakingųjų  Verslo tribūna

Kiekvienas verslas gali būti tvarus, ginčija Gerrit Jan van’t Veen. Tačiau tam, kad kiekviena įmonė imtų...

Išmani Lietuva
2021.09.24
Iš užsienio universitetų sugrįžę lietuviai įkūrė startuolį, kuris taikosi į farmacijos pramonę Premium

Biotechnologijos ilgą laiką buvo viena Lietuvos mokslą garsinusių sričių, o pandemija leido ją sustiprinti ir...

Inovacijos
2021.09.23
Augančių startuolių ekosistemų indekse – Lietuvos šuolis per 60 pozicijų Premium

Lietuva besivystančių startuolių ekosistemų indekse per metus iš 80–90 pozicijos pakilo į 20–30, skelbiama...

Inovacijos
2021.09.22
Žalia šviesa žaliems startuoliams – kas padeda pritraukti sėkmę ir milijonus? Verslo tribūna

Tvarus, švariosiomis technologijomis grindžiamas verslas – ypač patrauklus investuotojams, tačiau pirkėjams...

Išmani Lietuva
2021.09.17
Virtualioje IT CONNECTED scenoje: „Google Cloud“ atstovai ir smagiosios „Cybersecurity for Dummies“ autorius Verslo tribūna

Jau rugsėjo 23 d. debesų kompiuterijos ir kibernetinio saugumo konferencija IT CONNECTED pakvies susipažinti...

Išmani Lietuva
2021.09.10
„Trafi“ testuoja programėlės versiją verslui, planuoja spartų pajamų augimą Premium 1

Maršrutų planavimo programėlės „Trafi“ kūrėja UAB „Intelligent Communications“ šiuo metu testuoja ir kitąmet...

Inovacijos
2021.09.01
Pavogtą jautrią informaciją apie save galite būti paprašyti išsipirkti patys Verslo tribūna 1

Sėkmingas Suomijos psichinės sveikatos klinikų tinklas „Vastaamo“ pernai rudenį patyrė didelio masto ataką.

Išmani Lietuva
2021.08.30
Švietimo startuolis „Digiklasė“ pritraukė 800.000 Eur investiciją 1

Nuotolinių mokymų startuolis „Digiklasė“ (UAB „Membas“), pritraukė 800.000 Eur iš rizikos kapitalo fondų...

Inovacijos
2021.08.26
Kaip įsilaužėliai gauna „dvipusį bilietą“ į hibridinę infrastruktūrą ir kiek sutaupo IT darbų robotizacija? Verslo tribūna

Atsakymai į šiuos ir daugelį kitų IT specialistams bei vadovams aktualių klausimų nuskambės didžiausiame...

Išmani Lietuva
2021.08.26
Sutelktinio finansavimo į NT platforma „Inrento“ pritraukė 530.000 Eur Premium

Kolektyvinio investavimo į NT nuomą platforma UAB „Inrento“ pritraukė 530.000 Eur ankstyvojo finansavimo...

Inovacijos
2021.08.23
Milijoną pritraukusio „Watalook“ įkūrėjai į grožio industriją pasuko iš automobilių technologijų verslo Premium 1

Klientų valdymo platformą grožio industrijos specialistams siūlantis startuolis „Watalook“ ( UAB „Telas“)...

Inovacijos
2021.08.18
Nuo reklamos prie personalo: „Eskimi“ Bangladeše ieško programuotojų Lietuvos įmonėms Premium

Padalinį Bangladeše prieš kelerius metus įsteigusi skaitmeninės reklamos bendrovė „Eskimi“ (UAB „Aktyvus...

Inovacijos
2021.08.06
Išmanieji įrenginiai ir realiu laiku vykstanti paslaugų apskaita – naujoji „GG Rail“  realybė Verslo tribūna

Liberalizuojant geležinkelių rinką ir įgyvendinant Europos Sąjungos 4-ojo geležinkelių paketo reikalavimus,...

Išmani Lietuva
2021.08.06
Programos, rašančios programas: ar automatizavimas išgelbės IT sektorių nuo darbuotojų stygiaus? Premium 4

Dirbtinio intelekto (DI) technologijos ir nauji automatizavimo sprendimai keičia programavimą – besimokančios...

Inovacijos
2021.08.05
„Via Solis“ lipa iš duobės Premium 4

Saulės energijos technologijų bendrovė „Via Solis“, atrodo, atsigauna po 2019 m. skyrybų su Vilniaus BOD...

Inovacijos
2021.08.03
„BankingLab“ vadovas: norime tapti „fintech“ paslaugų „Amazon“ Premium

Kol analitikai svarsto, ar „Revolut“ išties vertas 33 mlrd. USD, ar visgi tai besipučiantis burbulas,...

Inovacijos
2021.07.27
„Wargaming“ gaivina viltis Lietuvą paversti regiono žaidimų kūrimo centru Premium 1

Pandeminis žaidimų industrijos bumas neaplenkė ir Lietuvos – didesnė dalis rinkoje veikiančių įmonių...

Inovacijos
2021.07.26
„Teltonika“ su Taivano atstovais tariasi dėl puslaidininkų ir atstovybės steigimo

Bendrovėje „Teltonika EMS“ trečiadienį lankėsi Taivano misijos Baltijos šalims vadovas Ericas Huangas. Jis,...

Inovacijos
2021.07.22
„Teledema“ vėl auga, ateitį sieja su „eSIM“ technologija Premium 1

Mobiliojo ryšio bendrovė „Teledema“ pernai, po kelių gana lėtų metų, fiksavo dviženklį pardavimo pajamų...

Inovacijos
2021.07.20

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Valdyti Sutinku