Ezekre a fiókokra figyelj a legjobban!
Privilegizált fiókkezelők – a céges hálózat mindenhatói
Nem győzzük hangsúlyozni, hogy a privilegizált fiókok megfelelő védelme nem egy jól bevált módszer, hanem egy kötelező eljárás, amelyet minden modern cégnek fel kell ismerni, és arra a vállalati politika elengedhetetlen részeként kell tekinteni. Az utóbbi évek óta a vagyon fogalma folyamatosan alakul, és ma már hozzáférve néhány adathoz, óriási kárt vagy éppen hasznot okozhat egy-egy fél számára.
Mindent megteszel a vállalatod védelméért?
A bűnözők az érzékeny adatokra pályáznak, és mindent megtesznek, hogy megkeserítsék a kiszemelt vállalatok életét. Sokan nincsenek tisztában, hogy mik azok a tényezők, amelyek gyengeségnek számítanak, és kis réseken „beengedhetik” a támadókat. Kockázatot nem csak a külső környezet jelenti, egy szervezetet belülről is érhetik rosszindulatú akciók. Hiába van néhány eszköz, mely a kémprogramokat szűri, ha nem védenek egy korrupt munkatárs ellen. Rengeteg olyan dolog van, amire figyelni kell és a bizalom sajnos nem elég ahhoz, hogy valaki elmondhassa: „mindent megteszek a vállalatom védelméért!”
Miért céltábla a privilegizált fiók?
Az informatikai támadások közkedvelt célpontjai a privilegizált fiókok, mivel azok megfelelő védelem nélkül kitűnő csatornát biztosítanak az adatok eléréséhez. A privilegizált fiók és azáltal garantált hozzáférések minden cég életében jelen vannak, és az üzleti tevékenység alapját képzik. Mivel az IT csapat privilegizált fiókon keresztül kezeli a szervezet rendszereit, szoftvereit, továbbá hozzáférnek érzékeny adatokhoz, amelyek által kritikus döntéseket hozhatnak, így a szervezet nagyban függ a kiváltságos felhasználóktól. Viszont a privilegizált hozzáférések nem megfelelő kezelése olyan felhasználóknak is teret enged, akiknek bizonyos jogosultságokra nincs is szükségük munkájuk során. A lényeg, hogy a privilegizált fiókokat kívülről és belülről is összetetten védeni kell.
A privilegizált fiókok 7 típusa:
A következő fiókokat minden szervezetnek fel kell ismerni és garantálni kell azok védelmét.
1. Domain administration account
A legnagyobb hatalommal bíró privilegizált fiókok. Teljes hozzáféréssel és irányítással rendelkeznek az AD domainben; jogosultságaik vannak a hálózati tartomány valamennyi rendszerében. Gyakorlatilag AD felhasználókat kezelnek, és ugyan kevés van belőlük, mégis ezek a fiókok biztosítják a legnagyobb hozzáférést a hálózaton belül, ezért amikor felhasználókat adsz ehhez a csoporthoz, tedd azt rendkívül óvatosan, teljes ellenőrzéssel és jóváhagyással! A domain adminisztrációs fiókokat a lehető legmagasabb szinten kell korlátozni, szabályozni.
2. Emergency account
Biztonsági incidensek esetén a fiók hozzáférést enged biztonságos rendszerekhez nem kiváltságos felhasználók számára is. Biztonsági okok miatt menedzseri jóváhagyást igényel, és mivel ez általában manuális folyamat, így gyenge az auditálhatóság. A kritikus esemény bekövetkezéséig ezeket a fiókokat letiltják, viszont annak bekövetkezésekor bizonyos felhasználóknak privilegizált hozzáféréssel kell rendelkezni azért, hogy helyreállíthassák a rendszereket, szolgáltatásokat, illetve időben reagálhassanak a kockázatos eseményekre.
3. Application account
Ez a privilegizált fiók biztosítja az alkalmazásoknak, hogy hozzáférjenek működésükhöz szükséges erőforrásokhoz, amely lehet adatbázis, feladat, hálózat, frissítés stb. Az alkalmazásfiók a külső támadások kedvelt célpontjai, mivel távoli hozzáféréssel engedélyezi a támadónak a fájlok módosítását, más fiókok elérését. A fiókok feltörése érzékeny, alkalmazásokban vagy adatbázisokban található céges információkhoz enged hozzáférést. A fiókok jelszavait gyakran titkosítatlan szöveges fájlokban tárolják, ami jelentős kockázatot jelent egy szervezet számára.
4. Service account
A szerviz fiókok lehetnek privilegizált lokális vagy domain fiókok, melyeket applikáció vagy szerviz használ azért, hogy kapcsolatot létesítsen az operációs rendszerrel. A helyi service account-ok számos Windows programmal állhatnak kapcsolatban, így a jelszóváltoztatások koordinálása – jelszókezelő program nélkül – nagyon nehéz, és ezért a jelszavak általában nem is változnak, illetve nem járnak le.
5. Local admin account
Ezek a nem személyes fiókok biztosítanak adminisztratív hozzáférést a helyi kiszolgálókhoz. Az IT személyzet ezeken a privilegizált fiókokon keresztül végez karbantartást hálózati eszközökön, adatbázisokon, szervereken stb. A probléma ott kezdődik, hogy a legtöbb szervezet hajlamos megfeledkezni a jogosultságok szabályozásáról és gyakran az összes munkavállaló rendelkezik helyi adminisztrációs fiókkal. A „túlkiváltságos” (nem is lenne szüksége a munkája során bizonyos jogosultságokra) felhasználók nem csak a belső visszaélések miatt veszélyesek, de sokszor felelőtlen magatartásuk megkönnyíti a kiberbűnözők életét. Nem véletlen, hogy az a fiók a legnépszerűbb célpontok egyike, mivel ha sikerül egy illetéktelen személynek hozzáférnie, akkor lehetősége adódik felmérni az egész szervezet biztonságát és védelmét. Minden számítógép rendelkezik helyi adminisztrációs fiókkal, hiszen ez az első fiók, ami az operációs rendszer telepítésekor létrejön. Windows operációs rendszerek esetén ez a fiók teljes körű jogosultságot biztosít a felhasználónak a helyi kiszolgáló felügyelete alatt álló fájlok, könyvtárak, szolgáltatások és egyéb erőforrások eléréséhez, illetve a tulajdonosa képes helyi felhasználók létrehozására, felhasználói jogok és belépési engedélyek hozzárendelésére. Célszerű a munkavállalók ezen jogosultságát szabályozni, ha valakinek feladata elvégzéséhez nincs szükség a teljes helyi hozzáférésre, akkor az adott személy ne ebben a fiókban dolgozzon.
6. Active Directory account
Ezeket a fiókokat főként biztonságos mentésekhez, analitikus megoldásokhoz, szoftver telepítéséhez és a biztonsági frissítésekhez használják. Jelszavaik módosítása nagyobb kihívást jelent, mivel ez több rendszer közötti koordinációt igényel. Emiatt ezeket a hozzáférési azonosítókat ritkán cserélik, ami persze jelentős kockázatot jelent a szervezet számára.
7. Privileged user account
Nem véletlenül maradt a végére, hiszen ez igényli szinte a legtöbb figyelmet. Tulajdonképpen ez egy sima felhasználói fiók, de a felhasználó számára hozzáférést biztosít a szervezet legérzékenyebb adataihoz. Gyakran ezeket a fiókokat nem ellenőrzik, illetve nem biztosítják számukra a kiváltságos fiókot megillető védelmet.
Hogyan védd meg kiemelt fiókjaidat?
Vállalatodnak fel kell mérnie, melyek azok az adatok, amelyek kiemelt figyelmet érdemelnek, ebből adódóan pedig ismerni kell az összes olyan fiókot, amely ezen adatokhoz hozzáférést biztosít. A privilegizált fiókok ellenőrzése, szabályozása, védelme kihívást jelent a cégek számára. A manuális kezelés gyakran lehetetlen, éppen ezért alakulnak ki rossz jelszó- és hozzáférés-kezelési szokások a vállalkozásokon belül. Az adatok külső és belső védelméhez egyaránt figyelembe kell venned a leírtakat, illetve érdemes egy olyan automatizált megoldást választanod, amely központosítva kezeli a privilegizált fiókokat, és lehetővé teszi a védelem mellett a folyamatos ellenőrzést is, így garantálva a folyamatos visszakövethetőséget.
A PassMan vállalati jelszókezelő megalkotását a modern adatvédelem kihívásai ihlették, hosszútávú célja, hogy tehermentesítse a vállalatokat és lehetővé tegye egy szervezet folyamatos fejlődését kockázatok nélkül!