Kas tai? Eksperto įžvalgos

IT administratoriai – ne vieninteliai, dėl kurių reikia privilegijuotų prieigų apsaugos

Reklama publikuota: 2021-10-01
„Blue Bridge“ Infrastruktūros valdymo sprendimų skyriaus vadovas Algirdas Lunys.
svg svg
„Blue Bridge“ Infrastruktūros valdymo sprendimų skyriaus vadovas Algirdas Lunys.

Nors privilegijuotų paskyrų saugumas – viena populiariausių kibernetinio saugumo temų, dažnai pamirštama, kad privilegijuoti naudotojai tai ne tik IT administratoriai, turintys prieigą prie visų veiklai kritinių sistemų ir juose saugomų duomenų, bet apskritai bet kuris darbuotojas, turintis teises prisijungti ir atlikti įvairius pakeitimus įmonės sistemose, vykdyti finansinius mokėjimus, teikti pasiūlymus pirkimuose ir kt. Pavyzdžiui, marketingo skyrius administruoja jūsų įmonės socialinius tinklus, o buhalteriai – finansinių duomenų ir apskaitos sistemas. Lietuvoje vykusių kibernetinio saugumo incidentų patirtis rodo, kad ir šie darbuotojai gali būti nelojalūs, o įsilaužėliai pirmiausia taikosi būtent į jų prisijungimo duomenis.

Nelaukite, kol jūsų organizacijos duomenys bus pavogti, imkitės veiksmų dabar!

Bendri slaptažodžiai – patogu, bet pavojinga

Susidomėjimas privilegijuotų paskyrų administravimo problemomis kilo atkreipus dėmesį į paplitusius ir daugelyje organizacijų įsišaknijusius IT administratorių įpročius dalytis bendrais slaptažodžiais jungiantis prie sistemų, IT įrangos, debesijos paslaugų ir t. t.

Vėliau pastebėta, kad panašius slaptažodžių saugojimo įpročius turi ir kiti įmonės specialistai. Taip atsiranda visam skyriui ar pareigoms bendras prisijungimas prie socialinių tinklų, vidinių sistemų, internetu pasiekiamų SaaS programų ir t. t., o tai kelia ne ką mažesnę grėsmę. Kai kada situacija net dar blogesnė: prisijungimai prie sistemų – naudotojo vardas ir slaptažodis – „tradiciškai“ saugomi visiems pasiekiamoje vietoje, kad bet kuris darbuotojas galėtų su jais prisijungti.

Nemokami naujienlaiškiai į savo el. pašto dėžutę:













Svarbiausios dienos naujienos trumpai:



 

Viena vertus, tokios praktikos neabejotinai patogios ir padeda darbuotojams sutaupyti laiko ir nepamiršti slaptažodžių, tačiau, kita vertus, šie įpročiai – didžiausia ir lengviausiai išnaudojama grėsmė įmonės duomenimis, finansams bei reputacijai.

Įpročiai, padėję susikurti įsilaužimo technikai

Kaip pastebi „Blue Bridge“ kibernetinio saugumo ekspertas Kęstutis Meškonis, ypač aiškią grėsmę principas „kaip patogiau“ kelia kalbant apie privilegijuotas IT specialistų paskyras. Pavyzdžiui, neretai IT administratoriai įpranta su tais pačiais slaptažodžiai jungtis prie visų lygių sistemų bei mašinų, o slaptažodžiai keliauja iš rankų į rankas ir nekeičiami metų metais. Specialistas neslepia, kad net teko susidurti su situacija, kai prisijungimai prie administratorių paskyrų buvo nekeičiami dešimtmečiais.

Šie ydingi slaptažodžių administravimo įpročiai yra tokie gajūs ir dažni, kad padėjo susikurti populiariai „horizontalaus judėjimo“ įsilaužimo technikai, kai įsilaužėlis, naudodamasis vogtais kredencialais, gali greitai ir nepastebimai judėti iš vienos sistemos į kitą, vogti kitus kredencialus, turinčius dar aukštesnes prieigos teises ir tokiu būdu plėsti savo nelegalią prieigą.

Kaip pabrėžia K. Meškonis, šis įsilaužimo būdas nebūtų įmanomas, jeigu visos paskyros turėtų unikalius slaptažodžius.

Sprendimas, galintis pakeisti slaptažodžių kultūrą

Slaptažodžių ir kitų prisijungimo duomenų, vadinamų kredencialų, saugojimo įpročiai – dalis bendresnės kultūros, todėl spręsti šią problemą reikėtų kompleksiškai. Pavyzdžiui, ieškant įrankių, kurie paskatintų keisti įpročius arba panaikintų daugiausiai laiko atimančius slaptažodžių saugumo žingsnius.

Kaip pastebi „Blue Bridge“ Infrastruktūros valdymo sprendimų skyriaus vadovas Algirdas Lunys, tokiu sprendimu vis dažniau tampa privilegijuotų prieigų valdymas (angl. Privileged access management (PAM)). PAM kategorijos sprendimai – tai centralizuotos slaptažodžių ir kitų identifikacijos duomenų saugojimo sistemos, kurios pasižymi universalumu. Tai reiškia, kad PAM padeda neapsunkinant darbuotojų kasdienio darbo užtikrinti jų saugumą, veiksmų matomumą ir kontrolę.

„Net geriausia slaptažodžių politika dažniausiai neveikia susidūrus su žmogiškuoju faktoriumi. Reikalavimas reguliariai atnaujinti slaptažodžius ir užtikrinti jų sudėtingumą daugeliui darbuotojų, tarp jų ir IT administratoriams, nėra patogus, todėl jo nesilaikoma. Su PAM ši problema išsprendžiama – slaptažodžių rotacija gali vykti automatiškai, užtikrinant slaptažodžių kompleksiškumą. Be to, galima pasirinkti PAM nustatymus, pagal kuriuos naudotojai net nematys slaptažodžio ir prie sistemų jungsis ne tiesiogiai, o per PAM“, – pasakoja pašnekovas ir priduria, kad tas pats principas galioja ir antrojo autentifikavimo faktoriaus reikalavimui. Jo naudojimas turint PAM – privalomas.

Didesnis IT tiekėjų veiksmų atsekamumas

Greta bazinio privilegijuotų naudotojų paskyrų apsaugos, ypatingą dėmesį PAM sprendimai leidžia skirti būtent IT administratorių paskyroms. Tokiu būdu apsisaugoma nuo grėsmių, kurias kelia neprižiūrimos prieigos prie aplikacijų, debesijos paslaugų, duomenų bazių ir įvairių administravimo tarnybų.

 „PAM leidžia ne tik visapusiškai valdyti IT administratorių paskyras pagal iš anksto nustatytas taisykles (nuolat automatiškai rotuojami kompleksiniai slaptažodžiai, prisijungimas tik su dviejų faktorių autentifikavimu, darbo sesijų įrašymas ir t. t.), bet ir lengvai panaikinti privilegijuotą naudotoją vos darbuotojui išėjus iš darbo. Tad sumažinama slaptažodžių nutekėjimo galimybė ne tik dėl išorinių, bet ir vidinių grėsmių, pavyzdžiui, buvusių darbuotojų ne lojalumo“, – pabrėžia A. Lunys.

Įmonėms, įsigyjančioms dalį IT paslaugų iš trečiųjų šalių, PAM taip pat aktualus. „Turint PAM galima užtikrinti kur kas saugesnį samdomų sistemų kūrėjų ar IT tiekėjų prisijungimą prie jautrių sistemų, IT įrangos ir t. t. Kadangi šiuolaikiniai PAM sprendimai turi IT administratorių darbo sesijų įrašymo ir klaviatūros paspaudimų fiksavimo funkcijas, visada galima peržiūrėti, kas buvo prisijungęs prie sistemos, kokius veiksmus atliko ir t. t. Tai liečia ne tik vidinius įmonės specialistus, bet ir išorinius IT tiekėjus“, – komentuoja A. Lunys.

Svarbios ne tik funkcijos, bet ir pasitikėjimas gamintoju

Ką reikėtų turėti omeny planuojant įsigyti PAM? A. Lunys pastebi, kad PAM kategorijos sprendimų pasirinkimas išties platus – nuo atvirojo kodo iki prestižinio „Gartner“ kvadranto lyderių.

„PAM – tai vieta, kurioje, perkeltine prasme, saugome raktus nuo savo namų – privilegijuotų naudotojų slaptažodžius, todėl kad ir kokį sprendimą pasirinktumėte, svarbiausia, kad juo pasitikėtumėte“, – pabrėžia pašnekovas ir pasidalija „Blue Bridge“ patirtimi: „Pavyzdžiui, viena iš priežasčių, kodėl rekomenduojame „Thycotic“ PAM sprendimą, yra tai, kad šis JAV gamintojas turi tarptautinės IT sprendimų saugumo „The Common Criteria“ programos sertifikatą, liudijantį, kad sprendimas buvo detaliai įvertintas akredituotojoje laboratorijoje, atitinka tarptautinius standartus, yra skaidrus bei saugus ir funkciniu, ir kitais požiūriais“, – pasakoja A. Lunys ir priduria, kad atitikimas „The Common Criteria“, „The Federal Information Processing Standard 140-1“ (FIPS 140-1) ir kitokiems daugelio Vakarų šalių pripažįstamiems saugumo standartams taip pat galėtų būti vienas iš PAM pasirinkimo kriterijų.

Antrasis žingsnis renkantis PAM, anot pašnekovo, galėtų būti pažintis su kibernetinį saugumą reguliuojančiais teisės aktais – ne tik nacionaliniais, bet ir tarptautiniais. Jų reikalavimus irgi galima naudoti kaip bazinių kriterijų sąrašą.

Kalbėdamas apie PAM diegimą, A. Lunys pasidalija įžvalga, kad nors daugumai klientų nekyla didesnių priežiūros iššūkių, vis dėlto reikėtų pasirūpinti, kad tiekėjas apmokytų jūsų IT personalą, kaip prižiūrėti PAM.

„Dar geriau, jeigu tiekėjas galėtų ne tik paruošti naudojimui PAM, bet ir parengti slaptažodžių bei privilegijuotų prieigų politiką, atitinkančią kliento poreikius. Toks pasirengimas leistų sutaupyti laiko ir greitai bei paprastai startuoti su šiuo sprendimu“, – pažymi „Blue Bridge“ atstovas.

Pasirinkite jus dominančias įmones ir temas – asmeniniu naujienlaiškiu informuosime iškart, kai jos bus minimos „Verslo žiniose“, „Sodros“, Registrų centro ir kt. šaltiniuose.

Rašyti komentarą 0
Rekordiniai Lietuvos žaidimų industrijos metai: naujos galimybės ir senos problemos Premium

Lietuvos žaidimų industrija pernai stiebėsi į viršų – plėtėsi vietos įmonės, taip pat atvyko naujų, kurios...

Inovacijos
2022.06.30
Darbo aplinka keičiasi iš esmės: „Xerox“ žengia permainų priešakyje Verslo tribūna

Skaitmeninimo iniciatyvos versle, ypač paskatino prigijęs hibridinio ar nuotolinio darbo modelis, ragina...

Išmani Lietuva
2022.06.30
Švedų tyliai nupirkta Kauno žaidimų kūrėja „Tutotoons“ pelną augino 15 kartų Premium 1

Kauno mobiliųjų žaidimų kūrėjai „Tutotoons“ karantinas leido pasiekti rekordinį pelną ir apyvartą. Be to,...

Inovacijos
2022.06.27
Tiksliosios technologijos tvariai užaugintam kokybiškam maistui – Lietuvos ūkių dabartis Verslo tribūna

Neįtikėtinu greičiu tobulėjančios šiuolaikinės technologijos ir inovatyvūs sprendimai keičia Lietuvos...

Išmani Lietuva
2022.06.27
Robotai, „atimsiantys jūsų darbą“ – ne toks jau ir baubas Premium

Robotizacija ir, kalbant plačiau, DI, tebėra daugybės mitų gaubiamos technologijos ir tendencijos. Galima...

Inovacijos
2022.06.26
P. Kuisys: ruošiamės blogiausiam, o tikimės geresnio Premium

Nors ekonominės krizės – galbūt pageidaujamas reiškinys, į jas reikėtų žiūrėti kaip į savotišką gydymą – per...

Inovacijos
2022.06.23
50 mln. Eur investicija Klaipėdoje – galimybė pramonei nebemindžikuoti ties inovacijų slenksčiu Premium 1

Jau šį rudenį planuojama baigti statyti 21.000 kv. m ploto pramonės inovacijų parką „VMG Technics R&D Park“,...

Vadyba
2022.06.23
Bizūnas dar neišgąsdino: kriptoįmonės Lietuvoje toliau dygsta kaip grybai po lietaus Premium

Vyriausybė kriptopaslaugų tiekėjų reguliavimo sugriežtinimui pritarė anksčiau birželį. Dabar svarstymai...

Inovacijos
2022.06.22
Naujasis „Bitė Lietuvos“ vadovas – G. Butėnas

Naujuoju UAB „Bitė Lietuva“ vadovu paskirtas Gintas Butėnas, ilgametis bendrovės darbuotojas, pastaruoju metu...

Inovacijos
2022.06.21
„Money 20/20“: „fintech“ reguliavimas toliau eis saugumo keliu

Birželio 7–9 d. Amsterdame vyko didžiausias Europoje „fintech“ renginys „Money 20/20“, kuriame pirmą kartą...

Inovacijos
2022.06.19
Tyrimas: kas penktas Lietuvos gyventojas norėtų keisti karjerą į IT 7

Kas antras suaugęs Lietuvos gyventojas – 52% – mano, kad jo ar jos skaitmeninių įgūdžių ir žinių lygis yra...

Vadyba
2022.06.18
Kompiuterijos ateitis – gali tekti pajudėti prie krašto Premium 1

Technologijų tyrimų ir konsultacijų bendrovė „Gartner“ skaičiuoja, kad iki 2025 m. net 75% duomenų verslai...

Inovacijos
2022.06.17
Norime daugiau turtingų žmonių? Sumažinkime opcionų biurokratiją Premium

Nors skatinimas opcionais – teisė darbuotojams įgyti dalį įmonės, kurioje jie dirba, nuosavybės – Vakaruose...

Inovacijos
2022.06.16
Metų verslumo pedagogė: mokome susikurti pagalvę ir skaudžiai nekristi Premium

Poreikiai yra neriboti, o ištekliai – riboti, – toks vienas iš principų ir sąvokų, kurių siekta mokiniams...

Gazelė
2022.06.16
Neišvengiama, bet komplikuota tvarių vilkikų perspektyva Lietuvoje Premium

Jau nuo 2035-ųjų ES bus visiškai sustabdyta prekyba naujomis anglies dvideginį išmetančiomis transporto...

Logistika
2022.06.16
Kas bendro tarp juostų ir AI bei kaip duomenų saugykla gali apsaugoti nuo „Ransomware“ ? Verslo tribūna

Atsakymai į visus šiuos klausimus – neseniai pristatytose IBM naujienose, susijusiose ir su programine...

Išmani Lietuva
2022.06.16
5G inovacijoms ir pritaikymui Lietuvoje – „smėlio dėžė“

Susisiekimo ministerija trečiadienį pristatė bandomosios 5G inovacijų ir pritaikymo skatinimo aplinkos –...

Inovacijos
2022.06.15
Kaip vadovauti komandai, kuri nori augti? Verslo tribūna

Kiekviena organizacija susiduria su darbuotojų pritraukimo, išlaikymo ir motyvavimo iššūkiais. Ne vienas...

Išmani Lietuva
2022.06.15
Ruošiamasi atverti didelės vertės duomenis

Ekonomikos ir inovacijų ministerija teigia, jog viešojo sektoriaus institucijos turėtų pradėti rengtis...

Inovacijos
2022.06.13
Lietuvoje kuriasi Izraelio „fintech“ bendrovė „UNIPaaS“

Izraelio finansinių technologijų („fintech“) sprendimų bendrovė „UNIPaaS“ Lietuvoje įsteigė padalinį „UNIPaaS...

Inovacijos
2022.06.09

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Valdyti Sutinku